信号工具.exe/dg/ds/di选项和时间戳 [英] Signtool.exe /dg /ds /di options and timestamping

问题描述

我们正在使用signtool.exe摘要选项优化数字签名过程。到目前为止，工作流程如下所示：

1. 在客户端创建摘要：signtool.exe sign/f cert/fd sha256/dg。MyFile.dll
2. 将MyFile.dll.dig摘要发送到我们的签名服务器。
3. 签名服务器上的签名摘要：signTool.exe sign/f cert/fd sha256/ds MyFile.dll.Dig
4. 将签名MyFile.dll.dig.sign发回客户端。
5. 在客户端创建签名：signtool.exe sign/di.MyFile.dll
6. 在客户端添加时间戳：signtool.exe时间戳/trhttp://some_timestamp_server/td sha256 MyFile.dll

有没有办法在签名服务器上执行时间戳？

推荐答案

有没有办法在签名服务器上执行时间戳？

不能，除非将整个文件传输到您的签名服务器。时间戳是直接应用于文件本身的操作，因此文件必须存在于本地。您的远程签名服务只起作用，因为只需要签名摘要，而不是完整的二进制文件。但是，正如您所指出的，您仍然需要使用/disignTool选项在本地接收签名摘要。

您可以做的是创建一个自定义工具来根据您的要求以编程方式对文件进行签名和时间戳。有关如何使用支持时间戳的SignerSignEx2函数，请参阅这篇Microsoft文章。
https://docs.microsoft.com/en-us/windows/win32/appxpkg/how-to-programmatically-sign-a-package?redirectedfrom=MSDN

您可能已经看到了这一点，但我还将介绍一下AzureSignToolrepo，它使用未记录的SignerSignEx3函数通过回调执行签名。您可以合理地将Azure功能替换为对某个其他自定义签名服务的调用。

这篇关于信号工具.exe/dg/ds/di选项和时间戳的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！