Comment créer PFX avec ma chaîne de certificats?

je suis en train d'utiliser une signature numérique à mon exécutable. À l'aide de signtool sur Windows XP ou Windows Vista:

>signtool.exe sign /f "avatar.pfx" MyApp.exe

automatiquement inclus l'ensemble de la chaîne de certification de la signature numérique.

À partir de Windows 7 l'ensemble de la chaîne de certification est pas de plus inclus. Vous devez inclure manuellement le certificat que:

  • signé votre clé
  • signé le certificat signé de votre clé
  • ...
  • ...jusqu'à ce qu'il n'y a plus de certificats d'inclure

je me dit que j'ai pour ce faire, utilisez l'option /ac interrupteur avec le signtool utilitaire.

De La documentation MSDN signtool:

/ac nom de fichier

Spécifie un fichier qui contient un certificat supplémentaire à ajouter pour le bloc de signature.

Comment puis-je obtenir le nom de fichier du certificat signé mon certificat?

C'est plus de confusion, car je n'ai pas de tel fichier. j'ai mon signés numériquement exécutable avec pas intégré la certification de la chaîne:

Comment créer PFX avec ma chaîne de certificats?

Stackoverflow utilisateur davidcl a la même question. Dans ce auto-répondu répondre il dit que j'ai besoin de

ne la signature à l'aide d'un fichier PFX qui contient le certificat racine, intermédiaire, certificat, certificat de développeur, et la clé privée.

Après la création de la approprié fichier PFX - qui a été une odyssée en elle-même...

Mais il ne donne pas la façon dont il a créé le PFX qui contient l'ensemble de la chaîne de certification.

Voir aussi

Serait-il OK si je vous ai donné une description à l'aide d'OpenSSL?
Si c'est une analogie qui pourrait être utile - bien sûr.
Pour obtenir ce droit, vous en avez un .pfx qui ne contient qu'un seul certificat?
j'ai eu un pfx qui ne contenait que notre certificat, et notre clé privée. a) convertir certificat cps (Certificat de Publication de Logiciel): >cert2spc.exe Avatar.cer Avatar.spc b) combiner la cps et de la Clé Privée (pvk) en pfx: >pvk2pfx.exe -pvk Avatar.pvk -spc Avatar.spc -pfx Avatar.pfx
Je suis confus - est-ce à dire que cela a résolu votre problème?

OriginalL'auteur Ian Boyd | 2011-07-11

  1. 7

    Installer OpenSSL pour Windows. Une fois accompli, vous avez la openssl.exe exécutable quelque part sur votre système.

    Maintenant, procédez comme suit.

    1. openssl pkcs12-in avatar.pfx -out avatar.pem -nœuds

    (Vous devez entrer le .pfx mot de passe ici)

    1. openssl pkcs12-in avatar.pfx -out mycert.pem -nœuds -clcerts

    (de nouveau PW)

    1. openssl x509-in mycert.pem -out mycert.cer-outform DER

    Maintenant, ouvrez votre Explorateur et double-cliquez sur le mycert.la cer. Afficher les détails et quelque part il va parler de l'émetteur. C'est la société qui a émis votre magasin de clés, votre prochain objectif est d'obtenir leurs certificats intermédiaires et le dernier certificat racine. Si vous avez de la chance, il y a une extension appelée "Autorité de l'Accès à l'Information" dans votre certificat qui vous indique où obtenir le certificat d'émission directement. Si vous n'êtes pas aussi chanceux, alors vous trouverez une URL pour OCSP d'accès dans la partie "Informations de l'Autorité" ou une URL pour les listes de révocation de certificats par l'extension de liste CRL Distribution Points". Ceux-ci devraient au moins vous donner une vague idée du vendeur "page d'accueil". En cas de doute, il suffit de google, ou demandez-moi encore une fois 🙂

    Si vous êtes sur le fournisseur de la page, vous aurez à regarder pour les certificats d'autorité de certification" ou "Certificats Intermédiaires". Vous avez besoin de télécharger celui dont le nom est exactement le même que ce que vous avez trouvé dans le champ "issuer" de votre propre certificat.

    Maintenant le plus drôle: Le certificat que vous venez de trouver aurai de nouveau un champ "issuer". Vous avez de la chance si l'émetteur est la même société (généralement le cas pour les gros Tas comme VeriSign), puis vous trouverez le certificat correspondant, sur le même site que vous êtes actuellement sur. Sinon, répétez les étapes précédentes.

    Répétez cette lourdeur de la procédure jusqu'à ce que vous êtes à un point où vous avez trouvé un certificat dont le champ "Sujet" est exactement le même que son champ "issuer". Vous êtes fait. C'est un soi-disant "auto-signé certificat racine".

    La plupart de ces certificats venir dans "DER"/"l'ASN.1"/"X. 509" format - si vous avez le choix, télécharger des "PEM" format, sinon vous devez d'abord convertir les certificats en "PEM" format par

    openssl x509 -in cert.der -inform DER -out cert.pem

    Une fois que vous avez tous les certificats manquants au format PEM

    1. ouvrir le fichier créé à l'étape 1, avatar.pem, dans un éditeur de texte.

    2. ouvrir le certificat manquant PEM fichiers dans des fenêtres séparées

    3. copie des certificats manquants (l'ensemble du dossier, y compris l' "----- BEGIN CERTIFICATE -----" et "----- END CERTIFICATE -----") et de les ajouter à avatar.pem

    4. enregistrer le résultat

    5. question

    openssl pkcs12-export -en avatar.pem -out newavatar.pfx -nom","

    Vous devrez entrer un nouveau mot de passe qui sera utilisé avec le nouveau fichier.

    À la fin j'avais un moyen beaucoup plus facile d'obtenir un .cer fichier de certificat qui a signé mon certificat. j'ai acheté une version de mon application que j'ai signé sur Windows Vista, vu l'application numérique de la signature de là, et a été en mesure de regarder et d'importation, le cert dans mon magasin de certificats. Ensuite, j'ai été en mesure d'exporter vers un .cer fichier et le supprimer à partir du magasin. Mais je suppose que cette réponse fonctionne quand je n'ai pas accès à une version de l'application signé sur XP ou Vista.
    Je vois, le magasin de certificats Windows complète de la chaîne de certificat pour vous. Nice one, n'a pas pensé à ça. J'ai eu à faire exactement la même procédure que j'ai décrite sur un système Linux une fois, il n'y avait pas une telle aide 🙂
    Eh bien, je n'ai pas le certificat intermédiaire. Mais par diging un vieux signé exécutable, j'ai été en mesure de "pêcher" le certificat et l'enregistrer sur le disque dur. Une fois que j'ai eu le certificat, j'ai pu utiliser le /ac commutateur de signtool pour inclure le certificat de signature la signature.

    OriginalL'auteur emboss

  2. 1

    Mineur additif à Ian commentaire ci-dessus "À la fin j'avais un moyen beaucoup plus facile pour obtenir un .cer...". Ces jours-ci lorsque vous exportez votre signature de code pfx de la Thawte page web, vous pouvez spécifier que vous voulez l'ensemble de la chaîne inclus. Par conséquent, vous pouvez importer le fichier pfx avec certmgr.msc, puis exporter le seul Thawte intermédiaire certificat de codesign.fichier cer. Ensuite l'utiliser avec le signtool /ac interrupteur. Pas besoin d'avoir une vieille application signée. Assurez-vous de supprimer votre temp certificat dans le magasin, de sorte que votre test de la nouvelle application signée est valide. --William Croft

    OriginalL'auteur wjcroft