EVコードサイニング証明書 Microsoft Authenticode署名方法
本ページに記載されている手順は環境により異なる場合があり、実際の動作を保証するものではありません。※この手順によって生じた影響や結果について、弊社では一切の責任は負いかねます。 ※SHA-1証明書の発行は取り扱いを終了しております。
EVコードサイニング証明書での署名手順
EVコードサイニング証明書がインストールされているトークンを利用するためのドライバーSafeNetAuthenticationClient をダウンロードし、インストールします。
EVコードサイニング証明書を使うマシンにWindows SDKを準備します。
SignToolコマンドで以下のコマンドを実行し、プログラムにサインします。
C:\> signtool sign /t http://timestamp.digicert.com /a "c:\path\to\file.exe"
/t はタイムスタンプを追加するオプション、 http://timestamp.digicert.com はタイムスタンプサーバーです。
/a はWindows証明書ストアに複数の証明書がインストールされている場合、最適な証明書を自動的に選択します。最適な証明書とは、「指定されたすべての条件を満たすすべての有効な証明書のうち、有効期間が最長の証明書」のことです。※ 利用する証明書を指定する必要がある場合については、証明書を指定する を参照してください。
c:\path\to\file.exe は署名対象のコードです。
デフォルトのハッシュ関数はSHA-1ですが、/fd sha256オプションでハッシュ関数SHA256(SHA-2)を指定できます(古いバージョンのsigntoolでは/fdオプションが無いこともあります。その場合は新しSDKで入手してください)。
Windows7の場合
Windowsのコマンドプロンプトで、C:\Program Files\Microsoft SDKs\Windows\v7.1\Bin 等のsigntool.exeが置かれているフォルダに移動し、コマンドを実行してください。
Windows8の場合
Windowsのコマンドプロンプトで、C:\Program Files (x86)\Windows Kits\8.1\bin\x86 等のsigntool.exeが置かれているフォルダに移動し、コマンドを実行してください。
トークンのパスワード入力が求められますので、パスワードを入力し「OK」をクリックします。
署名が成功すると、以下のように “Successfully signed and timestamped: c:\path\to\file.exe” と表示されます。
Windows 証明書ストアに複数の証明書がインストールされている場合などで、利用する証明書を特定したい場合は、以下のように行います。
「スタート」に certmgr.msc を貼り付けるなどの方法を使い、certmgr.msc を起動します。
「個人」「証明書」と進み、右画面に表示される証明書リストから利用する証明書の「発行先」の名前を取得します。
SignToolコマンドで以下のコマンドを実行し、プログラムにサインします。
C:\> signtool sign /t http://timestamp.digicert.com /n "発行先名" "c:\path\to\file.exe"
Windows 7の場合
Windowsのコマンドプロンプトで、C:\Program Files\Microsoft SDKs\Windows\v7.1\Bin 等のsigntool.exeが置かれているフォルダに移動し、コマンドを実行してください。
Windows 8の場合
Windowsのコマンドプロンプトで、C:\Program Files (x86)\Windows Kits\8.1\bin\x86 等のsigntool.exeが置かれているフォルダに移動し、コマンドを実行してください。
署名内容の確認方法
エクスプローラで証明済みファイルを選択し、右クリックから「プロパティ」をクリックします。
「デジタル証明書」タブをクリックすると以下のように「署名者名」「タイムスタンプ」が表示されます。
