Compartir a través de

Firma authenticode de proveedores de servicios criptográficos de terceros (CSP)

  • Artículo

La firma authenticode de terceros para proveedores de servicios criptográficos personalizados (CSP) está disponible en Windows Vista y versiones posteriores.

Por lo tanto, Microsoft ya no firmará CSP y se ha retirado el servicio manual de firma de CSP. Microsoft ya no procesará los correos electrónicos y los CSP enviados a cspsign@microsoft.com o cecspsig@microsoft.com a los que se firmen.

En su lugar, todos los CSP de terceros ahora se pueden autofirmar siguiendo este procedimiento:

  1. Compre un certificado de firma de código de una entidad de certificación (CA) para la que Microsoft también emite un certificado cruzado. El tema Cross-Certificates for Kernel Mode Code Signing (Certificados cruzados para la firma de código en modo kernel ) proporciona una lista de entidades de certificación para las que Microsoft también proporciona certificados cruzados y los correspondientes certificados cruzados. Tenga en cuenta que son los únicos certificados cruzados que se encadenan a la "Raíz de comprobación de código de Microsoft" emitida por Microsoft, que permitirá que Windows ejecute CSP de terceros.
  2. Después de tener un certificado de la ENTIDAD de certificación y el certificado cruzado coincidente, puede usar SignTool para firmar todos los archivos binarios de CSP.
  3. SignTool se incluye en las versiones más recientes de Visual Studio. También se incluye en WDK versión 7.0 y versiones más recientes. Tenga en cuenta que signTool que se incluye con versiones anteriores del WDK no es compatible con los certificados cruzados y no se puede usar para firmar los archivos binarios.

Nota

A partir de Windows 8, ya no es necesario firmar los CSP.

Puede firmar archivos binarios desde una línea de comandos o firmar como un paso de compilación integrado en Visual Studio 2012 y versiones posteriores.

El comando para SignTool es:

signtool.exe sign /ac <cross-certificate_from_ms> /sha1 <sha1_hash> /t <timestamp_server> /d <”optional_description_in_double_quotes”> <binary_file.ext>
  • <cross-certificate_from_ca> es el archivo entre certificados que descargó de Microsoft.
  • < > sha1_hash es la huella digital SHA1 que corresponde al certificado de firma de código.
  • < > timestamp_server es el servidor que se usa para marca de tiempo de la operación de firma.
  • <"optional_description_in_double_quotes"> es una descripción de nombre descriptivo opcional.
  • <binary_file.ext> es el archivo que se va a firmar

Por ejemplo:

signtool.exe sign /ac certificate.cer /sha1 553e39af9e0ea8c9edcd802abbf103166f81fa50 /t "http://timestamp.digicert.com" /d "My Cryptographic Service Provider" csp.dll

Nota

No es necesario incluir el identificador de recurso n.º 666 en el archivo DLL de CSP o la firma en el registro, tal como era necesario para las firmas de CSP anteriores.

Ayuda y soporte técnico adicionales

Puedes probar el foro Seguridad de aplicaciones para escritorio de Windows para obtener ayuda.