快捷导航
本帖最后由 WS_Daniel 于 2019-3-15 14:04 编辑

微软计划在2017年1月1日全部停用不安全的SHA-1哈希算法的代码签名证书,沃通积极响应微软的更新计划,提前帮助用户升级SHA-2算法的代码签名证书,(此计划只适用于win7、win8操作系统,win10操作系统请使用EV代码签名证书),更新SHA-2算法的代码签名证书后签名方法有所变化,具体如下:
一、 代码签名证书的安装
2.1 获取代码签名证书
成功在沃通申请代码签名证书后,会得到一个有sha256字段的带密码的压缩包文件 1.png ,输入证书密码后解压得到两个文件:pfx+MS、pvk+spc,这个是证书的两种格式,解压pfx+MS.zip文件,签名内核需要用到pfx格式的证书。

2.jpg
图1
2.2 解压证书文件
打开文件可以看到3个文件。包括交叉根和用户代码签名证书,如图2
3.png
图2

二、 三3 内核代码签名

3.1 SignTool签名工具签名
现在,就可以使用WDK的 SignTool 签名你的文件了。先将您的证书XXX.pfx文件和微软签发的内核签名交叉根证书MS_XS.crt放到签名signtool工具所在目录,
签名命令为:

XP用户signtool sign /v /ac MS_XS.crt /f xxx.pfx /p 密码 /t http://timestamp.digicert.com my.sys
Win7/8用户:signtool sign /v /ac MS_XS.crt /f xxx.pfx /p 密码 /tr http://timestamp.digicert.com my.sys
其中:
(1) /ac加载内核签名专用交叉根证书,MS_XS.crt 是微软签发的交叉根证书;
(2) /f xx.pfx加载代码签名证书。请把颁发给你的用户证书放到signtool目录下,或者指定文件路径;
(3) /p 密码:申请证书时候设置的密码;
(4) /t,/tr: 为代码加上WoSign时间戳,确保签名后的代码永不过期;
(5) my.sys:就是您要签名的内核文件,当然可以是其他类型文件,如.dll,.cat, .exe文件,或者指定文件路径;
请注意:签名时,一定要保证能连上互联网,否则由于无法访问时间戳服务器而失败。
签名完成后,如果显示“Successfullysigned and timestamped”(成功签名与加上时间戳),



备注由于部分win7 sp1(其它win7系统请下载如下补丁先升级到sp1)windows2008R2没有安装补丁可能导致安装驱动提示错误,
请下载以下链接的补丁进行安装:




举报 使用道具
| 回复

共 3 个关于关于微软停用SHA-1代码签名的解决方法的回复 最后回复于 2016-10-28 12:00

ikimi 版主 发表于 2016-10-27 12:45:46 | 显示全部楼层
直接使用沃通代码签名工具省事省力省心
举报 使用道具
Regan 金牌会员 发表于 2016-10-27 14:10:42 | 显示全部楼层
ikimi 发表于 2016-10-27 12:45
直接使用沃通代码签名工具省事省力省心

无意看到ikimi在网上发布的(沃通数字证书(一键吊销)工具 1.0 Build 16.0903),不知道是做什么用的?
举报 使用道具
ikimi 版主 发表于 2016-10-28 12:00:13 | 显示全部楼层
Regan 发表于 2016-10-27 14:10
无意看到ikimi在网上发布的(沃通数字证书(一键吊销)工具 1.0 Build 16.0903),不知道是做什么用的?

方便手工操作相关证书相关权限。
举报 使用道具
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发新帖

版块推荐百宝箱

快速回复 返回顶部 返回列表