如何将程序进行数字签名

转自：http://blog.csdn.net/frankiewang008/article/details/10150389     1、编写ActiveX控件并实现ISafeObject安全接口； 2、设定ActiveX控件的版本以及该控件所需依赖Dll的版本； 3、编写inf文件，这里需要注意的是涉及到版本的地方需要和控件以及Dll的实际版本保持一致； 4、使用makecab程序打包cab文件； ———————————————————————————————————————- 5、使用makecert建立私钥证书； 6、导出或生成公钥证书（根据第5步所使用的具体命令来决定是从IE导出还是已经生成了公钥）； 7、使用cert2spc将公钥转换为spc文件； 8、使用pvk2pfx将私钥和spc文件生成pfx文件； 9、使用signtool来签名cab文件； ———————————————————————————————————————- 10、在web 站中调用该ActiveX控件，注意codebase中的version参数需要和inf以及ActiveX的实际版本相一致； ———————————————————————————————————————- 11、让用户下载公钥证书并安装在“受信任的根证书颁发机构”区域。 12、Enjoy it ！

1.制作私钥文件

2.制作数字证书

3.对程序进行签名认证

      默认按照Makercer.exe生成的数字签名文件的颁发者是“RootAgency”，这样是不能直接通过认证的，如下是整理的相关资料

    1.  什么是Root Agency数字证书nbsp;

     Root Agency数字证书是makecert.exe生成的测试根证书，主要用于数字证书的签名测试，该类证书目前在系统是不受信的。 
    2.Root Agency数字证书对系统是否有危害/span>

       根据Windos系统的设置，Root Agency所颁发的数字证书是不受信任的。但是在目前大部分ghost系统中把Root Agency数字证书设为了信任项，那就意味着病毒木马可以轻松的进行签证。
   解决办法：
   1）右击IE点击属性进入Internet选项；
   2）点击内容选项卡选择发行商；
   3）在受信任的根证书颁发机构以及中级证书颁发机构找到名为Root Agency的证书删除； 
3.我可以用Root Agency数字证书对文件进行签名吗nbsp;
   抱歉，由于Windos系统默认对其不受信以及与我国的电子签名法冲突所以文件即使被签名那也是无效的； 
4.带有Root Agency数字证书签名的文件是否安全nbsp;
   由于该类证书制作简单且仅需几秒钟，所以不确定性因素过多，到那时还是问一下杀毒软件把；

1.制作私钥文件： 

一、”数字证书”制作软件MakeCert 
makecert.exe是一个微软出品的用来制作”数字签名”的软件，是命令行界面，利用它可以轻松地做出属于自己的个人”数字签名”，当然自己做出来的这个数字签名是不属于受信任的证书的，但这并不太影响使用。 
二、CAB压缩软件包制作工具IEXPRESS 
是MAKECAB.EXE的GUI界面程序，用来把程序所需文件压缩打包为CAB格式，便于传输，当然如果你的程序是一个独立的EXE文件时，可以不需要用这个工具打包，但考虑现在多数免费空间不支持EXE格式的文件上传，建议打包！类似的工具还有命令行界面的Cabarc.exe； 
三、数字签名软件 Signcode 
  我们可以使用signcode.exe和自己的”数字证书”签署自己的软件，给软件加上数字签名，使其可以在 页中运行 
  大伙准备好了吗面就和我一起来属于自己的数字签名控件吧，Lets go……  
第一步：制作”数字证书” 
进入SignTool文件夹，在控制台运行如下指令：
makecert的命令如下: 

makecert -sv “Talent.PVK” -n “CN=TalentCompany,O=FrankieWang” -ss My -r -b 08/20/2013 -e 08/20/2015

其中 

-sv Talent.PVK  意思是生成一个私匙文件 Talent.PVK
-n “CN=TalentCompany” 其中的”TalentCompany”就是签名中显示的证书所有人的名字，记住要改为你自己的或你想要的名字呀！ 
-ss My      指定生成后的证书保存在个人证书中 -r        意思是说证书是自己颁发给自己的，呵呵 
-b 08/20/2013  指定证书的有效期起始日期，格式为 月/日/年，最低为1900年 -e 08/20/2015   指定证书的有效期终止日期，格式同上 
至于其他命令暂时用不到，我也不多做介绍啦。 
 
不需要填私匙密码吧接点”无”按钮就可以拉，如果你喜欢麻烦就输入密码，并记住它。好啦！已经在目录下生成了你的私匙文件Talent.PVK，但证书在哪里急，打开IE 的”Internet选项”，切换到”内容”标签，看到”证书”按钮没它! 图中上面那个截止日期为08/20/2015的”TalentCompany”就是刚才自己生成的证书， 到IE的“Internet选项”中的“内容”中的“证书”中将TalentCompony导入到“受信任的根证书颁发机构”中，然后到“个人”中选中TalentCompony，选中导出， 按照默认生成Talent.cer证书文件

2.制作数字证书

   前面已经生成了私钥文件PVK、数字认证文件cer（X.509），现在要通过如下命令来生成对应的Spc文件

   cert2spc.exe Talent.cer Talent.spc

   如此就完成了全部数字签名相关认证文件的生成；

3.对程序进行签名认证（每次进行数字签名的操作）

     signcode.exe  依次选中之前生成的文件，即可

 
点击Browse，输入.CAB文件的存放地址（包含所取文件名），这里取TestCAB.CAB,并且要选中“Store files using Long File Name inside Package”。点击下一步。 
 
在上图中选择：Don’t Save，即可生成dsoframe.CAB。 
说明：CAB的文件名必须为8.3的格式，文件名不能太长，此制作过程可以先输入CAB包的文件名为：dsoFrame.CAB，制作完成后，再改成dsoFramer.CAB   
第三步：为dsoframer.CAB签署数字签名 

运行signcode.exe，选择dsoframer.CAB，如下图：   
 
 
“签名选项窗体”中的”签名类型”选定”自定义(C)”,如下图：   

 
下一步，在“数字签名向导－签名证书”窗体中，点击”从文件中选择”按钮，选择上面第一步导出的证书文件dsoframer.cer，     

 
 
再下一步的私匙选定第一步生成的dsoframer.pvk文件   
  
！这样一个使用自己的”数字证书” 签署的具有”数字签名”可以在 页中运行的程序就做好啦！ 

第四步：当然就是把做好的程序嵌入到 页中，然后上传啦！ 加入到 页中的代码如下： 
                 style=”left: 0px; top: 0px; width: 100%; height: 
16px”codebase=”../DsoFramer/dsoFramer.CAB#V2,2,1,2″>