标签: verisign

过去两天（2021 年 1 月 1 日和 2 日），我尝试使用 Inno Setup 构建我的设置脚本，但数字签名失败。所以我通过电子邮件联系了威瑞信，等待他们的回复。

我们需要使用signtool.exe使用SHA1和SHA2双重签名我们的二进制文件,我们的证书支持256位SHA2.

使用Windows 8 SDK的signtool:

例如:

signtool.exe签名/ as/fd sha256/t http://timestamp.verisign.com/scripts/timstamp.dll/f"certificate.pfx"/ p XXXXXXX"file.dll"

(XXXXXXX是我们的证书密码)

因为神秘错误而失败:

SignTool错误:SignedCode :: Sign返回错误:0x80070057参数不正确.SignTool错误:尝试签名时发生错误:file.dll

在没有时间戳的情况下进行签名,单独签名为SHA1或SHA256可以正常工作,但是我们需要双重签名,并且想象没有时间戳是不行的.

我已经尝试了32位和64位版本的signtool.exe,在Win7和Win8机器上试过它,并尝试使用命令行选项,但无济于事.以前有人打过这个问题吗？

我有两个代码签名证书(一个SHA-1,一个SHA-256),我想将它们应用于同一个文件.我试图附加SHA-256证书,但这失败了:

:: Signs with the SHA-1 certificate
signtool sign /sha1 8f52fa9db30525dfabb35b08bd1966693a30eccf /t http://timestamp.verisign.com/scripts/timestamp.dll my_app_here.exe
:: Signs with the SHA-2 certificate
signtool sign /sha1 8b0026ecbe5bf245993b26e164f02e1313579e47 /as /t http://timestamp.verisign.com/scripts/timestamp.dll my_app_here.exe

这失败并出现错误:

Done Adding Additional Store
SignTool Error: SignedCode::Sign returned error: 0x80070057
        The parameter is incorrect.
SignTool Error: An error occurred while attempting to sign: my_app_here.exe

如果从第二个命令中删除时间戳URL,则签名成功完成,但SHA-2签名没有时间戳.(我是否在第一个签名上加上时间戳没有效果)

这里的目的是允许某人使用更强大的证书验证应用程序,如果他们在支持此功能的操作系统上,但是为了避免在不支持更强版本的操作系统(Vista,XP)上验证失败.

这种事情甚至可能吗？

在Inno Setup中是否可以同时使用sha1和sha256对Uninstaller和Installer进行签名？

我知道可以通过命令工具使用两个证书签署可执行文件,但想知道这是否可以SignTool在Inno中实现.

我正在尝试使用Verisign的OCSP服务器来验证它已颁发的证书,例如amazon.com

我有发行人证书(很难找到).以及亚马逊0证书.我正在使用openSSL,但我似乎无法获得正确的OCSP响应器证书来验证响应.

openssl ocsp -issuer test4-May2009Oc2010.cer -CAfile veri-ssp-intermediate-ca.crt -nonce -cert amazon0.crt -url http://ocsp.verisign.com

这是回应:

WARNING: no nonce in response
Response Verify Failure
140735084268796:error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:122:Verify error:unable to get local issuer certificate
amazon0.crt: good
    This Update: Jan 19 00:24:56 2011 GMT
    Next Update: Jan 26 00:24:56 2011 GMT

有关OCSP响应者的正确证书可能在何处的任何建议？

我正在尝试查找COM/NET的所有whois服务器列表.Verisign是.com,.net,.name,.cc和.tv域名的权威注册机构.

可能的解决方案: 使用.com区域文件中的域列表找出whois服务器的至少一百万个(通过whois.crsnic.net)的完整列表,并从whois结果中读取官方whois.

这样我就可以构建一个90%以上的完整列表.我已准备好走这条路并在这里发布结果,但如果有人知道更好的方式/来源,请帮忙.谢谢!

我写了一个与网络通信无关的.Net应用程序.在使用NIC的整个应用程序中没有一行代码,但我的防火墙已经发现它在应用程序启动时因某些原因尝试联系Verisign.这不会经常发生; 事实上,它只发生过两次.

最后一次,我告诉我的防火墙允许访问网络之前,我能够启动Wireshark.我没有真正的数据传输.它只捕获了9个TCP数据包:一些SYN数据包,一些SYN/ACK和一些RST数据包(RST数据包被破坏).我怀疑我的第三方dll之一,但我不明白为什么数学库或图像处理库会尝试与Verisign建立连接,然后对该连接不做任何处理.

我的客户在安全严密的组织中; 我想要的最后一件事是打电话询问为什么我的应用程序连接到Internet.

有谁知道为什么会这样？有没有办法防止它发生？

Wireshark生成的.pcap文件在这里.

我发布了一个Windows桌面应用程序,其中包含由Verisign Class 3代码签名证书进行数字签名的所有可执行文件.对于绝大多数用户来说,这似乎工作正常.

但是少数用户报告证书无效.他们说它提出了"证书链已处理,但终止于信任提供商不信任的根证书"的消息.这对应于错误代码CERT_E_UNTRUSTEDROOT (0x800B0109).这也是在完全更新的Windows 7机器上报告的.所以我的证书可能是正常的,但Windows有时不相信VeriSign证书.

为什么Windows有时不信任VeriSign？有什么我可以添加到我的安装程序(也签名),这将告诉Windows信任证书？

请注意,此问题仅适用于Windows Server 2008 SP2

我开发了一个Windows应用程序.在分发之前,我已使用SHA1和SHA256对其进行了签名和时间戳.此应用程序由多个DLL组成.我在构建过程中签署每个DLL.我使用过VeriSign的证书.在执行时,启动应用程序时,它会验证每个DLL的签名和时间戳,以确保使用WinVerifyTrust API 完整性.验证期间我收到"E_CERT_EXPIRED - 签名者证书已过期"错误.

此外,我无法在可执行文件的属性页中看到时间戳细节.请看下面 -

现在,该证书已过期但根据此SO文章代码签名证书到期时会发生什么？.可执行文件应该完美运行没有任何问题.

我还检查了这个KB怀疑原因,但已经应用了与此KB相关的修复.任何人都可以分享更多的亮点吗？

这是在测试J2EE Spring应用程序时Jetty本地Web服务器的控制台中出现的很多次.

2012-05-03 14:28:14,716 WARN [org.springframework.web.servlet.PageNotFound]
- <No mapping found for HTTP request with URI [/crls/secureca.crl] 
in DispatcherServlet with name 'DefaultServlet'>

我已经设置了我的localhost(OSX),如下所示:

sudo ipfw add 100 fwd 127.0.0.1,8080 tcp from any to any 80 in

将所有请求从localhost/127.0.0.1转发到:80到:8080

有谁知道这是严重的错误/警告以及如何摆脱它？

我希望能够以编程方式注册域名,而不必依赖注册商(例如GoDaddy)及其相关费用.我知道注册商提供他们自己的API,但如果我可以直接连接到EPP服务器(例如VeriSign),那将是最好的.我是否需要自己成为认可的注册商？