在基于 Linux 的发行版上对 Windows 应用程序进行签名

2024-11-08 08:44:00
admin
原创
52
摘要:问题描述:我准备了一个应用程序和网站,客户可以在下载之前设置此应用程序的几个选项。设置以二进制格式存储在文件末尾(附加),然后将编辑后的文件发送给最终用户。问题是文件“内容”的更改会破坏文件签名 - 是否有机会使用任何命令行工具重新签名此更改的文件?我尝试使用 Microsoft 的 SignTool,但它在...

问题描述:

我准备了一个应用程序和网站,客户可以在下载之前设置此应用程序的几个选项。设置以二进制格式存储在文件末尾(附加),然后将编辑后的文件发送给最终用户。问题是文件“内容”的更改会破坏文件签名 - 是否有机会使用任何命令行工具重新签名此更改的文件?我尝试使用 Microsoft 的 SignTool,但它在 Linux 上无法正常工作。


解决方案 1:

你可以尝试osslsigncode

要签署 EXE 或 MSI 文件,您现在可以执行以下操作:

osslsigncode sign -certs <cert-file> -key <der-key-file> \n        -n "Your Application" -i http://www.yourwebsite.com/ \n        -in yourapp.exe -out yourapp-signed.exe

或者如果您使用带有密码的 PEM 或 PVK 密钥文件以及 PEM 证书:

osslsigncode sign -certs <cert-file> \n        -key <key-file> -pass <key-password> \n        -n "Your Application" -i http://www.yourwebsite.com/ \n        -in yourapp.exe -out yourapp-signed.exe

或者如果您还想添加时间戳:

osslsigncode sign -certs <cert-file> -key <key-file> \n        -n "Your Application" -i http://www.yourwebsite.com/ \n        -t http://timestamp.verisign.com/scripts/timstamp.dll \n        -in yourapp.exe -out yourapp-signed.exe

您可以使用存储在 PKCS#12 容器中的证书和密钥:

osslsigncode sign -pkcs12 <pkcs12-file> -pass <pkcs12-password> \n        -n "Your Application" -i http://www.yourwebsite.com/ \n        -in yourapp.exe -out yourapp-signed.exe

要对包含 Java 类文件的 CAB 文件进行签名:

osslsigncode sign -certs <cert-file> -key <key-file> \n        -n "Your Application" -i http://www.yourwebsite.com/ \n        -jp low \n        -in yourapp.cab -out yourapp-signed.cab

解决方案 2:

使用 signtool 来完成这项工作实际上非常简单Mono;棘手的部分(在链接的 Mozilla 文章中有更详细的描述)是将证书以正确的格式从 Windows 复制到 Linux。

将 Windows PFX 证书文件转换为 PVK 和 SPC 文件,仅需在将证书从 Windows 复制到 Linux 时执行一次;

openssl pkcs12 -in authenticode.pfx -nocerts -nodes -out key.pem
openssl rsa -in key.pem -outform PVK -pvk-strong -out authenticode.pvk
openssl pkcs12 -in authenticode.pfx -nokeys -nodes -out cert.pem
openssl crl2pkcs7 -nocrl -certfile cert.pem -outform DER -out authenticode.spc

实际上对 exe 进行签名很简单;

signcode \n -spc authenticode.spc \n -v authenticode.pvk \n -a sha1 -$ commercial \n -n My Application \n -i http://www.example.com/ \n -t http://timestamp.digicert.com/scripts/timstamp.dll \n -tr 10 \n MyApp.exe

解决方案 3:

如果您想在运行时以编程方式执行此操作,则可以使用Jsign工具。特别是当您通过请求签名在后端生成可自执行的存档时,它会非常有用。显然,您可以使用 Java/Kotlin 来执行此操作(该工具的名称暗示了这一点)。这是官方网站提供的 API:

只需将此依赖项添加到项目中:

    <dependency>
      <groupId>net.jsign</groupId>
      <artifactId>jsign-core</artifactId>
      <version>3.1</version>
    </dependency> 

然后AuthenticodeSigner像这样使用该类:

 KeyStore keystore = KeyStoreUtils.load(newFile("keystore.p12"), "PKCS12", "password", null);

 AuthenticodeSigner signer = new AuthenticodeSigner(keystore, "test", "secret");  signer.withProgramName("My Application")
       .withProgramURL("http://www.example.com")
       .withTimestamping(true)
       .withTimestampingAuthority("http://timestamp.comodoca.com/authenticode");

 Signable file = Signable.of(new File("application.exe")); 
 signer.sign(file); 

有关 API 的更多详细信息,请参阅Javadoc 。

除了通过 Java 签名KeyStore AuthenticodeSigner(Certificate, PrivateKey)构造函数之外,您可以像我在“Spring on Kotlin”后端中一样自由使用它:

    @Bean
    fun certsChain(): Array<Certificate> {
        val fact: CertificateFactory = CertificateFactory.getInstance("X.509")
        val `is` = ResourceUtil.getResourceFileAsInputStream("cert/certificate.pem")
        val cer: X509Certificate = fact.generateCertificate(`is`) as X509Certificate
        return arrayOf(cer)
    }

    @Bean
    fun privateKey(): PrivateKey {
        var key = ResourceUtil.getResourceFileAsString("cert/privateKey.pem")
        key = key.replace("-----BEGIN PRIVATE KEY-----", "")
        key = key.replace("
", "")
        key = key.replace("-----END PRIVATE KEY-----", "")
        val encoded = Base64.getDecoder().decode(key)
        val kf = KeyFactory.getInstance("RSA")
        val keySpec = PKCS8EncodedKeySpec(encoded)
        return kf.generatePrivate(keySpec) as RSAPrivateKey
    }

    @Bean
    fun signer(
            certs: Array<Certificate>,
            privateKey: PrivateKey
    ): AuthenticodeSigner =
            AuthenticodeSigner(certs, privateKey)
                    .withProgramName("Your Company Name")
                    .withProgramURL("https://something.com")
                    .withTimestamping(true)
                    .withTimestampingAuthority("http://timestamp.comodoca.com/authenticode");

之后,你可以直接使用@Autowirebean并使用所需文件signer调用其方法sign()

相关推荐
  为什么项目管理通常仍然耗时且低效?您是否还在反复更新电子表格、淹没在便利贴中并参加每周更新会议?这确实是耗费时间和精力。借助软件工具的帮助,您可以一目了然地全面了解您的项目。如今,国内外有足够多优秀的项目管理软件可以帮助您掌控每个项目。什么是项目管理软件?项目管理软件是广泛行业用于项目规划、资源分配和调度的软件。它使项...
项目管理软件   681  
  在项目管理领域,集成产品开发(IPD)流程以其高效、协同的特点,被众多企业视为提升产品竞争力的关键。IPD流程强调跨部门、跨职能的紧密合作,以确保产品从概念到市场各个环节的无缝衔接。然而,实现这一目标并非易事,它需要企业深刻理解并掌握IPD流程中的跨部门协作艺术。本文将深入探讨IPD流程中跨部门协作的三个关键点,旨在为...
IPD项目管理咨询   9  
  掌握IPD流程图:提升团队协作的关键路径在当今快速变化的商业环境中,团队协作的效率与效果直接关系到项目的成功与否。集成产品开发(Integrated Product Development,简称IPD)作为一种先进的研发管理理念,通过跨部门、跨领域的协同工作,能够显著提升产品开发的速度与质量。而IPD流程图,则是这一理...
IPD流程阶段   9  
  IPD流程概述:理解其核心价值与实施背景集成产品开发(Integrated Product Development,简称IPD)是一种先进的产品开发管理理念,它强调跨部门协作、市场导向和快速响应变化的能力。IPD流程不仅关注产品本身的技术创新,更注重将市场、研发、生产、销售等各个环节紧密集成,以实现产品从概念到市场的高...
华为IPD是什么   7  
  在项目管理领域,IPD(Integrated Product Development,集成产品开发)流程以其跨部门协作、高效决策和快速响应市场变化的特点,被众多企业视为提升竞争力的关键。然而,实践IPD流程并非易事,项目管理中的种种错误往往阻碍了其效果的充分发挥。本文旨在深入探讨如何在实施IPD流程时避免这些常见错误,...
IPD框架   7  
热门文章
项目管理软件有哪些?
云禅道AD
禅道项目管理软件

云端的项目管理软件

尊享禅道项目软件收费版功能

无需维护,随时随地协同办公

内置subversion和git源码管理

每天备份,随时转为私有部署

免费试用