La validación de Signtool falla cuando la firma y la validación se realizan en diferentes máquinas

Question

La validación de Signtool falla cuando la firma y la validación se realizan en diferentes máquinas

#1 de demize (3 votos)

4

Estoy firmando un exe de una máquina usando un archivo cer. Luego, cuando valido el EXE usando el signtool.exe de la misma máquina, tiene éxito. Pero cuando intento validarlo utilizando el mismo .cer instalado en otra máquina, falla el siguiente error.

SignTool Error: A certificate chain processed, but terminated in a root
certificate which is not trusted by the trust provider.

Number of errors: 1

En esta otra máquina en la que estoy tratando de validar, el archivo .cer se ha instalado en el conjunto de certificados de Raíz de confianza. Pero aún así ¿por qué estoy recibiendo este error? Cualquier ayuda sería muy apreciada.

A continuación se muestra cómo firmo el archivo.

makecert.exe -r -pe -ss ROOT -sky exchange -n CN=InstallerCert KubeInstallerSign.cer

digital-signature certificates certificate-authority validation code-signing

pregunta mayooran 28.06.2016 - 02:07

fuente

1 respuesta

Lea otras preguntas en las etiquetas digital-signature certificates certificate-authority validation code-signing

¿Se puede ocultar el ransomware en los entornos de almacenamiento / respaldo en la nube? ¿Explotación del cheque faltado de is_uploaded_file?

score 3 · Answer 1

Una cadena de certificados procesada, pero terminada en un certificado raíz en el que el proveedor de confianza no confía.

Este mensaje significa que usted firmó el binario correctamente y Signtool podría procesar toda la cadena de certificados, pero la máquina no confía en el certificado raíz.

Lo que esto significa, en un nivel superior, es que signtool sabe que se firmó pero no sabe quién lo firmó, por lo que no es una firma muy útil. Si está utilizando un certificado autofirmado, puede solucionarlo copiando su certificado en la máquina de destino e instalándolo allí; una mejor solución si quiere que sus usuarios confíen en usted es comprar un certificado de firma de código de una autoridad de certificación acreditada y firmar su código con eso.

De cualquier manera, esto significará que la máquina de destino ahora sabrá quién la firmó y podrá verificar que la firma es válida.