本使用指南是指如何使用微软代码签名证书(.pfx格式)来给微软代码签名,使用之前,您必须先把 WoSign代码签名证书的两个证书文件(myCert.pvk 和 myCert.spc)转换为.pfx格式。或在在线申请证书时选择Windows为CSP。
考虑到微软的代码签名软件 SignCode.exe 的缺省的“典型”签名类型,就是“从存储区选择”签名证书,同时由于微软的 Office 宏代码签名只支持同时包含了私钥和公钥的 PFX 格式签名证书,也就是直接“从存储区选择”签名证书。同时考虑到针对DOS设计的双证书文件(.pvk和.spc)使用不方便,而容易丢失, 所以, WoTrust强烈推荐用户在收到双证书后转换为PFX格式,保存在证书存储处。而证书存储区可以是 Windows 操作系统的证书存储区,也可以把 USB Key 作为证书存储区 ,用户可以从 Windows 的证书存储区导出备份签名证书,导出的证书格式为 PFX 格式。
WoSignt代码签名证书的根证书链为: UTN-USERFirst-Object - WoSign Code Signing Authority
请注意:如果您使用WoSign代码签名证书的PFX格式签名,请确保您的电脑上一定已经安装了颁发 WoSign 代码签名证书的中级根证书:WoSign Code Signing Authority (会在申请证书的电脑上自动安装,此中级根证书只是要求签名操作电脑上有就可以了,并不要求最终用户电脑上有,请不要搞混淆!)(使用Thawte或Verisign的代码签名证书也同样要求签名电脑上有其相应的中级根证书)。
使用微软的 SignCode.exe 就可以对微软的代码进行签名,如果您没有此文件,您可以点击 这里下载。 Signcode.exe 可以使用 DOS 命令行方式实现签名,我们推荐用户使用数字签名向导方式,简单方便。请注意:如果您开发的ActiveX为IE加载项,请先数字签名每个CAB文件中的.dll和.ocx等文件,再把这些文件打包成.cab文件后再数字签名.cab文件,以确保所有IE加载项都被IE验证和信任,否则会显示“未验证”而可能影响正常运行。
具体签名向导过程如下:
(1) 运行 Signcode.exe ,要求您选择需要签名的文件,支持:可执行文件 (*.exe; *.dll; *.ocx) ; Cabinet 打包文件 (*.cab) 和目录文件 (*.cat) ,如下图 1 所示 ( 如: TestSign.cab) ,请注意:如果签名的文件已经有数字签名,则会被新的签名覆盖:
|