Подписание exe сертификатом

signtool может подписываться с помощью закрытого ключа и сертификата из «хранилища» сертификатов Windows (отображается как запись для сертификата С закрытым ключом) или из файла PFX / P12 (который содержит закрытый ключ и сертификат (ы)). Обычно вы используете закрытый ключ, а также сертификат для подписи или расшифровки; сам по себе сертификат содержит только открытый ключ, и этого недостаточно. Вся суть криптографии с открытым ключом состоит в том, что только «владелец» частного ключа или кто-то, кому дана копия, может подписать или расшифровать; открытый ключ может быть распространен публично и использоваться для проверки или шифрования, но никто другой не может использовать открытый ключ для получения закрытого ключа, поэтому закрытый ключ остается закрытым. Если бы вы могли «сгенерировать» закрытый ключ из сертификата, то и злоумышленник мог бы, и он не обеспечил бы никакой безопасности.

Если вы получили сертификат вновь созданный (корпоративной PKI) в ответ на ваш запрос, вы уже должны иметь закрытый ключ, потому что запрос отправленный вами запрос (так называемый запрос на подпись сертификата или CSR) сам был подписан с использованием закрытого ключа. Вам нужно указать, какой метод вы использовали для генерации запроса, и это определит, где находится ваш закрытый ключ и как его использовать.

Если вы получили сертификат, созданный в ответ на чей-то запрос или инициированный ЦС самостоятельно, у них есть закрытый ключ, и вам необходимо получить его от них.

Обратите внимание: чтобы подпись на .exe имела любое значение, ваш сертификат должен быть специально помечен как сертификат подписи кода и выдан центром сертификации, которому доверяют (на ваших клиентских машинах) выдачу таких сертификатов. Убедитесь, что это указано в отправленном вами или кем-то запросе.