数字签名工具使用手册.pdf

1 数字签名工具专业版 用户使用手册 v1.0 2 目录目录 1 简介.2 1.1 关于签名工具.2 1.2 关于亚洲诚信.3 1.3 关于域联软件.3 2 证书管理.3 2.1 导入证书.3 2.2 导出证书.5 2.3 测试证书.5 2.4 修复证书链.6 3 签名规则.6 3.1 添加规则.6 3.2 编辑规则.7 3.3 删除规则.7 4 数字签名.7 4.1 注意事项.7 4.2 模式选择.8 4.3 数字签名.8 4.4 签名验证.8 4.5 移除签名.8 4.6 右键签名.8 4.7 CAB 打包.9 4.8 CAT 生成.9 4.9 签名日志.9 5 命令行工具.9 5.1 介绍.9 5.2 应用签名.10 5.3 驱动签名.10 5.4 签名验证.10 6 附录.10 6.1 更新日志.10 6.2 技术支持.10 1 简介简介 1.1 关于签名工具关于签名工具 数字签名工具专业版数字签名工具专业版 版本：1.8.2 运行环境：Win7/2008/Vista/WinXP/2003 下载地址：图形化和命令行集于一体的专业数字签名工具，支持应用程序代码签名、ActiveX 控件数字签名、64 位驱动程序数字签名，让用户可以完全摆脱微软的 signcode 和 signtool。独有的 CAB 打包、CAT(安全编目)生成、移除签名、右键签名等功能让数字签名得心应手！功能特点：签名测试：内置免费测试证书，一键安装和签名测试。证书管理：随时对证书进行备份和恢复。签名规则：独创签名规则，一键式数字签名。数字签名：代码签名，驱动签名一应俱全，支持文件或文件夹拖放。签名校验：签名状态检查，确保数字签名有效性。右键签名：直接在资源管理器中右键对应用程序和驱动进行签名。CAB 打包：对 ActiveX 控件和相关文件进行打包和签名。CAT 生成：对驱动和 INF 及相关文件进行安全编目签名。时间戳：内置 VeriSign,Thawte 时间戳服务器。3 1.2 关于亚洲诚信关于亚洲诚信 TrustAsia 是上海域联软件技术有限公司应用于信息安全领域的品牌，专业为企业提供包含数字证书在内的所有网络安全服务，这其中包括全球可信的服务器 SSL 证书、软件代码签名证书、邮件安全证书、客户端证书以及各类电子文档签名证书，企业自行管理证书的 PKI 管理平台部署以及企业服务器安全监测服务。全球可信的数字证书业务主要在中国市场为客户提供 PKI 安全解决方案，包括数字证书销售、技术支持、售后服务以及提供 PKI 综合服务。在国内，TrustAsia 的销售网络客户来自各行各业，包括全球 500 强跨国企业、上市公司、公用机构、政府部门等。在国内企业信息化快速发展的趋势下，我们更加关注的是网络安全。1.3 关于域联软件关于域联软件 上海域联软件技术有限公司于 2005 年在上海成立。专业从事国际互联网服务的提供，利用先进、成熟的信息技术和服务理念致力于为企事业单位提供信息化和电子商务方面的优质服务。自 2005 年发展至今，我们已与包括 VeriSign、GeoTrust、Thawte、Gene6 SARL 等在内的数家国内外企事业单位建立了互联网应用服务合作关系，长期结合客户行业特点，为客户提供先进、实用、可靠的信息化技术服务。多年来，上海域联积极进取，公司本着“专业化、规范化、规模化”的经营理念出发,诚信和高质量的技术支援服务取得广大客户的信赖和满意。在同行业和客户中有着良好的信誉。2 证书管理证书管理 2.1 导入证书导入证书 选项：选项：证书格式：证书格式：需要导入的数字证书格式，一般是 PFX。4 证书：证书：需要导入的“证书备份文件”路径。私钥：私钥：需要导入的“证书私钥文件”路径（当“证书格式”为 PFX 时此选项不可用）。密码：密码：证书备份文件的“有效密码”。标记私钥标记私钥可导出：可导出：使导入的证书私钥可导出（注意：注意：如果导入的证书不需要再导出备份，为了安全请不要“标记私钥可导出”！）。图示：图示：导入成功后导入成功后，你可以在证书管理列表中看到刚才导入的证书，并且可以很方便的对证书进行查看和操作。如下图所示：5 2.2 导导出证书出证书 选项：选项：证书格式：证书格式：需要导出的“证书格式”（默认推荐 PFX）。证书：证书：保存“证书备份文件”的路径。私钥：私钥：保存“证书私钥文件”的路径（当“证书格式”为 PFX 时此选项不可用）。密码：密码：设置保护证书备份文件的“密码”（此密码将用于日后的“证书导入”，请妥善保管！）。图示：图示：导出成功：导出成功：注意：注意：此文件和密码一定要妥善保存，此文件包含了证书的公钥和私钥！2.3 测试证书测试证书 内置的免费测试证书，通过一键“安装安装测试证书测试证书”后即可做软件签名测试（如对 ActiveX 在本地签名测试）。安装方法如下图所示：6 2.4 修复证书链修复证书链 部分证书在“查看查看”详细信息时可能会提示“Windows Windows 没有足够的信息，不能验证该证书没有足够的信息，不能验证该证书”(如下图所示)，可以通过左下角的“修复证修复证书链书链”来解决。3 签名规则签名规则 3.1 添加规则添加规则 签名选项签名选项 规则名：规则名：主要是用来区分不同规则，随意即可。证书：证书：签名要使用的数字证书（必选，如若没有安装证书，可以先“导入证书”或安装“测试证书”）。文件扩展名：文件扩展名：允许加入签名列表的文件类型，采用“;”隔开，一般默认即可。包含子目录：包含子目录：批量签名时允许遍历子目录。跳过有效签名文件：跳过有效签名文件：签名时跳过已经包含有效签名的文件，避免了其他有效签名被覆盖。签名信息（可选）签名信息（可选）内容描述：内容描述：主要用于 ActiveX 签名（效果见“图一.”）。信息信息 URLURL：主要用于 ActiveX 签名（效果见“图一.”）。时间戳服务：时间戳服务：确保证书过期后，签名不过期。“TrustAsia”为 VeriSign 在国内的代理服务器，速度可能会快一些。图一：图一：7 图二：图二：3.2 编辑规则编辑规则 选中需要编辑的规则点“编辑”，其他同“添加规则”可以对规则进行修改。3.3 删除规则删除规则 选中需要删除的规则点“删除”。4 数字签名数字签名 4.1 注意事项注意事项 必须已经添加“签名规则”才能进行“数字签名”、“签名验证”等操作。如果已存在签名规则，默认情况下会自动选中第一条规则，以方便进行数字签名操作。8 4.2 模式模式选择选择 应用模式：应用模式：一般用于应用程序、ActiveX 控件等非驱动程序的签名和验证。驱动模式：驱动模式：用于对驱动的签名和验证，会自动加入微软的交叉证书。注意：注意：为了避免一些不必要的问题请根据文件类型选择相应模式。4.3 数字签名数字签名 步骤：步骤：1.确保用于签名的“签名规则”已经选中（选中状态见软件“左下角左下角”）。2.添加要签名的“文件文件”（提示：可以直接“拖入拖入”文件或文件夹到列表）。3.点击“数字签名数字签名”并选择相应“模式”即可开始签名。4.4 签签名验证名验证 说明：说明：可以对文件进行签名验证，检查文件是否签名以及签名是否有效。步骤步骤：同“数字签名”，点击“数字签名数字签名”换成点击“签名验证签名验证”即可。4.5 移除签名移除签名 可能某些情况下想对已经签名的文件进行“还原”操作，这时位于“数字签名”列表“右键”的“移除签名”就可以派上用场。注意：注意：目前只支持对 PE 文件（如：.exe、.dll、.ocx、.sys.）的签名进行移除。4.6 右键签名右键签名 通过此功能可以很方便的在资源管理器中对“文件文件/文件夹文件夹”点“右键右键”进行签名操作，无需打开签名工具。9 注意：注意：1.必须先通过签名工具添加好“签名规则”。2.必须是和签名规则中指定的“文件扩展名”匹配的文件才支持右键签名。3.当存在多个“签名规则”时请选择相应的规则。4.应用模式请点“是”，驱动模式请点“否”4.7 CAB 打包打包 位于位于：“数字签名”页的“附加工具”说明：说明：该功能主要用于 ActiveX 控件的签名与打包发布，可减小体积、方便多个文件的发布。使用：使用：添加要打包的文件（如：SafeEdit.ocx、SafeEdit.inf），点击“创建 CAB”。提示：提示：创建成功后会提示是否加入到签名列表，这样可以方便对此 CAB 再进行签名，而无需重新添加文件。4.8 CAT 生成生成 位于位于：“数字签名”页的“附加工具”说明：说明：该功能主要用于驱动的签名（特别是包含包含.inf 文件的驱动必须通过安全编录（文件的驱动必须通过安全编录（CAT）来签名）来签名才能保证安装时不会出现签名警告才能保证安装时不会出现签名警告）。使用：使用：添加要编录的文件（如：cyusb.sys、cyusb.inf），点击“创建 CAT”。提示：提示：创建成功后会提示是否加入到签名列表，这样可以方便对此 CAT 再进行签名，而无需重新添加文件。4.9 签名日志签名日志 该功能位于“关于”页面右下角的“签名日志”，点击即可查看所有的签名日志文件。5 命令行工具命令行工具 5.1 介绍介绍“数字签名工具”集成了命令行方式签名的功能，以满足客户的不同需求。命令行的使用前提还是需要在图形化界面下制定好签名规则。本命令行程序（CSignTool.exe）位于“数字签名工具”安装目录下（默认为：C:Program FilesDSignToolCSignTool.exe）。C:Program FilesDSignToolCSignTool.exe/?TrustAsia Signature Tools v1.8.1 Usage:CSignTool /r /f /ac|/kp Valid commands:Sign Sign files using an embedded signature.Verify Verify embedded or catalog signatures./r Sign/Verify rules name./f Sign/Verify file or dir name./ac Sign Add additional certificate,used to drive the signature./kp Verify Perform the verification with the kernel-mode driver signing policy.C:Program FilesDSignTool 10 5.2 应用签名应用签名 格式：格式：CSignTool sign/r 规则名规则名/f 文件或目录文件或目录 演示：演示：CSignTool sign/r TrustAsia/f c:a,c:b 5.3 驱动签名驱动签名 格式：格式：CSignTool sign/r 规则名规则名/f 文件或目录文件或目录/ac 演示：演示：5.4 签名验证签名验证 格式：格式：CSignTool verify/r 规则名规则名/f 文件或目录文件或目录 演示：演示：6 附录附录 6.1 更新日志更新日志 软件更新日志：位于软件的“关于”页面右下角的“更新日志”，点击即可查看历史更新日志。手册更新日志：2012/2/15 v1.0 Jerry Hou 6.2 技术支持技术支持 电话：021-54971631 邮箱：support 网站：C:Program FilesDSignToolCSignTool sign/r TrustAsia/f c:a,c:b/ac TrustAsia Signature Tools v1.8.1 c:aavcodec-52.dll Start signature.Timestamping.Signature success!c:aavutil-50.dll Start signature.Timestamping.Signature success!c:bH264_Netapi_ActiveX.ocx Start signature.Timestamping.Signature success!c:bH264_NET_API.dll Start signature.Timestamping.Signature success!Signature finish.C:Program FilesDSignTool CSignTool verify/r TrustAsia/f c:a,c:b TrustAsia Signature Tools v1.8.1 c:aavcodec-52.dl Dotsoft Technologies,Inc.Signature OK(Driver cross)c:aavutil-50.dll Dotsoft Technologies,Inc.Signature OK(Driver cross)c:bH264_Netapi_ActiveX.ocx Dotsoft Technologies,Inc.Signature OK(Driver cross)c:bH264_NET_API.dll Dotsoft Technologies,Inc.Signature OK(Driver cross)