次の方法で共有

SignTool.exe (署名ツール)におけるタイムスタンプの設定種類の違いについて

Anonymous
2021-04-13T04:22:42+00:00

ファイルにデジタル署名するために、SignTool.exeでタイムスタンプを付与しようとしています。

MSのURLを参考に、コマンド文を作成中ですが、signコマンドのオプションにタイムスタンプの設定方法として2パターンあります。

特徴や方式の違いがわからないので、どなたかご教授いただけないでしょうか。

/t URL :タイム スタンプ サーバーの URL を指定します。Specifies the URL of the time stamp server.

②/tr URL*:*RFC 3161 タイム スタンプ サーバーの URL を指定します。

https://docs.microsoft.com/ja-jp/dotnet/framework/tools/signtool-exe

家庭向け Windows | その他 | アプリ

ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。

0 件のコメント

質問作成者が受け入れた回答

hidaka 56,116 評価のポイント MVP ボランティア モデレーター
2021-04-13T05:33:37+00:00

何を目的で、どのような証明書を使用して、どのような署名をするのかがわかりませんが、タイムスタンプ サーバーを含めて特徴や方式の違いなどといいうものは、10社以上ある証明書発行機関によって様々です。また毎年のように証明書と署名の方式、SignToolの各社のオプションが変わるため、一概には言えません。従っておそらく教授できる人もいないし、仮にいたとしてもすぐに変わるため、事前に知ることには意味がないと思います。

タイムスタンプを含めたSignTool の使い方については、目的と署名の種類が決まっているのであれば、

- 証明書の購入前であれば証明書を購入しようする会社

- 証明書の購入後であれば証明書を購入した会社

に問い合わせるしかありません。購入前であれば前述の通り、後で変わる可能性があります。

なお参考までにお伝えしますと、私は海外を含めて様々な証明書発行機関から証明書を購入した経験がありますが、海外の会社は全般的にサポートレベルが低く、「間違った使い方」や「教えられたURLに使い方が無いといった不適切な情報」を教えられたことが何回かあり、今までたぶん5~6回は SignTool の使い方についてそれぞれの会社のサポート窓口に問い合わせしています。

結局全部正常に署名出来る様になりましたが、中にはSignTool がエラー無しで終了しても署名できてない場合もありました。コツは、付加した署名を入念に確認することと、正しい署名が出来るまでは諦めずに何回でも繰り返し問い合わせることです。恐らくこれが一番重要なノウハウです。私は海外の発行機関からの調達が多いこともあり、SignToolによる署名とはそうやって使いこなすものだと思っています。

この回答は役に立ちましたか?

1 人がこの回答が役に立ったと思いました。
0 件のコメント

質問作成者が受け入れた回答

Anonymous
2021-04-13T04:44:40+00:00

タイムスタンプサーバーの方式の差です。

/tがAuthenticodeのタイムスタンプサーバーの指定で、有名なところでは、Degicertの「http://timestamp.digicert.com/?alg=sha1」なんてサイトがある。

/trがRFC 3161のタイムスタンプサーバーの指定で、同様に有名なところでは、DegicertのRFC 3161 sha256サーバーで「http://timestamp.digicert.com/?alg=sha256」なんてサイトがある。

電子署名には有効期間が存在しています。タイムスタンプ副署名を付与することにより、電子署名に使用した電子証明書が電子署名をした時に有効であったことが副署名に記録されます。その結果、電子証明書の有効期間を過ぎても、電子署名は有効と判断されるようになります。

なお、2020年末まで利用できたタイムスタンプサーバーは、電子署名の有効期限やタイムスタンプサーバー側の運営の変更で使用できなくなっているものが多いです。特にverisign.comやsymantec.comドメインのタイムスタンプサーバーを使用することを指示するような資料があったら、有効期限切れの古い資料ですので、最新情報を取得しなおしてください。

参考:
タイムスタンプサーバの変更に関するお知らせ (digicert.com)

この回答は役に立ちましたか?

1 人がこの回答が役に立ったと思いました。
0 件のコメント

3 件の追加の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Anonymous
    2021-04-13T06:44:20+00:00

    皆さまありがとうございます。

    今回はデジサートのEVコードサイニング証明書を署名予定です。

    結論、デジサートへ問い合わせるしかないみたいですね。

    #以前同様の問い合わせをした時にsigntoolやタイムスタンプなどの仕様はマイクロソフトの領域なので、

     「回答しかねる」と返答もらったのでおおくは期待できないと思っています。

    この回答は役に立ちましたか?

    0 件のコメント
  2. Anonymous
    2021-04-13T05:40:41+00:00

    確かに、日本国内の証明書発行機関もありますが、利用者側が十分な予備知識があることを前提にしている機関が多くて、どちらかというと不親切な対応のところが多いです。タイムスタンプサーバーに関しては、まともに説明をしていない機関も多い。

    この回答は役に立ちましたか?

    0 件のコメント
  3. Anonymous
    2021-04-13T05:06:26+00:00

    ご返答ありがとうございます。

    理解が及んでいないのでご教授いただきたいのですが、

    EVコードサイニング証明書(SHA-256)を署名する場合は「/tがAuthenticodeのタイムスタンプサーバーの指定」になりますでしょうか。

    この回答は役に立ちましたか?

    0 件のコメント