從Windows 2000開始,微軟就開始在作業系統的模組上推行數位簽章,最早是在驅動程式中推行,不過一直都沒有特彆強調這一點。從Vista開始,微軟在x64位的系統上強制推行數位簽章,沒有經過WHDL和RDS認證並簽名的驅動程式將無法在Vista x64版本上載入。對於普通的應用程式來說,微軟也開始推行數位簽章,雖然沒有經過簽名的應用程式仍然可以在Vista上運行,但是如果ISV想通過微軟的logo認證,那麼就必須對所有的可執行檔進行數位簽章。在後續的Vista版本上,微軟會逐步加強對數位簽章的要求,最終要求所有的應用程式必須經過簽名才能在Windows系統上運行。當然,這是長遠目標,其中還有很長的路要走。
對於ISV來說,我們現在就應該做好數位簽章的準備。我在這裡就用一個簡單的例子來說明一下大概的過程,如果實際操作的話,會有不同的要求。第一步:你需要自己自己產生一個認證,並把其中的私密金鑰匯出備用。第二步:把產生的認證提交給第三方的認證機構,比如:Verisign,Thawte這些比較大的公司都提供相應的服務;提交的同時,這些機構會需要你提供一些資料以便認證你的身份。這個很好理解,因為他們需要在以後你使用認證的過程中對你的身份負責,所有他們必須首先認證你的身份。第三步:這些機構會給你提供一個Digital ID,對你的身份資訊提供認證。一般會用郵件的方式通知你。第四步:使用工具對你自己的可執行檔進行簽名。簽名完成以後就可以用認證發布你的產品了,那麼當程式在Vista上啟動並執行時候就會被認為是可以被識別的應用程式。以下是一個具體的例子:1)首先產生認證: Makecert –sv dotnetchina.pvk –n “CN=dotnetchina.com.cn” –b 01/01/2006 –e 01/01/2008 dotnetchina.cert說明:-sv dotnetchina.pvk 匯出私密金鑰到dotnetchina.pvk這個檔案中,以便我們在後面簽名的時候使用-n “CN=dotnetchina.com.cn” 指定這個認證的名字-b 01/01/2006 指定這個認證的開始日期為01/01/2006-e 01/01/2006 指定這個這個認證的結束日期為01/01/2008Dotnetchina.cert 把產生的憑證存放區在這個檔案中,其中包括了公開金鑰/私密金鑰對2) 現在你就可以提交認證到前面提到的這些機構進行認證了3) 認證完成,我們用獲得認證對可執行檔進行簽名用下面的命令把認證轉換為SPC (Software Publishing Certificate 軟體發行認證)
Cert2spc dotnetchina.cert dotnetchina.spc 最後,用下面的命令對exe進行簽名 Signtool signwizard 這個命令會開啟以下的圖形介面,引導你完成簽名的過程:
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
