Signtool.exe /dg /ds /di 选项和时间戳

Posted 2023-02-19

【中文标题】Signtool.exe /dg /ds /di 选项和时间戳

【英文标题】：Signtool.exe /dg /ds /di options and timestamping

【发布时间】：2020-01-15 18:18:19

【问题描述】：

我们正在努力使用 signtool.exe 摘要选项优化数字签名过程。到目前为止，工作流程如下所示：

在客户端上创建摘要：signtool.exe sign /f cert /fd sha256 /dg 。我的文件.dll 将 MyFile.dll.dig 摘要发送到我们的签名服务器。 签名服务器上的签名摘要：signtool.exe sign /f cert /fd sha256 /ds MyFile.dll.dig 将签名 MyFile.dll.dig.signed 发送回客户端。 在客户端创建签名：signtool.exe sign /di .MyFile.dll 在客户端添加时间戳：signtool.exe timestamp /tr http://some_timestamp_server /td sha256 MyFile.dll

有没有办法在签名服务器上执行时间戳？

【问题讨论】：

是什么阻止您在签名服务器上执行时间戳？

命令是什么？ signtool.exe 时间戳... MyFile.dll？ MyFile.dll 永远不会发送到签名服务器。

为什么不将 MyFile.dll 文件发送到签名服务器，签名服务器将使用您在问题中编写的命令应用时间戳？

因为文件大小。它可能是数百兆字节。虽然 .dig 和 .deg.signature 文件非常小，不到 1K。

当我尝试在本地复制它时，我似乎需要一个在步骤 1 中创建的 p7u 文件。你有同样的行为吗？

【参考方案1】：

有没有办法在签名服务器上执行时间戳？

不，除非将整个文件传输到您的签名服务器。时间戳是直接应用于文件本身的操作，因此文件必须存在于本地。您的远程签名服务之所以有效，是因为只需要对摘要进行签名，而不是对完整的二进制文件进行签名。但是，正如您所指出的，您仍然需要使用 /di signtool 选项在本地提取签名摘要。

您可以做的是创建一个自定义工具，以根据您的要求以编程方式对文件进行签名和时间戳。有关如何使用支持时间戳的SignerSignEx2 函数，请参阅这篇 Microsoft 文章。https://docs.microsoft.com/en-us/windows/win32/appxpkg/how-to-programmatically-sign-a-package?redirectedfrom=MSDN

您可能已经看到了这一点，但我也会查看 AzureSignTool 存储库，它使用未记录的 SignerSignEx3 函数使用回调执行签名。您可以通过调用其他一些自定义签名服务来合理地替换 Azure 功能。

【讨论】：

当我尝试在本地复制它时，我似乎需要一个在步骤 1 中创建的 p7u 文件。你有同样的行为吗？我假设这个文件包含 PKCS7 中的证书，然后 .signed 文件包含 Base64 中的签名。最后一步是否只是将它们合并？

我不相信 .p7u 文件是必需的，但我不完全确定你在问什么。您是指时间戳作为最后一步吗？

其实摄取步骤：signtool.exe sign /di .MyFile.dll。如果您从 MyFile.dll 所在的目录中删除 p7u 文件，那么您将收到来自 signtool 的错误

所以是的..这个.p7u有什么..为什么它很重要？有人吗？