Discussion :

[jv2759]

Bonjour, j'ai besoin de signer un .exe

Jusqu'à aujourd'hui je m'en sortais en utilisant "signtool signwizard" je lui donner un pvk, un spc, un p7b, mon mots de passe et cela signer correctement.

Aujourd'hui je lance l'outils il ne veux plus de signwizard. Je regarde sur internet et en effet la fonction ne semble plus active depuis un certain temps.

Je suis donc dans l'obligation de le faire en ligne de commande. La signature en elle même ne pause pas de problème, j'ai crée un .pfx et lancé la ligne :

signtool sign /f certificat.pfx /p monMDP /q monLogiciel.exe

Le problème c'est que le certificat proviens de "Thawte Code Signing CA - G2" qui n'est pas reconnus nativement par le système.

Avec le signwizard je n'avais pas de problème il me suffisais lors de l'installation d'ajouter un fichier .p7b qui contenait les certificat jusqu'à une autorité reconnus.

Je choisissais : "Certificats contenus dans le fichier PKCS" et j'attachais mon .p7b

Mais en ligne de commande je n'y arrive pas, la doc n'indique rien :
http://msdn.microsoft.com/en-us/libr...yaz.aspx#catdb

j'ai essayer au petit bonheur la chance les autres options et rien ne marche.


Si quelqu'un avait une piste pour ajouter mon certificat racine.


PS : la version de signtool.exe (6.1.7600.16385) en date du 13/05/2010 que j'ai trouver avec "Windows SDK for Windows 7 and .NET Framework 4" j'ai tenter une mise à jour avec "winsdk_web.exe" et il ne m'as rien installer.

[jv2759]

J'ai trouver une solution, je suis passer par ksign :

http://codesigning.ksoftware.net/index.html?src=ksign

C'est pas forcement la solution idéal, genre il ouvre une pages internet à chaque fois que je l'utilise pour signer un exe (ils n'ont pas de version payante, mais il pousse à acheter le certificat chez leur partenaire). Mais bon on peux le lancer en ligne de commande et il ne faut pas avoir un bac +5 en msdn pour pouvoir l'utiliser.

[bertrandlq]

Même si ma réponse est très éloignée de la date du sujet principal, voici une information complémentaire.

Débutant sur le sujet, j'ai donc cherché sur le Web et je suis tombé sur le Post de Developpez.com et comme la réponse précédente, je suis arrivé sur ce logiciel (il en existe quelques autres), mais cela ne me convenait pas. Donc voici un lien qui décrit la procédure de création et d'utilisation d'un certificat (Code Signing) pour logiciel Windows : http://www.cyotek.com/blog/creating-...-with-startssl

Le contenu donne des informations orientées vers le service StartSSL (a priori le moins cher du Web: 59$), mais peut correspondre à d'autres services. Dans mon cas, je souhaitais signer un Freeware, donc pas vraiment envie de dépenser 200/300$ pour signer le soft.

J'ai testé de bout en bout et ce la fonctionne. Les logiciels comme kSign sont intéressants, mais un bon fichier CMD c'est aussi bien :

Premier fichier de commandes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
Echo off

REM Create key and CSR (key must be at least 2048 bit, per Policy Statement)
openssl req -nodes -newkey rsa:2048 -keyout votre_nom_ou_societe.key -out votre_nom_ou_societe.csr

REM Add pass phrase to key (optional, but highly recommended) - mot de passe demandé en mode interactif par OpenSSL
openssl rsa -in votre_nom_ou_societe.key -des3 -out votre_nom_ou_societe_final.key

Second fichier de commandes (le fichier crt est celui créé par le site de signature avec le fichier key généré par opensssl)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
Echo off

REM Microsoft's signtool.exe command requires that certificates be in the 
REM Personal Information Exchange (PFX) format instead. So we'll need to convert the certificate using the private key.
openssl pkcs12 -export -out votre_nom_ou_societe_final.pfx -inkey votre_nom_ou_societe_final.key -in votre_nom_ou_societe_final.crt -password pass:"votre_mot_de_passe_de_la_seconde_commande_openssl"

Troisième et dernier fichier de commandes, qui sera le plus utilisé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
ECHO OFF
ECHO Initialisation...

set mySignToolPath=
set mySignTool=%mySignToolPath%signtool.exe

set myProgram=mon_super_programme.exe
set mySignature=votre_nom_ou_societe_final.pfx

set myDescription=Ce programme fait ceci et cela et il est gratis
set myUrl=www.votre_site.com
set myPassword=votre_mot_de_passe_de la seconde_commande_openssl
set timeStamp=http://timestamp.verisign.com/scripts/timestamp.dll

ECHO Signature du programme... 
"%mySignTool%" sign /d "%myDescription%" /du "%myUrl%" /f "%mySignature%" /p "%myPassword%" /t %timeStamp% "%myProgram%"

Après, la vérification est simple

• clic droit sur le fichier, puis Propriétés et vérification dans l'onglet "Signatures numériques" que c'est bien vous.
• Lancer l’exécution du logiciel pour voir le message Windows que c'est bien signé !