code-signing - TFS 2010 构建过程中的 "SignTool error: Access is denied"

Question

当我尝试签署文件时，我收到“SignTool 错误:访问被拒绝”的消息。当我使用管理员 cmd 时，一切正常。但是，此过程将在 TFS 2010 构建过程中使用，并且将 InvokeProcess 任务与 signtool 结合使用会提供与非管理员命令提示符相同的访问被拒绝消息。

更多信息:

在 Win2008 R2 企业机器上。

用户是机器管理员并且在域中。

TFS Build 服务也设置为以此用户身份运行。

使用使用以下说明创建的自签名证书:How do I create a self-signed certificate for code signing on Windows?

按照这些说明操作后，我有以下文件:

MyCA.cer

MyCA.pvk

MySPC.cer

MySPC.pvk

MySPC.pfx

MyCA 在我的受信任根证书颁发机构中
我按照以下建议将 MySPC.pfx 导入个人证书:SignTool error: Access is denied

为了进行签名，我使用了导入到 Personal 部分的 MySPC.pfx 的指纹，因此我的 signtool 命令如下所示:

符号/sha1 1e9d7b5ad98552d9c58944e3f3903e6b929f4819/t http://timestamp.verisign.com/scripts/timestamp.dll “文档名称”

这再次在管理员模式下工作。这在以管理员身份运行 cmd 时也有效:

sign/f "C:\Code Signing Non-Release\MySPC.pfx"/t http://timestamp.verisign.com/scripts/timestamp.dll “文档名称”

一般是代码签名的新手，因此欢迎提供任何帮助。

Answer 1

可能是证书 key 的权限问题 - 请参阅 http://blog.alner.net/archive/2011/11/18/signing-exes-and-msis-with-signtool-via-tfs-builds.aspx