代码签名部署文档

天威诚信代码签名证书安装配置指南(Entrust)

一, 安装eToken驱动

安装SafeNet 驱动

驱动下载地址:

https://www.itrus.cn/soft/SafeNetAuthenticationClient-x32-10.8-R9.msi

https://www.itrus.cn/soft/SafeNetAuthenticationClient-x64-10.8-R9.msi

双击打开下载得到相应的驱动程序,然后点击”Next”

选择语言English或Chinese,并点击“Next”

点击我接受(I accept the license agreement),并点击“Next”

选择程序安装路径,推荐选择默认设置,并点击“Next”

选择“Typical”,并点击“Next”

点击“Install”后程序进入自动安装,最后安装完成点击“Finish”完成安装。


二、 初始化eToken设置

1. 完成驱动安装后,插入USBkey。默认会提示让修改密码,选择取消。选择进入高级视图模式。

2. 初始化USBkey相关信息,选择Code Signing 右键“初始化设备”

选择“配置所有初始化设置和策略”,并选择”下一页“。


勾选Use factory default administrator 密码和Use factory default digital signature PUK两个选项,然后点击“下一页”。



设置设备名称和设备密码,默认要求密码4-16位字符,建议取消勾选“设备密码必须在首次登陆时更改”,Administrator密码留空,然后勾选“Keep the current administrator password”,弹窗点击确定,然后点击“下一页”。

注:设备密码请您务必做好记录,一旦忘记会影响您的证书使用。



设置“New Digital Signature PIN”默认要求密码6-16位字符,设置“New Digital Signature PUK” 默认要求密码6-16位字符,点击“完成”。 弹窗提示:即将初始化设备,点击“确定”。

注:如设备中已有证书,请慎重做初始化设备操作。


三、 下载安装证书

打开从ENtrust收到的代码签名证书的批准邮件。

1. 进入下载代码的页面

点击电子邮件中的获取证书链接,例如:
https://www.entrust.net/codesigning/certpickup.cfm?id=xxxxxxxx#pw


2. 输入提取密码后,点击“Submit”进入下载界面

*注意: 如果遗忘了申请证书时填写的密码,那么请联系天诚安信商务人员。

输入正确的Password后,勾选”Yes,I agree”,然后点击“Generate Certificate”下载证书。

期间会再次弹出网络访问确认提示窗口,请点击“YES”,最终证书下载成功页面显示为“You Code Signing certificate has been successtuly generated”.

打开您的eToken的SafeNet tools工具可以看到下载的证书信息,即表示您的证书已经完成下载安装。


四,代码签名及签名验证

代码签名证书助手下载:https://www.itrus.cn/soft/iTrusSignTool.exe

当您需要同时管理多张代码签名证书,或需要针对不同扩展名的文件添加不同类型的签名信息时(普通模式及交叉模式),可以通过保存多个不同的签名规则方便随时调用。

1.新建签名规则

在您开始代码签名操作之前,必须首先新建一个签名规则。选择“签名规则”选项,并选择“新建”。

自定义一个规则名称,并选择当前规则下调用的证书文件、当前规则支持的文件扩展名。如果采用文件夹拖放格式,还可以设置规则中是否需要对该文件夹下的子目录中的文件进行签名。


*注:当您需要使用双签名功能,请在SHA1证书中选择您对应的SHA1算法的代码签名证书,在SHA256证书中选择您的代码签名证书。

请确保当前PC有可用的网络连接,以便在签名时为文件添加时间戳签名,推荐您使用Digicert、GlobalSign时间戳。

保存当前签名规则后,至少需要将其中一条规则设置为默认规则之后,即可开始为代码添加签名。


2.代码签名

选择“代码签名”,将您需要签名的文件添加到待签名文件列表中。


点击“数字签名”,选择签名模式(应用模式 或 驱动模式),证书助手将自动为签名列表中的程序添加签名信息。

应用模式应用于普通的控件或桌面程序签名,驱动模式应用于64位操作系统下的驱动程序文件签名。


3.验证代码签名

数字签名完成之后,证书助手将自动为已签名的文件进行签名的验证。当签名列表中出现签名失败或时间戳签名失败的文件时,可以选择显示“签名失败”列表,并为签名失败的文件重新尝试数字签名。

已有数字签名的程序,添加到签名文件列表后,选择“签名验证”,即可执行代码的签名信息验证,自动获取签名列表中的文件的签名信息。