創建密鑰並用signtool簽名可執行文件

Question

我將如何簽署Visual C＃可執行文件？

SignTool.exe找不到證書。

我將如何創建自簽名密鑰和證書，並讓signtool能夠查看證書並使用它？

安裝了OpenSSL和Visual Studio 2010 Express。運行Windows 7旗艦版x64。

使用Windows Driver Kit中的SignTool.exe。

Answer 1

使用自簽名證書對您的二進制文件進行數字簽名幾乎違背了帶有程序的concept of using digital certificates。基本的想法是證明代碼是由你創建的（真實性），並且自從發佈它（完整性）以來未被修改過。這必須通過使用由可信認證機構（CA）簽署的簽名證書來完成。

使用.Net，當二進制數字簽名時，它在驗證啓動期間的完整性和真實性時已驗證了automatically。雖然我沒有親自測試過，但使用自簽名證書可能會導致很多問題。

如果您想對您的程序進行數字簽名，您需要投資CA的代碼簽名證書。有一些公司可以提供這項服務（Verisign,Thawte），收費。

雖然費用在價格上似乎有點極端，但請記住，您不僅僅是購買數字證書，還要全天候驗證該證書。任何時候有人開始你的程序，它都會確保程序是由你寫的，並且程序自你發佈以來一直沒有改變。

一旦您擁有證書，您可以按照How to: Sign Application and Deployment Manifests中的步驟對您的程序進行數字簽名。

更新：如果此程序嚴格爲內部應用程序（僅限於您或您的企業），you can created your own CA。既然你會是唯一一個運行它，只有你需要驗證它。 CA證書需要在所有運行該程序的機器上安裝爲Trusted Root Certificate（或者如果您有權訪問Windows Server，則可以設置一個真實的CA）。