如何在 Windows 上创建用于代码签名的自签名证书？

Question

如何使用 Windows SDK 创建用于代码签名的自签名证书？

Answer 1

对于设备驱动程序，您可以在 Visual Studio 2019 的项目属性中生成一个。 在“驱动程序签名”部分中，“测试证书”字段有一个下拉列表。 生成测试证书是选项之一。 该证书将位于扩展名为“cer”的文件中，通常与可执行文件或驱动程序位于同一输出目录中。

打开项目的属性：

然后打开“驱动程序签名”部分，然后单击左侧的“常规”。
单击“测试证书”右侧的下拉菜单，然后选择“<创建测试证书...>”

Answer 2

这篇文章将仅回答“如果有证书，如何签署 EXE 文件”部分：

签名一个 Windows EXE 文件

为了对 exe 文件进行签名，我使用了 MS“signtool.exe”。 为此，您需要下载臃肿的 MS Windows SDK，其大小高达 1GB。 幸运的是，您不必安装它。 只需打开 ISO 并提取“Windows SDK Signing Tools-x86_en-us.msi”即可。 它只有 400 KB。

然后我构建了这个小脚本文件：

prompt $
echo off
cls

copy "my.exe" "my.bak.exe"

"c:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool.exe" sign /fd SHA256 /f MyCertificate.pfx /p MyPassword My.exe

pause 

__

Answer 3

从 PowerShell 4.0 (Windows 8.1/Server 2012 R2) 开始，可以在Windows 没有 makecert.exe< /a>.

您需要的命令是 New-SelfSignedCertificate 和 导出 PfxCertificate。

说明位于使用 PowerShell 创建自签名证书 。

Answer 4

罗杰的回答非常有帮助。

不过，我在使用它时遇到了一些麻烦，并且不断出现红色的“Windows 无法验证此驱动程序软件的发布者”错误对话框。 关键是安装测试根证书，

certutil -addstore Root Demo_CA.cer

罗杰的答案并没有完全涵盖。

这是一个对我有用的批处理文件（带有我的 .inf 文件，不包括在内）。
它展示了如何从头到尾完成这一切，根本不需要 GUI 工具
（除了一些密码提示之外）。

REM Demo of signing a printer driver with a self-signed test certificate.
REM Run as administrator (else devcon won't be able to try installing the driver)
REM Use a single 'x' as the password for all certificates for simplicity.

PATH %PATH%;"c:\Program Files\Microsoft SDKs\Windows\v7.1\Bin";"c:\Program Files\Microsoft SDKs\Windows\v7.0\Bin";c:\WinDDK\7600.16385.1\bin\selfsign;c:\WinDDK\7600.16385.1\Tools\devcon\amd64

makecert -r -pe -n "CN=Demo_CA" -ss CA -sr CurrentUser ^
   -a sha256 -cy authority -sky signature ^
   -sv Demo_CA.pvk Demo_CA.cer

makecert -pe -n "CN=Demo_SPC" -a sha256 -cy end ^
   -sky signature ^
   -ic Demo_CA.cer -iv Demo_CA.pvk ^
   -sv Demo_SPC.pvk Demo_SPC.cer

pvk2pfx -pvk Demo_SPC.pvk -spc Demo_SPC.cer ^
   -pfx Demo_SPC.pfx ^
   -po x

inf2cat /drv:driver /os:XP_X86,Vista_X64,Vista_X86,7_X64,7_X86 /v

signtool sign /d "description" /du "www.yoyodyne.com" ^
   /f Demo_SPC.pfx ^
   /p x ^
   /v driver\demoprinter.cat

certutil -addstore Root Demo_CA.cer

rem Needs administrator. If this command works, the driver is properly signed.
devcon install driver\demoprinter.inf LPTENUM\Yoyodyne_IndustriesDemoPrinter_F84F

rem Now uninstall the test driver and certificate.
devcon remove driver\demoprinter.inf LPTENUM\Yoyodyne_IndustriesDemoPrinter_F84F

certutil -delstore Root Demo_CA

Answer 5

使用 New-SelfSignedCertificate Powershell 中的命令。
打开 powershell 并运行这 3 个命令。

1. 创建证书：

   $cert = New-SelfSignedCertificate -DnsName www.yourwebsite.com -Type CodeSigning -CertStoreLocation 证书：\CurrentUser\My 
     

2. 为其设置密码：

   $CertPassword = ConvertTo-SecureString -String "my_passowrd" -Force -AsPlainText 
     

3. 导出：

   Export-PfxCertificate -Cert "cert:\CurrentUser\My\$($cert.Thumbprint)" -FilePath "d:\selfsigncert.pfx" -Password $CertPassword 
     

您的证书 selfsigncert.pfx 将位于 @ D:/

---

可选步骤： 您还需要将证书密码添加到系统环境变量中。 通过在 cmd 中输入以下内容来执行此操作：

setx CSC_KEY_PASSWORD "my_password"

Answer 6

正如答案中所述，为了使用一种未弃用的方式来签署自己的脚本，应该使用 新的 SelfSignedCertificate。

1. 生成密钥：

New-SelfSignedCertificate -DnsName [email protected] -Type CodeSigning -CertStoreLocation cert:\CurrentUser\My

2. 导出不带私钥的证书：

Export-Certificate -Cert (Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert)[0] -FilePath code_signing.crt

[0] 将使此工作适用于您拥有多个证书的情况...显然使索引与您要使用的证书匹配...或使用一种方法过滤（按指纹或发行人）。

3. 将其导入为受信任的发布者

Import-Certificate -FilePath .\code_signing.crt -Cert Cert:\CurrentUser\TrustedPublisher

4. 将其导入为根证书颁发机构。

Import-Certificate -FilePath .\code_signing.crt -Cert Cert:\CurrentUser\Root

5. 签署脚本（假设此处名为 script.ps1，相应地修复路径）。

Set-AuthenticodeSignature .\script.ps1 -Certificate (Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert)

显然，一旦设置了密钥，您就可以简单地用它签署任何其他脚本。
您可以在 这篇文章。

Answer 7

更新的答案

如果您使用以下 Windows 版本或更高版本：Windows Server 2012、Windows Server 2012 R2 或 Windows 8.1，则 MakeCert 现已弃用，Microsoft 建议使用 PowerShell Cmdlet New-SelfSignedCertificate。

如果您使用的是旧版本（例如 Windows 7），则需要坚持使用 MakeCert 或其他解决方案。 有些人建议公钥基础设施 Powershell (PSPKI) 模块。

原始答案

虽然您可以创建自签名代码签名证书（SPC - 软件发行商证书）一次性，我更喜欢执行以下操作：

创建自签名证书颁发机构（CA）

makecert -r -pe -n "CN=My CA" -ss CA -sr CurrentUser ^
         -a sha256 -cy authority -sky signature -sv MyCA.pvk MyCA.cer

（^ =允许批处理命令行换行）

这将创建一个自签名（-r）证书，带有可导出的私钥 (-pe)。 它名为“My CA”，应放置在当前用户的 CA 存储中。 我们使用 SHA-256 算法。 密钥用于签名（-sky）。

私钥应存储在 MyCA.pvk 文件中，证书应存储在 MyCA.cer 文件中。

导入 CA 证书

如果您不信任 CA 证书，那么它就没有意义，因此您需要将其导入到 Windows 证书存储中。 您可以使用证书MMC管理单元，但是从命令行：

certutil -user -addstore Root MyCA.cer

创建代码签名证书（SPC）

makecert -pe -n "CN=My SPC" -a sha256 -cy end ^
         -sky signature ^
         -ic MyCA.cer -iv MyCA.pvk ^
         -sv MySPC.pvk MySPC.cer

它与上面几乎相同，但是我们提供了颁发者密钥和证书（ -ic 和 -iv 开关）。

我们还需要将证书和密钥转换为 PFX 文件：

pvk2pfx -pvk MySPC.pvk -spc MySPC.cer -pfx MySPC.pfx

如果您使用密码，请使用以下内容

pvk2pfx -pvk MySPC.pvk -spc MySPC.cer -pfx MySPC.pfx -po fess

如果您想保护 PFX 文件，请添加 -po 开关，否则 PVK2PFX 将创建一个没有密码的 PFX 文件。

使用证书对代码进行签名

signtool sign /v /f MySPC.pfx ^
              /t http://timestamp.url MyExecutable.exe

（了解为什么时间戳可能很重要）

如果您将 PFX 文件导入到证书存储中（您可以使用 PVKIMPRT 或 MMC 管理单元），您可以按如下方式对代码进行签名：

signtool sign /v /n "Me" /s SPC ^
              /t http://timestamp.url MyExecutable.exe

signtool /t 的一些可能的时间戳 URL 为：

• http://timestamp.verisign.com/scripts/timstamp.dll
• http://timestamp.globalsign.com/scripts/timstamp.dll
• http://timestamp.comodoca.com/authenticode
• http:// /timestamp.digicert.com

完整的 Microsoft 文档

• signtool
• < a href="http://msdn.microsoft.com/en-us/library/bfsktky3.aspx" rel="noreferrer">makecert
• pvk2pfx

下载

For those who are not .NET developers, you will need a copy of the Windows SDK and .NET framework. A current link is available here: [SDK & .NET][5] (which installs makecert in `C:\Program Files\Microsoft SDKs\Windows\v7.1`). Your mileage may vary.

MakeCert 可从 Visual Studio 命令提示符获取。 Visual Studio 2015 确实有它，并且可以从 Windows 7 中的“开始”菜单中的“VS 2015 开发人员命令提示符”或“VS2015 x64 本机工具命令提示符”（可能全部都在同一文件夹中）下启动。