Signature Authenticode des fournisseurs de services de chiffrement tiers
La signature Authenticode tierce pour les fournisseurs de services de chiffrement personnalisés est disponible dans Windows Vista et versions ultérieures.
Par conséquent, Microsoft ne signera plus les fournisseurs de services cloud et le service de signature CSP manuel a été supprimé. Les e-mails et les fournisseurs de services cloud envoyés à cspsign@microsoft.com ou cecspsig@microsoft.com à signer ne seront plus traités par Microsoft.
Au lieu de cela, tous les fournisseurs de services cloud tiers peuvent désormais être auto-signés en suivant cette procédure :
- Achetez un certificat de signature de code auprès d’une autorité de certification pour laquelle Microsoft émet également un certificat croisé. La rubrique Cross-Certificates for Kernel Mode Code Signing fournit une liste des autorités de certification pour lesquelles Microsoft fournit également des certificats croisés et les certificats croisés correspondants. Notez qu’il s’agit des seuls certificats croisés qui s’enchaînent à la « racine de vérification du code Microsoft » émise par Microsoft, ce qui permettra à Windows d’exécuter des fournisseurs de services cloud tiers.
- Une fois que vous disposez d’un certificat de l’autorité de certification et du certificat croisé correspondant, vous pouvez utiliser SignTool pour signer tous vos fichiers binaires CSP.
- SignTool est inclus dans les dernières versions de Visual Studio. Il est également inclus dans wdK version 7.0 et versions ultérieures. Notez que l’outil SignTool fourni avec les versions antérieures de WDK n’est pas compatible avec les certificats croisés et ne peut pas être utilisé pour signer vos fichiers binaires.
Notes
À compter de Windows 8, il n’est plus nécessaire que les fournisseurs de services cloud soient signés.
Vous pouvez signer des fichiers binaires à partir d’une ligne de commande ou signer en tant qu’étape de génération intégrée dans Visual Studio 2012 et versions ultérieures.
La commande de SignTool est la suivante :
signtool.exe sign /ac <cross-certificate_from_ms> /sha1 <sha1_hash> /t <timestamp_server> /d <”optional_description_in_double_quotes”> <binary_file.ext>
- <cross-certificate_from_ca> est le fichier de certificats croisés que vous avez téléchargé à partir de Microsoft
- <> sha1_hash est l’empreinte SHA1 qui correspond au certificat de signature de code
- <> timestamp_server est le serveur utilisé pour horodatage de l’opération de signature
- <« optional_description_in_double_quotes »> est une description facultative de nom convivial
- <binary_file.ext> est le fichier à signer
Par exemple :
signtool.exe sign /ac certificate.cer /sha1 553e39af9e0ea8c9edcd802abbf103166f81fa50 /t "http://timestamp.digicert.com" /d "My Cryptographic Service Provider" csp.dll
Notes
Il n’est pas nécessaire d’inclure l’ID de ressource #666 dans la DLL CSP ou la signature dans le Registre, comme cela était requis pour les signatures CSP plus anciennes.
Aide et support supplémentaires
Vous pouvez essayer le forum Sécurité des applications pour Windows Desktop pour obtenir de l’aide.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour