天威诚信|ssl证书|ssl证书购买|ssl证书申请|ev ssl证书
SSL证书配置指南 | 代码签名证书配置指南 | 常见问题 | 知识中心 | SSL工具
Thawte代码签名证书操作指南
天威诚信代码签名证书助手已更新,新版代码签名证书助手功能更强,使用更方便。推荐使用新版代码签名证书助手工具。
批处理旧版Thawte代码签名工具下载:http://www.itrus.cn/soft/Thawte_CodeSigning.rar
 
一、    创建证书请求
1.  开始证书请求
运行“autocsr.bat”工具,填写证书请求信息



2.  确认证书注册信息
Thawte代码签名证书支持中文,但省市、市县信息请确保使用英文或汉语拼音输入。
部分平台在缺少中文字库时会出现中文乱码,推荐使用英文信息注册代码签名证书。



3.  完成证书请求



4.  提交证书请求并备份密钥文件
将生成的certreq.csr文件发送给天威诚信sslcsr@itrus.com.cn邮箱,备份mykey.key文件,等待证书的签发。
在您收到证书签发邮件之前,请不要删除Cert文件夹下mykey.key文件,以避免私钥丢失而导致无法生成签名证书。
 
二、生成代码签名证书
当您的证书被批准后,会收到来自“auth_support_cn@symantec.com”一封主题为“您的Thawte Code Signing Certificate 已被批准”的邮件。
1.  接收并保存代码签名证书
当您的证书请求被批准后,证书将附在签发邮件正文中发送给您。完整复制证书代码(包括:“ -----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”),粘贴到记事本文档中保存,并修改文件名为codesign.cer即可。



2.  生成签名证书
运行cert2pfx.bat,程序将自动查找AutoCSR文件夹下的mykey.key文件,用于创建签名证书。如果您移动过该文件,则您需要选择并输入私钥文件mykey.key路径。
拖放codesign.cer文件到程序窗口中。



设置签名证书mycert.pfx文件保护密码。
在命令行中,您的键盘输入有效但密码输入不会打印到屏幕中。请重复输入保护密码,并在mycert.pfx文件创建成功后,做好证书的备份保存。



证书文件创建成功,mycert.pfx文件默认存储于cert2pfx文件夹下。



3.  调整签名PC机环境
调整签名用PC机环境可提升代码签名证书在客户端的兼容性,避免签名用机已安装的安全更新包对代码签名兼容性造成影响。
打开IE浏览器,选择“工具”=“Internet选项”=“内容”=“证书”(如找不到以下证书信息,请忽略以下步骤)。
删除“中级证书颁发机构”中,主题为“Thawte Code Signing CA - G2”以及“thawte Primary Root CA”的所有证书。
删除“受信任的根证书颁发机构”中,主题为“thawte Primary Root CA”,到期时间为“2036-7-17”的证书。
4.  在签名PC机上安装中级CA证书环境
将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分别粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为intermediate1.cer和intermediate2.cer文件。
分别右键单击intermediate1.cer和intermediate2.cer,选择“安装证书”,将两张中级CA证书按照默认设置安装到签名用PC中。
5.  修改pfx文件密码(可选操作)
在您完成mycert.pfx文件的创建后,如果您还需要修改该文件的保护密码,请进行如下操作:
双击mycert.pfx文件,使用证书导入向导,将pfx文件导入到系统存储区中。注意在导入过程中,选择“标志此密钥为可导出”。



其他使用默认选项,将pfx文件导入到系统存储区中。
证书导入完成后,打开Internet Explorer浏览器,并选择“工具”=“Internet选项”=“内容”=“证书”。在“个人”选项卡中,选中您刚刚导入的代码签名证书,并选择导出。
导出时注意选择“是,导出私钥”



同时选择“如果可能,将所有证书包括到证书路径中”



为了保护您的证书安全,推荐选择“如果导出成功,删除密钥”。这将在您导出包含新密码的pfx文件时,删除导入到系统存储区中的证书文件。
点击下一步,设置新的pfx文件保护密码和文件存储路径,完成pfx文件密码的修改。
 
三、代码签名及签名验证
天威诚信批量代码签名工具SignBatch.bat调用微软signtool.exe,可批量或为单个程序添加签名信息,您可以方便的使用该工具对程序进行签名操作(支持64位驱动代码签名)。
您还可以选购天威诚信代码签名证书USB Key存储介质,用于存储您的证书文件,以保障您的证书密钥安全性。
1.  开始代码签名
运行SignBatch.bat



按照操作提示输入pfx文件位置、保护密码以及需要签名的代码所在路径
将待签名的文件或文件夹拖放入程序窗口,程序将自动为待签名文件或文件夹中的多个文件添加签名



输入软件描述信息
软件描述信息为可选输入信息。以下示例中软件描述为:“天威诚信证书测试”,点击该描述信息,将会打开您的Web浏览器程序,并自动链接到描述超链接中指定的站点(驱动代码默认不添加描述信息)。



如果描述信息留空,则在上图“名称”位置将显示为已签名程序的文件名。



程序将自动为程序添加签名
请留意屏幕提示信息。代码签名过程中,程序需要联接互联网获取当前Internet时间并使用时间戳服务,为代码添加时间戳。如果您在代码签名过程中,没有联接网络或使用受限的网络环境,则您将无法使用时间戳服务来进行签名。不使用时间戳服务将不会影响您的代码签名结果。
2.  验证代码签名
简单的验证方式:
鼠标右键选中您已完成签名的代码,选择“属性”?“数字签名”。通过查看数字签名中的签名信息,确认签名已成功。
使用chktrust.exe验证签名:
 “开始”=“运行”=“CMD”,命令行进入chktrust.exe文件所在文件夹,运行命令:
chktrust <已签名文件路径>



严格的验证代码签名则需要在测试环境下部署并测试您的代码。
USB Key代码签名
天威诚信代码签名证书USB Key无需安装驱动程序,即插即用。在签名过程中需要输入USB Key用户PIN码。并可设置PIN码最大错误尝试次数,当输入PIN码错误次数超过最大尝试次数时,USB Key将被锁定。
请参考USB Key管理手册,将证书导入到USB Key中(导入过程只需要操作一次)。
插入您的USB Key后,请运行“USB Key Sign.bat”,将待签名的文件或文件夹拖放入程序窗口,程序将自动为待签名文件或文件夹中的多个文件添加签名。



在要求您输入用户PIN码时,正确输入您的用户PIN码,完成批量代码签名操作。
 
四、代码签名证书的备份
请妥善备份并保管您的证书密钥文件,防止未授权的证书使用及证书丢失情况的发生。您可以使用以下任意一种方式备份您的证书文件:
1.  备份mycert.pfx文件及文件保护密码
2.  保存USB Key硬件证书,并备份USB Key管理密码