我有一个我完全不明白的问题。几天前,我从我们的供应商 (GlobalSign) 那里颁发了一份新的代码签名证书。
在使用执行构建/代码签名的用户登录到构建服务器后,我启动了 certmgr,导航到个人证书存储并删除旧证书。然后我使用“导入”对话框导入新证书,包括它的私钥。
测试版本显示 signtool 仍然使用旧 证书对应用程序进行签名。但是,我无法在 certmgr 中的任何位置找到此证书,甚至无法通过搜索该证书的 SHA1 校验和来找到它。
谷歌搜索后,我找到了这篇博文:http://qualapps.blogspot.de/2008/07/installing-code-signing-certificate.html 它声明如下:
Remove your old certificate. If you are renewing an existing certificate, then keeping the old certificates installed isn't usually useful, and having multiple certificates will break SIGNTOOL if signtool is searching the certificate store. Go to Control Panel / Internet Options / Content, click Certificates, select your old certificate, and click Remove. The old certificate will probably be on the Personal page if you allowed PVKIMPRT to decide where to put it.
我按照这些说明进行操作,但我唯一能找到的就是新证书。
"C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\Bin\signtool" sign /v /sm /n "my company name" /tr http://tsa.starfieldtech.com "the-setup.exe"
“我的公司名称”是旧证书和新证书中都包含的名称。
一个。如何找出旧证书仍存储在哪里并将其删除? b.我怎样才能强制 signtool 使用新证书,或者至少失败?!
最佳答案
使用 PFX 文件并引用它的解决方法是一个很好的解决方案。
但是,您可以尝试以下操作:
将参数
/s MY添加到signtool 参数链。 “我的”链接到个人商店。在 certmgr.msc 中,查看其他商店,如果它们不包含旧证书的副本
将
/a添加到参数链中。这将导致“自动选择最佳签名证书”(不管这意味着什么 :))您可以等到旧证书过期。之后,它应该自动只使用新证书
关于windows - signtool 为代码签名选择了错误的(旧的)证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36495663/