сертификат для подписи кода
Создание сертификата для подписи пакета приложения
MakeCert.exe не рекомендуется к использованию. Текущие рекомендации по созданию сертификата см. в разделе Создание сертификата для подписания пакета.
узнайте, как использовать MakeCert.exe и Pvk2Pfx.exe для создания тестового сертификата подписи кода, чтобы вы могли подписывать пакеты приложений Windows.
перед развертыванием пакетной Windows приложения необходимо подписать цифровой подписью. если вы не используете Microsoft Visual Studio 2012 для создания и подписи пакетов приложений, необходимо создать собственные сертификаты для подписи кода и управлять ими. сертификаты можно создавать с помощью MakeCert.exe и Pvk2Pfx.exe из набора драйверов Windows (WDK). Затем можно использовать сертификаты для подписывания пакетов приложений, чтобы их можно было развернуть локально для тестирования.
Это важно знать
Технологии
Предварительные требования
Инструкции
Шаг 1. Определение имени издателя пакета
чтобы сделать сертификат подписи, который вы создадите, использовать с пакетом приложения, который необходимо подписать, имя субъекта сертификата подписи должно соответствовать атрибуту Publisher элемента Identity в AppxManifest.xml для этого приложения. Например, предположим, что AppxManifest.xml содержит:
Эта строка параметра указывается в кавычках и является учетом регистра и пробела.
Шаг 2. создание закрытого ключа с помощью MakeCert.exe
Используйте служебную программу MakeCert для создания самозаверяющего тестового сертификата и закрытого ключа:
Эта команда предложит указать пароль для PVK-файла. Рекомендуется выбрать надежный пароль и защитить закрытый ключ в безопасном месте.
Рекомендуется использовать предлагаемые параметры из предыдущего примера по следующим причинам.
Создает самозаверяющий корневой сертификат. Это упрощает управление тестовым сертификатом.
Помечает базовое ограничение для сертификата как конечную сущность. Это предотвращает использование сертификата в качестве центра сертификации (ЦС), который может выдавать другие сертификаты.
Задает значения расширенного использования ключа (EKU) для сертификата.
Не ставьте пробел между двумя значениями, разделенными запятыми.
Задает дату окончания срока действия сертификата. Укажите значение параметра expirationDate в формате мм/дд/гггг. Рекомендуется выбирать дату истечения срока действия, если это необходимо для целей тестирования, как правило, меньше года. Эта дата окончания срока действия в сочетании с ключом времени существования подписывания может помочь ограничить окно, в котором сертификат может быть скомпрометирован и недоступен.
Дополнительные сведения о других параметрах см. в разделе MakeCert.
шаг 3. создание файла личных данных Exchange (. pfx) с помощью Pvk2Pfx.exe
Файлы MyKey. PVK и MyKey. cer являются теми же файлами, которые MakeCert.exe созданы на предыдущем шаге. С помощью необязательного параметра/по можно указать другой пароль для результирующего PFX-файла; в противном случае PFX-файл имеет тот же пароль, что и MyKey. PVK.
Дополнительные сведения о других параметрах см. в разделе Pvk2Pfx.
Remarks
После создания PFX-файла можно использовать файл с помощью средства SignTool для подписания пакета приложения. Дополнительные сведения см. в разделе как подписать пакет приложения с помощью средства SignTool. Но сертификат по-прежнему не является доверенным для локального компьютера для развертывания пакетов приложений, пока он не будет установлен в хранилище доверенных сертификатов на локальном компьютере. Вы можете использовать Certutil.exe, который поставляется вместе с Windows.
Установка сертификатов с помощью WindowsCertutil.exe
Запустите Cmd.exe от имени администратора.
Выполните следующую команду:
Рекомендуется удалить сертификаты, если они больше не используются. В той же командной строке администратора выполните следующую команду:
CertID — серийный номер сертификата. Выполните следующую команду, чтобы определить серийный номер сертификата:
Соображения безопасности
Добавив сертификат в хранилища сертификатов локальной машины, вы меняете доверие сертификатов всех пользователей на компьютере. Рекомендуется установить все сертификаты подписи кода, необходимые для тестирования пакетов приложений в хранилище сертификатов «Доверенные лица». Немедленно удалите эти сертификаты, когда они больше не нужны, чтобы предотвратить их использование для компрометации доверия системы.
Связанные темы
Примеры
Основные понятия
How to sign an app package using SignTool (Подписывание пакета приложения с помощью SignTool)
Code Signing в Windows, просто и недорого
Хотел бы рассказать тут о такой важной особенности разработки под Windows как Code Signing. А ведь многие достаточно серьёзные разработчики до сих пор ей не пользуются, и очень зря. Помимо того что при запуске вашего неподписанного приложения появляется противная красная иконка с крестом и неприятным текстом:
«Этот файл не имеет цифровой подписи которая может подтвердить производителя. Вы должны запускать программы только от производителей которым доверяете.»
Это ещё и пропуск на корпоративный рынок.
При запуске неподписанной программы появляется такое окно: 
А так выглядит окно когда программа подписана:
Один важный момент, прежде чем получать сертификат, очень желательно зарегистрировать вашу компанию или ИП в агенстве Dun & Bradstreet и получить DUNS номер. Этот номер очень уважается компаниями которые выдают сертификаты и при предъявлении этого номера, в абсолютном большинстве случаев, более никаких подтверждающих документов не спрашивают. Иначе придётся высылать сканы уставных документов, а иногда и каких-нибудь счетов на компанию, например за телефон. Для получения сертификата на ИП это один из главных шагов. Без этого в случае ИП может вообще ничего не получиться.
Сам процесс подписания программы/инсталлятора достаточно простой и легко автоматизируется, если надо могу описать и его.
Вот собственно и всё. Если вы работаете на рынке программного обеспечения для windows — сертификат это важная и необходимая вещь. Я надо признать и сам стал избегать неподписанных программ после этого.
Необязательный: создание сертификата подписи кода для Защитник Windows управления приложениями
Относится к:
Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Дополнительные дополнительные Защитник Windows доступности функции управления приложениями.
При развертывании Защитник Windows управления приложениями (WDAC) может потребоваться подписать файлы каталога или политики WDAC внутри страны. Для этого вам потребуется выданный сертификат подписи кода или внутренний центр сертификации. Если вы приобрели сертификат подписи кода, вы можете пропустить эту тему и следовать другим темам, перечисленным в руководстве по развертыванию Защитник Windows управления приложениями.
Если у вас есть внутренний центр сертификации, выполните следующие действия, чтобы создать сертификат подписи кода. Для сертификата подписи кода поддерживается только алгоритм RSA, а подписи должны быть заполнены по стандарту 1.5 PKCS. Алгоритм ECDSA не поддерживается.
Откройте оснастку консоли управления MMC ЦС и выберите ваш центр сертификации, выдающий сертификаты подписи.
Выполнив подключение, щелкните правой кнопкой мыши Шаблоны сертификатови выберите Управление, чтобы открыть консоль шаблонов сертификации.
Рис. 1. Управление шаблонами сертификатов
В области навигации щелкните правой кнопкой мыши «Сертификат подписи кода» и выберите Скопировать шаблон.
На вкладке Общие укажите Отображаемое имя шаблона и Имя шаблона. В этом примере используется имя Сертификат подписи каталога WDAC.
На вкладке Обработка запроса установите флажок Разрешить экспортировать закрытый ключ.
На вкладке Расширения установите флажок Основные ограничения и щелкните Изменить.
В диалоговом окне Расширение «Изменение основных ограничений» установите флажок Включить это расширение, как показано на рисунке 2.
Рис. 2. Выберите ограничения для нового шаблона
Если для утверждения выданных сертификатов требуется диспетчер сертификатов, установите флажок Одобрения диспетчера сертификатов ЦС на вкладке Требования выдачи.
На вкладке Имя субъекта выберите Предоставляется в запросе.
На вкладке Безопасность убедитесь, что все учетные записи, которые будут использоваться для запроса сертификата, имеют право на регистрацию сертификата.
После создания шаблона сертификата необходимо опубликовать его в хранилище опубликованных шаблонов центра сертификации. Для этого необходимо выполнить описанные ниже действия.
В оснастке MMC центра сертификации щелкните правой кнопкой мыши Шаблоны сертификации, наведите указатель на пункт Создать, а затем нажмите Выдаваемый шаблон сертификата, как показано на рисунке 3.
Рис. 3. Выбор нового выдаваемого шаблона сертификата
Появится список доступных выдаваемых шаблонов, включая только что созданный шаблон.
Выберите сертификат подписи каталога WDAC и нажмите кнопку ОК.
Теперь, когда шаблон доступен для выпуска, необходимо запросить его на компьютере с Windows 10 и Windows 11, на котором создаются и подписываются файлы каталога. Откройте консоль MMC и выполните описанные ниже действия.
На консоли управления (MMC) в меню Файл щелкните Добавить или удалить оснастку. Дважды щелкните Сертификатыи выберите Моя учетная запись пользователя.
В оснастке сертификатов щелкните правой кнопкой мыши папку «Личное хранилище», наведите указатель на пункт Все задачии выберите Запросить новый сертификат.
В списке Запросить сертификат выберите только что созданный сертификат подписи, а затем щелкните голубую надпись, предлагающую ознакомиться с дополнительными сведениями (см. рис. 4).
Рис. 4. Получение дополнительных сведений о сертификате подписи кода
В диалоговом окне Свойства сертификата для параметра Типвыберите значение Общее имя. Для параметра Значениеукажите ContosoDGSigningCert, а затем щелкните Добавить. Добавив элемент, нажмите кнопку ОК
В завершение выполните регистрацию.
Если руководителю сертификата требуется утвердить все выданные сертификаты, а для этого требуется утверждение руководства по шаблону, запрос должен быть утвержден в ЦС, прежде чем он будет выдан клиенту.
Этот сертификат должен быть установлен в личном хранилище пользователя на компьютере, который будет подписывать файлы каталога и политики целостности кода. Если подписание будет выполняться на компьютере, с которого вы только что запросили сертификат, экспорт сертификата в PFX-файл не потребуется, поскольку такой файл уже существует в вашем личном хранилище. Если вы выполняете подписывание на другом компьютере, вам необходимо будет экспортировать сертификат PFX с необходимыми ключами и свойствами. Для этого необходимо выполнить описанные ниже действия.
Щелкните правой кнопкой мыши сертификат, наведите указатель на пункт Все задачии выберите Экспорт.
Щелкните Далее, а затем выберите Да, экспортировать закрытый ключ.
Выберите параметры по умолчанию, а затем выберите Экспортировать все расширенные свойства.
Если сертификат был экспортирован, импортируйте его в личное хранилище для пользователя, который будет подписывать файлы каталога или политики целостности кода, на конкретном компьютере, который их будет подписывать.
Сертификат для подписи кода
Вы знали, что можно автоматизировать управление и продление каждого вашего сертификата?
Сертификат подписи кода с расширенной проверкой (EV CodeSigning)
Увеличивайте число загрузок, повышая лояльность пользователей
Увеличивайте число загрузок, повышая лояльность пользователей
Сертификаты подписи кода с расширенной проверкой (EV Code Signing) используют все преимущества, предоставляемые обычными сертификатами подписи кода, но обеспечивают более высокий уровень доверия к программному обеспечению, гарантируя, что информация о разработчике ПО достоверная и была проверена с особой тщательностью:
Эксклюзивная опция GlobalSign
Подписывайте неограниченное количество приложенией одним сертификатом
Доступ к превосходной службе поддержки GlobalSign
Совместимость со всеми основными платформами (Authenticode, Office VBA, Java, Adobe AIR, Mac OS, Mozilla)
Решение проблем ненадежной проверки и защиты ключа
Сертификаты подписи кода с расширенной проверкой (EV Code Signing) помогают устранить два вида уязвимостей, которыми чаще всего пользуются разработчики вредоносного ПО: ненадежные процессы проверки учетных данных и слабый уровень защиты закрытых ключей.
Мгновенное подтверждение репутации фильтром Microsoft SmartScreen
Microsoft SmartScreen анализирует данные о репутации приложения и, если о нем мало информации и оно может содержать вредоносное ПО, сообщает об этом конечным пользователям. Начиная с версий Internet Explorer 9.0 и Windows 8, приложения, подписанные сертификатом с расширенной проверкой, мгновенно получают подтверждение репутации, поэтому пользователи при загрузке не столкнутся с предупреждениями безопасности о вредоносности приложения.
Многоплатформенная поддержка
Один сертификат подписи кода GlobalSign способен одновременно поддерживать несколько платформ
Отличия сертификатов подписи кода с расширенной проверкой (EV Code Signing)
Сертификаты подписи кода с расширенной проверкой (EV Code Signing) используют все преимущества, предоставляемые обычными сертификатами подписи кода, но обеспечивают более высокий уровень доверия к программному обеспечению, гарантируя, что информация о разработчике ПО достоверная и была проверена с особой тщательностью.
Расширенная проверка организации предполагает усиленный метод верификации большего количества данных об издателе ПО, что исключает любые фальсификации.
Мгновенное подтверждение репутации с фильтром Microsoft SmartScreen устраняет предупреждения пользователям о том, что приложение может быть вредоносным.
Что такое сертификат подписи кода?
Сертификат подписи кода — это цифровой сертификат, содержащий информацию, полностью идентифицирующую издателя, и выпущенный центром сертификации, например центром сертификации GlobalSign. Цифровой сертификат связывает личность издателя (человека или компании) с открытым ключом, который математически связан с парным закрытым ключом. Система использования пар открытых и закрытых ключей называется инфраструктурой открытого ключа (Public Key Infrastructure — PKI). Разработчик подписывает код своим закрытым ключом, а конечный пользователь использует открытый ключ разработчика для подтверждения его подлинности.
Сертификат для подписи кода
Цифровой сертификат предназначен специально для подписи кода; в инфраструктуре PKI это называется «назначением ключа» (Key Usage). Ниже представлен пример цифрового сертификата GlobalSign, предназначенного для подписи кода.
При использовании цифровой подписи также устанавливается временная метка. Благодаря функции установки временной метки подписанный код остается действительным даже после окончания срока действия цифрового сертификата. Подписывать код заново требуется лишь в случае, если вы дополнили его или изменили каким-то другим образом. В остальных случаях новая подпись не нужна (даже если истек срок действия сертификата, которым изначально был подписан код).
Подпись кода подтверждает:
Источник содержимого:
Подпись кода помогает определить источник (разработчика или владельца подписи) программного обеспечения или приложения. При скачивании программного обеспечения из интернета в браузере, как правило, появляется сообщение о рисках, связанных со скачиванием данных, либо предупреждение «Неизвестный издатель». Подпись кода помогает устранить предупреждения безопасности «Неизвестный издатель» и определить имя издателя (например наименование организации или имя индивидуального разработчика).
Целостность содержимого
Подпись кода — это гарантия того, что код не подвергался изменениям с момента издания, а также способ определить его надежность в конкретной ситуации. Если код приложения или программного обеспечения подвергся изменениям после проставления цифровой подписи, подпись становится недействительной, а пользователю сообщается о ненадежности программы. Подпись кода дает преимущества не только пользователям, скачивающим приложения, но и самим разработчикам. Пользователи уверены в источнике программного обеспечения и могут самостоятельно решать, доверять ему или нет. Разработчики же поддерживают хорошую репутацию бренда и защищают свое программное обеспечение от нежелательных изменений.