[軟体] 如何產生 certification 文件, 用來 sign 你的軟体

基本上自己認證自己的 certification 文件是沒意義的, 就好像是一個陌生人, 拿著一張自製的證件, 告訴你他是好人, 你會信嗎?

所以一般而言, 我們通常會找一家認證的公司, 由它提供給我們認證文件. 接著我們用這個認證文件來 sign 軟体. 當散佈到網路上時, 由下載的人自行到公正的單位對你的軟体進行驗證.

舉例來說: 一個陌生人拿一張證件告訴你他是好人, 我們到警察局去驗證這張證件的真偽, 然後藉由相信警察局, 而相信這個陌生人是好人.

 

故對於軟体在網路上流通, 為了避免被人竄改, 一般軟体公司會去一家認證公司 (例如: verisign), 驗證身份, 繳年費後,  搭配指定的密碼, 取得認證檔 pvk 與 spc 檔.

有了這兩個檔, 你就可以用 signtool 簽署你的軟体了. 而使用者的軟体會自動連到已知公正機關檢查認證是否為真, if yes, 然後放心讓使用者繼續安裝軟体.

 

至於有沒有一家認證公司可以提供 Opensource 軟體, 免費的 certification 文件呢? 我記得有, 可是這還得仰賴高手的幫忙. 請高手出面說明一下吧. ^_^

 

有人問我: [如果要產生自己的 pvk 與 spc 自己玩, 也就是發行自己認證的 certification, 那該怎麼做呢?]

很簡單, 四個步驟

只不過你軟体裡面的證件, 沒有在公正的地方登記, 瀏覽器 (ex: IE) 會警告使用者.

Step 1:  建立自己認證自己的 certification 文件

指令:

     makecert -sv mykey.pvk -n "CN=Jing Software Inc." mycert.cer

產生文件:
        mykey.pvk
        mycert.cer

 

Step 2:  轉成工具能使用的 Software Publisher Certificate format

指令:

    cert2spc.exe mycert.cer mycert.spc

產生文件:

    mycert.spc

 

Step 3:  組成 pfx 文件 (PKCS #12)

指令:

    pvk2pfx.exe -pvk mykey.pvk -pi <password> -spc mycert.spc 
                              -pfx mycert.pfx -po <password>

例如:
     pvk2pfx.exe -pvk mykey.pvk -pi demo -spc mycert.spc
                                -pfx mycert.pfx -po demo

產生文件:

          mycert.pfx

 

Step 4: 簽署你的軟體

   signtool.exe sign /f mycert.pfx /p <password>
                             /t <timestamp URL> /v "<file to be signed>”

    例如:

      signtool.exe sign
             /f mycert.pfx
             /p demo 
             /t http://timestamp.verisign.com/scripts/timstamp.dll
             /v "<file to be signed>”

   

Enjoy!

by Jing.

 

延伸閱讀

[1] 井民全, “[Plugin] 如何為你的 ActiveX 元件 (cab 檔) 加入數位簽章 – signtool,” http://mqjing.blogspot.com/2009/03/plugin-activex-cab-signtool.html, 2009/03.