Firma authenticode de proveedores de servicios criptográficos de terceros (CSP)
La firma authenticode de terceros para proveedores de servicios criptográficos personalizados (CSP) está disponible en Windows Vista y versiones posteriores.
Por lo tanto, Microsoft ya no firmará CSP y se ha retirado el servicio manual de firma de CSP. Microsoft ya no procesará los correos electrónicos y los CSP enviados a cspsign@microsoft.com o cecspsig@microsoft.com a los que se firmen.
En su lugar, todos los CSP de terceros ahora se pueden autofirmar siguiendo este procedimiento:
- Compre un certificado de firma de código de una entidad de certificación (CA) para la que Microsoft también emite un certificado cruzado. El tema Cross-Certificates for Kernel Mode Code Signing (Certificados cruzados para la firma de código en modo kernel ) proporciona una lista de entidades de certificación para las que Microsoft también proporciona certificados cruzados y los correspondientes certificados cruzados. Tenga en cuenta que son los únicos certificados cruzados que se encadenan a la "Raíz de comprobación de código de Microsoft" emitida por Microsoft, que permitirá que Windows ejecute CSP de terceros.
- Después de tener un certificado de la ENTIDAD de certificación y el certificado cruzado coincidente, puede usar SignTool para firmar todos los archivos binarios de CSP.
- SignTool se incluye en las versiones más recientes de Visual Studio. También se incluye en WDK versión 7.0 y versiones más recientes. Tenga en cuenta que signTool que se incluye con versiones anteriores del WDK no es compatible con los certificados cruzados y no se puede usar para firmar los archivos binarios.
Nota
A partir de Windows 8, ya no es necesario firmar los CSP.
Puede firmar archivos binarios desde una línea de comandos o firmar como un paso de compilación integrado en Visual Studio 2012 y versiones posteriores.
El comando para SignTool es:
signtool.exe sign /ac <cross-certificate_from_ms> /sha1 <sha1_hash> /t <timestamp_server> /d <”optional_description_in_double_quotes”> <binary_file.ext>
- <cross-certificate_from_ca> es el archivo entre certificados que descargó de Microsoft.
- <> sha1_hash es la huella digital SHA1 que corresponde al certificado de firma de código.
- <> timestamp_server es el servidor que se usa para marca de tiempo de la operación de firma.
- <"optional_description_in_double_quotes"> es una descripción de nombre descriptivo opcional.
- <binary_file.ext> es el archivo que se va a firmar
Por ejemplo:
signtool.exe sign /ac certificate.cer /sha1 553e39af9e0ea8c9edcd802abbf103166f81fa50 /t "http://timestamp.digicert.com" /d "My Cryptographic Service Provider" csp.dll
Nota
No es necesario incluir el identificador de recurso n.º 666 en el archivo DLL de CSP o la firma en el registro, tal como era necesario para las firmas de CSP anteriores.
Ayuda y soporte técnico adicionales
Puedes probar el foro Seguridad de aplicaciones para escritorio de Windows para obtener ayuda.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de