Цифровая подпись

← →
Scott Storch (2011-03-02 13:06) [0]

Доброго времени суток. Стала задача прицепить к приложению цифровую подпись, чтобы kaspersky не ругался. Как это сделать, в общих чертах, читаю тут, что нужно получать сертификат.

← →
Anatoly Podgoretsky © (2011-03-02 13:20) [1]

> Scott Storch (02.03.2011 13:06:00) [0]

В общих чертах надо купить нужный сертификат, с этим на verisign.com

← →
Scott Storch (2011-03-02 13:30) [2]

а что потом, после того как куплю, как подписать ею приложение. подробной инфы как то не особо много.

← →
clickmaker © (2011-03-02 13:36) [3]

например http://msdn.microsoft.com/ru-ru/library/8s9b9yaz%28v=vs.90%29.aspx

← →
XXL (2011-03-02 13:50) [4]

> Стала задача прицепить к приложению цифровую подпись, чтобы kaspersky не ругался.

Только ради этого ?

Да кто он такой это каспер ?
Да по какому праву каспер ругается, его дело вирусы ловить а не безобидные программы клеймить.
Да я бы создал движение в праве программ не иметь "печати Диавола" в виде цифровой подписи !

← →
Scott Storch (2011-03-02 14:21) [5]

а если, к примеру, нужно подписать 2 приложения: клиентское и серверное - на каждое нужно покупать отдельный сертификат?

← →
Медвежонок ХМЛ © (2011-03-02 14:26) [6]

на каждую строчку кода надо.
а если в строчке два оператора - то два на строчку.

← →
Медвежонок ХМЛ © (2011-03-02 14:35) [7]

вообще мне понравился ход мыслей автора.

хочется подписать, чтобы каспер не ругался.
затем появляются два приложения.
одно на сервере (в киеве) а другое клиентское (в огороде)
оба подписаны одним сертификатом.

и каспер такой (в киеве) эй, пагади дорогой, твой сервер все равно кривой, так как этим же самым сертификатом подписан клиент, который в огороде.
покупай второй!!!

аналогичное происходит с клиентским ПО в огороде. Огородный каспер начинает орать на использованный в киеве сертификат сервера.

← →
antonn © (2011-03-02 14:38) [8]

> Да по какому праву каспер ругается, его дело вирусы ловить
> а не безобидные программы клеймить.

потому что он самый умный, не смотря на дыры

← →
Jeer © (2011-03-02 14:53) [9]

При запуске программы инициализируется системное сообщение "The Publisher could not be verified". Продолжать ли работу ?
----- Да, нажать кнопку Run и продолжить работу.
Для исключения появления такого сообщения, как вариант, выполнить рекомендации:

* Click Start–>Run and type gpedit.msc. Click OK.
* Go to User Configuration–>Administrative Templates–>Windows Components–>Attachment Manager.
* Add “*.exe” to the “Inclusion list for moderate risk file types” setting. You can also add other file types.

* Нажать Старт->Запуск и запустить оснастку групповой политики gpedit.msc
* Перейти по ветке: User Configuration–>Administrative Templates–>Windows Components–>Attachment Manager
* Добавить строку "*.exe" в позицию “Inclusion list for moderate risk file types”. Перезагрузиться.

← →
Дмитрий Тимохов (2011-03-02 15:27) [10]

> Scott Storch (02.03.11 14:21) [5]
>
> а если, к примеру, нужно подписать 2 приложения: клиентское
> и серверное - на каждое нужно покупать отдельный сертификат?
>

нет, один на всю фирму.

я покупал верисайновский.
денек поразбираешься. поверь, там не сложно.

← →
Дмитрий Тимохов (2011-03-02 16:20) [11]

Удалено модератором
Примечание: секурная инфа

← →
clickmaker © (2011-03-02 16:27) [12]

здесь так и хочется добавить: "если после всего вышепрочитанного вас по-прежнему беспокоит, что о ваших прогах думает каспер..." )

← →
Jeer © (2011-03-02 16:54) [13]

> clickmaker © (02.03.11 16:27) [12]

Садомазохизм, однозначно.

P.S.
Вернусь-ка я в DOS :)

← →
Дмитрий Тимохов (2011-03-02 16:56) [14]

Обновил.

Вот я себе записывал.
Может поможет. Не причесано )))
Если написано <secure info>, то это приватная информация, я ее поудалял.

=============
Этап 1: "Покупка"

1. Пользоваться только IE. FF и другие не работают.

2. Зашел на h t t p://www.verisign.com/code-signing/content-signing-certificates/winqual-developers/index.html.

3. Нажал buy внизу под $399.

4. <secure info>

5. Нельзя в полях ввода вводить двойные кавычки - только латинские символы и запятые!!!
{И с этим трахался (извините уж) 3 часа. В итоге сам им ошибку нашел...}

6. В конце при генерации файла с ключем я указал пароль <secure info>. Не забудь!!!

7. После оплаты пришло (платил Master Card) письмо с Order number. Можно зайти на страницу
h t t p://www.verisign.com/status/ и ввести order number.

7. Про challenge phrase. Там есть фраза, не перепутай. Я долго разбирался, что вопрос, а что ответ. В итоге у меня получилось наоборот ))

===============
Этап 2: "Проверка"

8. Позвонила девушка и мы поговорили. Спросила ОГРН фирмы, т.е. его
нет в базе налоговой. Также посмотрела на желтые страницы. Мы там
были, если бы не были надо добавить - она дала бы инструкции.

======================================
Этап 3: "Установка и подготовка к использованию"

9. Пришло письмо с PIN и инструкциями.

9. Пошел по адресу
https://securitycenter.verisign.com/celp/enroll/pickup?application_locale=VRSN_US
После открытия адреса и ввода PIN был установлен сертификат в браузер.
ВАЖНО. Браузер должен быть тот же, что и при покупке. Но главное,
что IE!!!

Замечание.
Важно, если был потерян PIN, то его можно прислать еще раз на
странице h t t p://www.verisign.com/status/ введя Order Number. Я,
правда, не уверен, что PIN будет такой же )

9. Пошел по адресу
h t t p://www.verisign.com/support/code-signing-support/code-signing/identity-authentication.html.
Это уже инструкции, что как начать использовать подпись.

10. Тут я понял, что нужно ставить SDK. Скачивал здесь
h t t p://msdn.microsoft.com/en-us/windows/dd146047.aspx - взял
"Microsoft Windows SDK for Windows 7 and .NET Framework 3.5 Service
Pack 1". У меня ХР работчая машина. Вроде этот SDK нормален.
Скачал и поставил этот SDK

=======================
Этап 4. "Использование".

11. Пошел на страницу
h t t p://www.verisign.com/support/code-signing-support/code-signing/identity-authentication.html

12. Начал читать, что там - оказалось, не совсем верно. Пришлось найти
утилиту sigtool в установленном SDK и сделать все по справке к этой
утилите. Пример того, как было все сделано см. ниже

=======================
{это уже другая инструкция, тоже не причесана, но рабочая}

I. Состав файлов {это у меня описывается состав каталога с файлами от verisign}:

Файлы VKKB.spc и VKKB.pvk получены от VeriSign:
1. Файл VKKB.pvk (private key) получен при оформлении заявки.
2. Файл VKKB.spc (сертификат) получен уже после покупки.

Файл VKKB.pfx создан нами скриптом ConvertToPVK.cmd (см. ниже).
Именно VKKB.pfx используется при подписывании файлов утилитой signtool.

II. Полезная информация:
1. Order number: <secure info>
2. Центр управления: h t t p://www.verisign.com/status/ - вводить Order number.
Зная пароль можно выполнять некие действия.
Тут как раз ту самую Challenge Prase надо вводить.
3. <secure info>
4. PIN <secure info>
5. Здесь https://securitycenter.verisign.com/celp/enroll/pickup?application_locale=VRSN_US при вводе пина устанавливается сертификат в браузер и выдается VKKB.spc.
6. Регистрация проведена на <secure info>
7. Ключ (пароль) для файла с private key (т.е. для Файл VKKB.pvk) <secure info>

=================
файл ConvertToPVK.cmd:

@echo off

rem Эта утилита делает из файлов pvk и spc, которые получены от verisign, файл pfx, который непосредственно юзается в signtool.

set pvk2pfx_util=c:\Program Files\Microsoft SDKs\Windows\v7.0\Bin\pvk2pfx.exe
set pvk_filename=s:\Projects\3rdPartyComponents\VeriSign\VKKB.pvk
set spc_filename=s:\Projects\3rdPartyComponents\VeriSign\VKKB.spc
set pfx_filename=s:\Projects\3rdPartyComponents\VeriSign\VKKB.pfx
set pvk_password=mypassword

call "%pvk2pfx_util%" -pvk %pvk_filename% -spc %spc_filename% -pfx %pfx_filename% -pi %pvk_password% -po %pvk_password% -f
if errorlevel 1 goto compile_failed

echo === PFX file created successfuly
exit /b 0

:compile_failed
echo === Cannot create PFX file
exit /b 1

==================
файл подписывания бинарников (собирал тут, возможно ошибки)

set signtool_path=c:\Program Files\Microsoft SDKs\Windows\v7.0\Bin\signtool.exe
if exist "%signtool_path%" goto signtool_exists
echo ERROR. Cannot find "%signtool_path%" utility! I need it to sign binaryes. Install Windows SDK from h t t p://msdn.microsoft.com/en-us/windows/dd146047.aspx.
goto enderror
:signtool_exists

set signtool_pfx_filename=s:\Projects\3rdPartyComponents\VeriSign\VKKB.pfx
set signtool_pfx_password=<secure-info>
set signtool_timestamp_server=h t t p://timestamp.verisign.com/scripts/timstamp.dll

set signtool_infolevel=/q

set SignToolCommandLine="%signtool_path%" sign /f "%signtool_pfx_filename%" /p "%signtool_pfx_password%" /t "%signtool_timestamp_server%" %signtool_infolevel%

call %SignToolCommandLine% "%SVN_PROJECTS_SOURCES%\Bc\Build\Files\Exe\BcCorpplus%CLIENT_VERSION_CORPPLUS%Adm.exe"

← →
antonn © (2011-03-02 17:38) [15]

и не дай бог после всей этой стены текста касперский вдруг ругнется =)))

Дык это просто подготовительные действия, а дальше просто запуск одного единственного батника для подписи :)

← →
Дмитрий Тимохов (2011-03-02 22:27) [17]

Кстати, Розыч как-то иначе делал ))
Но у него тоже все вышло.

Не - почти так-же, у нас расхождения в получении pvk просто были, а все остальное аналогично. Ну и плюс до кучи я SDK поставляемый не с .NET юзал, там у меня без излишних усилий получилось выйти на pfx.

Дмитрий Тимохов (02.03.11 16:56) [14]

Почему ты не спрашивал на форуме, как получить сертификат ?

Игорь - ну должны же быть на форуме люди не только спрашивающие, но и отвечающие на вопросы?
Форум обязывает как-бы :)

← →
Дмитрий Тимохов (2011-03-03 09:22) [21]

> Игорь Шевченко © (02.03.11 22:54) [19]
>
> Дмитрий Тимохов (02.03.11 16:56) [14]
>
> Почему ты не спрашивал на форуме, как получить сертификат
> ?

я вроде спрашивал.
никто особо не знал, я так понял.

Цифровая подпись Найти похожие ветки