私の会社(* .mycompany.com)のワイルドカード証明書を持っていて、インストーラの実行可能ファイルにデジタル署名する作業が完了しました。 プライベートキーと証明書ファイル(中間証明書を含む)を含む生成されたpfxファイルとともにSigntool.exeを使用しますが、証明書がすべての条件を満たしていないことが常にわかります。 (デバッグ出力では、ワイルドカード証明書がEKUフィルタによってフィルタリングされ、中間およびルート証明書が秘密キーフィルタによってフィルタリングされることがわかります)。コード署名にワイルドカードSSL証明書を使用できますか?
ワイルドカード証明書は、サーバーとクライアントの認証にのみ使用できます。中間証明書の目的にコード署名を追加することはできません。
コード署名にこのワイルドカード証明書を使用することは可能ですか?何か不足していますか?
キーにアクセスできる場合、キーを使用することは常に可能です。しかし、その場合、署名に使用されるコードには、拡張キーの使用法を無視するように指示する必要があります。そして、より問題がある - 検証手続きもこのチェックをスキップする必要があります。
しかし、あなたの証明書は、コード署名用拡張キー使用をミスし、拡張キー使用法が存在するため、X.509 v3 certificate specsの以下の部分が有効であることから:その後、
拡張子が存在する場合指定された目的の1つとして証明書を でのみ使用する必要があります。複数の目的が であることが示されている場合、アプリケーションは指示された目的をすべて認識する必要はなく、意図した目的が存在する限り となります。 を使用する証明書では、拡張鍵の使用の延長が であること、および 証明書がそのアプリケーションに受け入れられるためには、特定の目的を示す必要がある場合があります。
id-kp-serverAuthが存在し、id-kp-codeSigningが存在しないため、証明書を使用できません。
これらの拡張子は、認証局によってにと署名されているため、単に証明書を変更することはできません。拡張キーの使用を変更すると、証明書内の署名の検証が失敗します。
通常、鍵と証明書が単一の目的であることに注意してください。コード署名証明書が必要な場合は、新しい証明書を購入するための新しい鍵ペア&証明書要求を作成する必要があります。
Nitpick以下の最小編集:X(ドット)509ではなくX5(ドット)09 –
ありがとう。私は本当に素晴らしい仕事をした新しい証明書を買うことになりました:) –
あなたの証明書には、すでにわかっているので、コード署名EKUはありません。それがなければ、実行可能ファイルに署名することはできません。 – pepo