关于微软停用SHA-1代码签名的解决方法

微软计划在2017年1月1日全部停用不安全的SHA-1哈希算法的代码签名证书，沃通积极响应微软的更新计划，提前帮助用户升级SHA-2算法的代码签名证书，（此计划只适用于win7、win8操作系统，win10操作系统请使用EV代码签名证书），更新SHA-2算法的代码签名证书后签名方法有所变化，具体如下：

一、 代码签名证书的安装
2.1 获取代码签名证书

成功在沃通申请代码签名证书后，会得到一个有sha256字段的带密码的压缩包文件 ，输入证书密码后解压得到两个文件：pfx+MS、pvk+spc，这个是证书的两种格式，解压pfx+MS.zip文件，签名内核需要用到pfx格式的证书。

图1

2.2 解压证书文件

打开文件可以看到3个文件。包括交叉根和用户代码签名证书，如图2

图2

二、 三3 内核代码签名

3.1 用SignTool签名工具签名：

现在，就可以使用WDK的 SignTool 签名你的文件了。先将您的证书XXX.pfx文件和微软签发的内核签名交叉根证书MS_XS.crt放到签名signtool工具所在目录，

签名命令为：

XP用户：signtool sign /v /ac MS_XS.crt /f xxx.pfx /p 密码 /t http://timestamp.digicert.com my.sys

Win7/8用户：signtool sign /v /ac MS_XS.crt /f xxx.pfx /p 密码 /tr http://timestamp.digicert.com my.sys

其中：

(1) /ac： 加载内核签名专用交叉根证书，MS_XS.crt 是微软签发的交叉根证书；

(2) /f xx.pfx： 加载代码签名证书。请把颁发给你的用户证书放到signtool目录下，或者指定文件路径；

(3) /p 密码：申请证书时候设置的密码；

(4) /t,/tr： 为代码加上WoSign时间戳，确保签名后的代码永不过期；

(5) my.sys:就是您要签名的内核文件，当然可以是其他类型文件，如.dll,.cat, .exe文件，或者指定文件路径；

请注意：签名时，一定要保证能连上互联网，否则由于无法访问时间戳服务器而失败。

签名完成后，如果显示“Successfullysigned and timestamped”(成功签名与加上时间戳)，

备注：由于部分win7 sp1(其它win7系统请下载如下补丁先升级到sp1)和windows2008R2没有安装补丁可能导致安装驱动提示错误，

请下载以下链接的补丁进行安装：

http://www.wosign.com/download/Windows6.1-KB3033929-x86.zip 32位系统补丁

http://www.wosign.com/download/Windows6.1-KB3033929-x64.zip 64位系统补丁

https://www.microsoft.com/zh-cn/download/details.aspx?id=5842    win7 sp1升级补丁

直接使用沃通代码签名工具省事省力省心

ikimi 发表于 2016-10-27 12:45
直接使用沃通代码签名工具省事省力省心

无意看到ikimi在网上发布的（沃通数字证书(一键吊销)工具 1.0 Build 16.0903），不知道是做什么用的？

Regan 发表于 2016-10-27 14:10
无意看到ikimi在网上发布的（沃通数字证书(一键吊销)工具 1.0 Build 16.0903），不知道是做什么用的？

方便手工操作相关证书相关权限。