Sertifisert nøkkelkompetanse

Sertifikater har alltid vært vanskelig. 

Jeg trengte plutselig å signere noen MSI'er jeg lager, noe jeg aldri har gjort før.  Etter mye fomling og googling kom jeg frem til en måte som tilsynelatende fungerer.

 

1. Sertifikater

Når vi får kodesigneringssertifikater fra Uninett, får vi dem i PKCS #7-format (.p7b) med tilhørende private key som PEM (i en .key). For å gjøre kodesignering på Windows trenger man imidlertid et sertifkat med inkluder private key i PFX-format.

$ openssl pkcs7 -print_certs  -in sertifikat.p7b -out sertifikat.cer

$ openssl pkcs12 -export -in sertifikat.cer -inkey sertifikat.key -out sertifikat.pfx

2. Signering

Selve signeringen gjøres med signtool.exe. Denne følger med Visual Studio. Kjør så Visual Studio Command Prompt og si:

signtool sign /f sertifikat.pfx /t http://timestamp.verisign.com/scripts/timestamp.dll /p <passphrase> en_eller_annen.fil

Timestamp gjør at filen fremdeles verifiserer etter at gyldighetstiden på sertifikatet har gått ut.

 

--Gunnar

Publisert 2. feb. 2017 12:43
Legg til kommentar

Logg inn for å kommentere

Ikke UiO- eller Feide-bruker?
Opprett en WebID-bruker for å kommentere