使用signtool创建密钥和签名可执行文件

Question

如何签署 Visual C# 可执行文件？

SignTool.exe 找不到证书。

我如何创建自签名密钥和证书，并使signtool能够查看并使用证书？

OpenSSL 和 Visual Studio 2010 Express 已安装。运行 Windows 7 旗舰版 x64。

使用 Windows 驱动程序工具包中的 SignTool.exe。

Answer 1

使用自签名证书对二进制文件进行数字签名几乎违背了使用数字证书的概念程序。基本思想是证明代码是由您创建的（真实性）并且自您发布以来没有被修改过（完整性）。这必须通过使用由受信任的证书颁发机构 (CA) 签署的签名证书来完成。

使用 .Net，当二进制文件经过数字签名时，它是 在启动期间自动验证完整性和真实性。虽然我没有亲自测试过这一点，但使用自签名证书可能会给您带来很多问题。

如果您想对程序进行数字签名，则需要购买来自 CA 的代码签名证书。有许多公司可以提供此服务（Verisign、Thawte），需付费。

虽然费用可能看起来有点过高，但请记住，您不仅购买数字证书，还购买该证书的 24/7 验证。每当有人启动您的程序时，它都会确保该程序是由您编写的，并且自您发布以来该程序没有被更改。

获得证书后，您可以按照 如何：签署应用程序和部署清单。

更新：如果此计划严格来说是一个内部应用程序（仅限于您或您的企业），您可以创建自己的 CA。由于您是唯一运行它的人，因此只有您需要验证它。 CA 证书需要作为受信任的根证书安装在所有运行该程序的计算机（或者如果您有权访问 Windows Server，则可以设置一个真正有效的 CA）。