Как подписать .msi сертификатом Thawte Code Signing?

Question

[Роман Сопов]

Здравствуйте!

Помогите понять, как подписать файл .msi сертификатом Thawte Code Signing?

У меня есть private.key, из Thawte прислали: Code Signing certificate, intermediate CA certificate, certificate in pkcs7 format

Что с этим добром делать? Спасибо!

Answer 1

[Maximus43]

Гугл говорит, что надо использовать signtool

Из ключа и сертификата вы можете собрать p12 или pfx (это одно и то же)

openssl pkcs12 -export -in input.crt -inkey input.key -out bundle.p12

Ну а далее действуйте по описанию www.hanselman.com/blog/UsingCodeSigningCertificatesToSignDownloadedMSIsAndBuildReputationWithIE9SmartScreen.aspx

Comments

[Роман Сопов]

Собрал pfx, подписал файл… загружаю на сервер, скачиваю, винда ругается — не возможно проверить издателя. Цифровая подпись есть, но в ней нету верхнего уровня т.е. Thawte. Что еще надо сделать?

Answer 2

[Maximus43]

Приведите результат команды

certutil -verify -urlfetch <файл конечного сертификата в формате PEM>

Comments

[Роман Сопов]

<файл конечного сертификата в формате PEM> это какой именно? Пока я плохо в этом разбираюсь :)

[Роман Сопов]

Поставщик:
CN=Thawte Code Signing CA — G2
O=Thawte, Inc.
C=US
Хэш имени (sha1): 6c89fef6eb729e76647630bb982aff7e5900ad58
Хэш имени (md5): f79b4a85c61d334b80bda9873c8b3d0a
Субъект:
CN=SOKO Group Ltd
OU=IT
O=SOKO Group Ltd
L=Moscow
S=Moscow
C=RU
Хэш имени (sha1): 99b2b7c6a741647076303243e86b4a8c2d3b9c7f
Хэш имени (md5): 0ab11624d78e07e40cc2a8220141749d
Серийный номер сертификата: 5bd85a9ee98af29f0327b262898ccc11

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
— CERT_CHAIN_CONTEXT — ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)

CertContext[0][0]: dwInfoStatus=4 dwErrorStatus=1000040
Issuer: CN=Thawte Code Signing CA — G2, O=«Thawte, Inc.», C=US
NotBefore: 19.06.2013 4:00
NotAfter: 20.06.2014 3:59
Subject: CN=SOKO Group Ltd, OU=IT, O=SOKO Group Ltd, L=Moscow, S=Moscow, C=RU
Serial: 5bd85a9ee98af29f0327b262898ccc11
e6 88 6e f8 cf c9 35 f7 92 aa 36 52 5c 6d c6 14 c4 24 a8 55
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
— Сертификат AIA — Отсутствуют URL «Нет» Время: 0
— Сертификат CDP — ОК «Базовый CRL (08ba)» Время: 0
[0.0] cs-g2-crl.thawte.com/ThawteCSG2.crl

— OCSP сертификата — Неудачно «Протокол OCSP» Время: 0
[0.0] ocsp.thawte.com

— Application[0] = 1.3.6.1.5.5.7.3.3 Подписывание кода
Application[1] = 1.3.6.1.4.1.311.2.1.22 SPC_COMMERCIAL_SP_KEY_PURPOSE_OBJID

Exclude leaf cert:
da 39 a3 ee 5e 6b 4b 0d 32 55 bf ef 95 60 18 90 af d8 07 09
Full chain:
e6 88 6e f8 cf c9 35 f7 92 aa 36 52 5c 6d c6 14 c4 24 a8 55
Missing Issuer: CN=Thawte Code Signing CA — G2, O=«Thawte, Inc.», C=US
Issuer: CN=Thawte Code Signing CA — G2, O=«Thawte, Inc.», C=US
NotBefore: 19.06.2013 4:00
NotAfter: 20.06.2014 3:59
Subject: CN=SOKO Group Ltd, OU=IT, O=SOKO Group Ltd, L=Moscow, S=Moscow, C=RU
Serial: 5bd85a9ee98af29f0327b262898ccc11
e6 88 6e f8 cf c9 35 f7 92 aa 36 52 5c 6d c6 14 c4 24 a8 55
Не удается построить цепочку сертификатов для доверенного корневого центра. 0x800b010a (-2146762486)
— Неполная цепочка сертификатов
Не удалось найти сертификат:
CN=Thawte Code Signing CA — G2, O=«Thawte, Inc.», C=US
Сертификат является сертификатом конечного субъекта

ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613)
CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен.

CertUtil: -verify — команда успешно выполнена.

Answer 3

[Maximus43]

Missing Issuer: CN=Thawte Code Signing CA — G2, O=«Thawte, Inc.», C=US

Вам надо добавить этот сертификат в хранилище промежуточных (Intermediate) сертификатов. В вашем вопросе это "intermediate CA certificate"
Запускайте mmc с правами администратора, добавляйте оснастку сертификатов (Add/Remove Snap-In -> Cerificates), далее импортируйте сертификат CN=Thawte Code Signing CA — G2, O=«Thawte, Inc.», C=US в хранилище промежуточных сертификатов и пробуйте снова.

Еще похоже у вас на компьютере, где проверяете сертификат, прикрыт интернет, или ходите через прокси. Для CryptoAPI, который используется командой certutil, параметры прокси настраиваются отдельно.

Comments

[Роман Сопов]

Установил промежуточный сертификат, подписал — теперь подпись проверяется и видно издателя. Но винда почему-то все-равно ругается и говорит, что файл может нанести вред компьютеру т.к. он очень мало загружался… это как-то можно побороть?

P.S. А интернет у меня прямой, без прокси только роутер.

[Maximus43]

Пришлите скриншот ругательства винды. :-)
Что пишет certutil -verify -urlfetch в этот раз?

Если инет прямой, то CRL и OCSP должны отрабатывать без ошибок, а у вас

— Сертификат CDP — ОК «Базовый CRL (08ba)» Время: 0
[0.0] cs-g2-crl.thawte.com/ThawteCSG2.crl

— OCSP сертификата — Неудачно «Протокол OCSP» Время: 0
[0.0] ocsp.thawte.com

ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613)
CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен.

[Роман Сопов]

Поставщик:
CN=Thawte Code Signing CA — G2
O=Thawte, Inc.
C=US
Хэш имени (sha1): 6c89fef6eb729e76647630bb982aff7e5900ad58
Хэш имени (md5): f79b4a85c61d334b80bda9873c8b3d0a
Субъект:
CN=SOKO Group Ltd
OU=IT
O=SOKO Group Ltd
L=Moscow
S=Moscow
C=RU
Хэш имени (sha1): 99b2b7c6a741647076303243e86b4a8c2d3b9c7f
Хэш имени (md5): 0ab11624d78e07e40cc2a8220141749d
Серийный номер сертификата: 5bd85a9ee98af29f0327b262898ccc11

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
— CERT_CHAIN_CONTEXT — ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwRevocationFreshnessTime: 5 Days, 12 Hours, 32 Minutes, 59 Seconds

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 5 Days, 12 Hours, 32 Minutes, 59 Seconds

CertContext[0][0]: dwInfoStatus=104 dwErrorStatus=0
Issuer: CN=Thawte Code Signing CA — G2, O=«Thawte, Inc.», C=US
NotBefore: 19.06.2013 4:00
NotAfter: 20.06.2014 3:59
Subject: CN=SOKO Group Ltd, OU=IT, O=SOKO Group Ltd, L=Moscow, S=Moscow, C=RU
Serial: 5bd85a9ee98af29f0327b262898ccc11
e6 88 6e f8 cf c9 35 f7 92 aa 36 52 5c 6d c6 14 c4 24 a8 55
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
— Сертификат AIA — Отсутствуют URL «Нет» Время: 0
— Сертификат CDP — Проверено «Базовый CRL (08ba)» Время: 0
[0.0] cs-g2-crl.thawte.com/ThawteCSG2.crl

— Базовый CRL CDP — Отсутствуют URL «Нет» Время: 0
— OCSP сертификата — Проверено «Протокол OCSP» Время: 0
[0.0] ocsp.thawte.com

— CRL 08ba:
Issuer: CN=Thawte Code Signing CA — G2, O=«Thawte, Inc.», C=US
ThisUpdate: 19.06.2013 13:00
NextUpdate: 03.07.2013 13:00
0d c2 ed 57 c7 71 b8 2b 6b 89 1f ab ce 80 01 c5 24 21 d9 c8
Application[0] = 1.3.6.1.5.5.7.3.3 Подписывание кода

CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
Issuer: CN=thawte Primary Root CA, OU="© 2006 thawte, Inc. — For authorized use only", OU=Certification Services Division, O=«thawte, Inc.», C=US
NotBefore: 08.02.2010 4:00
NotAfter: 08.02.2020 3:59
Subject: CN=Thawte Code Signing CA — G2, O=«Thawte, Inc.», C=US
Serial: 47974d7873a5bcab0d2fb370192fce5e
SubjectAltName: Адрес каталога:CN=VeriSignMPKI-2-10
80 8d 62 64 2b 7d 1c 4a 9a 83 fd 66 7f 7a 2a 9d 24 3f b1 c7
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
— Сертификат AIA — Отсутствуют URL «Нет» Время: 0
— Сертификат CDP — Проверено «Базовый CRL» Время: 0
[0.0] crl.thawte.com/ThawtePCA.crl

— Базовый CRL CDP — Отсутствуют URL «Нет» Время: 0
— OCSP сертификата — Проверено «Протокол OCSP» Время: 0
[0.0] ocsp.thawte.com

— CRL (null):
Issuer: CN=thawte Primary Root OCSP Responder Certificate, O=«thawte, Inc.», C=US
ThisUpdate: 14.06.2013 10:08
NextUpdate: 21.06.2013 10:08
aa 5a c7 60 05 c3 50 74 77 b1 d6 0b 7e 4c ff ac a4 6e 61 fc
Application[0] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Application[1] = 1.3.6.1.5.5.7.3.3 Подписывание кода

CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=thawte Primary Root CA, OU="© 2006 thawte, Inc. — For authorized use only", OU=Certification Services Division, O=«thawte, Inc.», C=US
NotBefore: 17.11.2006 4:00
NotAfter: 17.07.2036 3:59
Subject: CN=thawte Primary Root CA, OU="© 2006 thawte, Inc. — For authorized use only", OU=Certification Services Division, O=«thawte, Inc.», C=US
Serial: 344ed55720d5edec49f42fce37db2b6d
91 c6 d6 ee 3e 8a c8 63 84 e5 48 c2 99 29 5c 75 6c 81 7b 81
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
— Сертификат AIA — Отсутствуют URL «Нет» Время: 0
— Сертификат CDP — Отсутствуют URL «Нет» Время: 0
— OCSP сертификата — Отсутствуют URL «Нет» Время: 0
— Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
Application[1] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Application[2] = 1.3.6.1.5.5.7.3.4 Защищенная электронная почта
Application[3] = 1.3.6.1.5.5.7.3.3 Подписывание кода

Exclude leaf cert:
f5 98 71 70 46 c1 a2 14 b8 dd b6 ab a1 1d 9e 27 5e b7 a9 fa
Full chain:
eb b8 a6 02 88 97 70 6b 8e d9 6d 28 c1 23 59 f6 03 3b ca c1
— Проверенные политики выдачи: Нет
Проверенные политики применения:
1.3.6.1.5.5.7.3.3 Подписывание кода
Сертификат является сертификатом конечного субъекта
Проверка отзыва сертификата выполнена
CertUtil: -verify — команда успешно выполнена.

[Роман Сопов]

Answer 4

[Maximus43]

Ну это ерунда, с валидностью сертификата не связано. Это настройки фильтра Windows SmartScreen, типа уведомлять о редко-загружаемых программах.
Важно, что издатель виден, к подписи претензий нет.

Comments

[Роман Сопов]

Спасибо за помощь! (+1) Будем бороться со SmartScreen и зарабатывать репутацию, что избежать таких сообщений.

[Maximus43]

Удачи вам! :-)

Answer 5

[Maximus43]

Вот тут пишут, как с этим бороться.