Что делать с сертификатом подписи кода?

Question

Моя компания заказала сертификат подписи кода от Symantec, и мне была дана задача использовать его. Я понятия не имею, как это сделать, и нет четких инструкций даже на их веб-сайте. У меня есть сертификат в формате .cer, и когда я пытаюсь использовать его в Visual Studio 2013 - окне свойств, он говорит, что у него нет связанного с ним закрытого ключа. Я искал и обнаружил, что файл .pvk будет храниться в системном реестре, из которого мы заказали сертификат. Учитывая, что я могу получить файл .pvk, я хочу знать, что делать дальше. У меня есть два файла, и мне нужен формат .pfx (который содержит закрытый ключ). Я знаю, что это не совсем вопрос программирования, но я надеюсь, что у кого-то была такая же проблема, как у меня, и они могут вести меня.

Я работаю над приложением WPF.

Answer 1

http://blogs.msdn.com/b/httpcontext/archive/2012/05/24/how-to-digitally-sign-a-strong-named-assembly.aspx

Просто убедитесь, что вы используете Symantec сертификат вместо самоподписного одного упомянутых в статье.

Проще говоря, утилита командной строки signtool содержит ключ в этом процессе.

Answer 2

У вас должен быть сертификат от Symantec (мой пришел в виде текстового блока ASCII).

1. Создайте текстовый файл с расширением .cer, добавьте текст в файл.
2. Щелкните правой кнопкой мыши файл и установите файл .cer в хранилище сертификатов ваших машин. Пусть он выбирает лучший в волшебнике.
3. Откройте диспетчер сертификатов (набрав certmgr.msc в поле поиска).
4. Щелкните правой кнопкой мыши и найдите сертификат, который был выдан вам (ни один из них не был выпущен).
5. Щелкните правой кнопкой мыши сертификат, чтобы экспортировать его.
6. Вам необходимо экспортировать его в качестве расширения PFX. Если этот параметр выделен серым цветом, вам необходимо получить сертификат, переизданный, поскольку он не был включен для экспорта, когда он был создан.
7. После того, как у вас есть файл PFX вы можете использовать signtool.exe Microsoft (который вы можете найти в Windows SDK):

Пример подписания двоичного кода является:

signtool sign /f your_exported.pfx /p <your_password> /t http://timestamp.verisign.com/scripts/timestamp.dll /v App-installer.msi 

Answer 3

Это на самом деле довольно легко сделать.

Решение

на одной машине, которая была использована ЗАКАЗАТЬ НОВЫЙ СЕРТИФИКАТ, щелкните правой кнопкой мыши файл .cer и установить его.

Затем перейдите в тот же браузер, который использовался при заказе сертификата, и экспортировал сертификат.

• В IE, перейти в меню (значок шестеренки) -> Свойства обозревателя -> Содержание. Выберите сертификат и нажмите «Экспортировать ...».
• В Chrome выберите меню (3 бара) -> Настройки -> Дополнительно -> Управление сертификатами. Выберите сертификат и нажмите «Экспортировать ...».
• В Firefox, go Firefox (выпадающее меню) -> Параметры -> Параметры -> Дополнительно -> Шифрование -> Просмотр сертификатов.Выберите сертификат и нажмите «Резервное копирование ...».

Следуйте указаниям мастера экспорта сертификата в файл. УБЕДИТЕСЬ, ЧТО ВЫ ВЫБИРАЕТЕ «Да, экспортируйте закрытый ключ». Используйте параметр «Personal Information Exchange - PKCS # 12 (.PFX)» и установите флажки «Включить все сертификаты в пути сертификации, если возможно» и «Экспортировать все расширенные свойства».

Теперь у вас есть файл .PFX или .P12, который вы можете распространять своим разработчикам.

ПОДРОБНО.Подробнее

Получение сертификата включает в себя создание CSR (Certificate Signing Request). Этот процесс создает ваш ПК (закрытый ключ) и сохраняет его в хранилище сертификатов этого компьютера. Он также создает фактический CSR, который ваш CA (центр сертификации или компания, выдающая ваш сертификат) должен сгенерировать ваш сертификат подписи кода. Оптимальная вещь заключается в том, что CSR не содержит ваш секретный ключ, поэтому ваш CA никогда, никогда не получает своих рук на ПК.

Ваш ЦС использует CSR для генерации вашего криптографически безопасного сертификата. Поскольку у них нет своего ПК, они не могут создать файл .PFX. Они могут создавать только .CER. Установив файл .CER на том же компьютере, который сгенерировал CSR, хранилище сертификатов будет автоматически соответствовать CSR и связанным PK с отпечатком .CER. После того, как сертификат установлен, вы можете экспортировать сертификат и PK как один .PFX.