Всем привет,

Еще в прошлом году столкнулся с большой проблемой с EV подписью от GlobalSign. В свойствах подписанного файла видно подпись, signtool показывает, что файл подписан, однако при этом окошко UAC показывает unknown publisher.

На Win 10 все в порядке, на свежей Win11 25H2 со всеми обновлениями проблема воспроизводится.

С поддержкой GlobalSign провел удаленный сеанс — ничем они не смогли помочь, делая совсем очевидные вещи, которые я и сам уже проделал. Так что я было решил, что это что-то локальное.

Но в последнее время стал получать письма, что ваш инсталлятор, дескать, не подписан.

У кого-то еще есть такая проблема?

И сразу спрошу. Есть нулевая компания в Киргизии. Кто-нибудь имел опыт получения EV подписи для компании в СНГ с нулевыми оборотами не у GlobalSign?

UPD: оказалось, что если обновить jsign, который советует использовать GlobalSign, то все работает отлично. С signtool.exe тоже все ок оказалось, но я его не использовал, потому что он хочет ввода пина всякий раз.

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Еще в прошлом году столкнулся с большой проблемой с EV подписью от GlobalSign. В свойствах подписанного файла видно подпись, signtool показывает, что файл подписан, однако при этом окошко UAC показывает unknown publisher.

Если в Windows Explorer посмотреть на Properties файла, на Digital Signatures странице чего показывает?

Здравствуйте, wantus, Вы писали:

W>Если в Windows Explorer посмотреть на Properties файла, на Digital Signatures странице чего показывает?

Да я чего только не смотрел. Там все в порядке, и signtool выводит, что все ок.

Сегодня прям решительно взялся. Оказалось, если подписывать не jsign-ом 5-ой версии, как советовал GlobalSign, а обычным signtool, то все работает отлично. Ну а стоило обновить jsign до последней версии, все заработало и с ним.

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>UPD: оказалось, что если обновить jsign, который советует использовать GlobalSign, то все работает отлично. С signtool.exe тоже все ок оказалось, но я его не использовал, потому что он хочет ввода пина всякий раз.

Занятно. У меня jsign 6.0, вроде жалоб не было. У меня правда web installer, подписанный старым сертификатом через signtool без токена. Новым я только сам экзешник программы подписываю и отдельный запасной полный инсталлятор. Но на всякий случай обновил до 7.4 и переподписал все.

Здравствуйте, Александр Широков, Вы писали:

АШ>Занятно. У меня jsign 6.0, вроде жалоб не было. У меня правда web installer, подписанный старым сертификатом через signtool без токена. Новым я только сам экзешник программы подписываю и отдельный запасной полный инсталлятор. Но на всякий случай обновил до 7.4 и переподписал все.

Я уже был готов брать отладчик и смотреть, что там UAC не нравится

Вообще, хочется вернуться к штатному signtool.exe, но как избавиться от ввода пина каждый раз

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>С signtool.exe тоже все ок оказалось, но я его не использовал, потому что он хочет ввода пина всякий раз.

В смысле? У меня signtool вообще никогда не просил PIN — его просит софтина, управляющая токеном, а ее можно настроить, чтоб спрашивала только один раз в пределах сеанса.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>а ее можно настроить, чтоб спрашивала только один раз в пределах сеанса.

Предлагаешь при каждой перезагрузке билд-сервера заходить туда и вводить вручную пин?

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Предлагаешь при каждой перезагрузке билд-сервера заходить туда и вводить вручную пин?

Просто сиквел "Богатые тоже плачут". Билд-сервер какой-то, перезагрузки, все дела ...

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Предлагаешь при каждой перезагрузке билд-сервера заходить туда и вводить вручную пин?

Ну, коли уж он запоминается где-то на сервере, то можно и сколхозить скрипт, который будет вставлять его в этот диалог.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Ну, коли уж он запоминается где-то на сервере, то можно и сколхозить скрипт, который будет вставлять его в этот диалог.

Наверное, можно, но jsign этот работает из коробки (но правда и неожиданных проблем он мне принес).

Прикол еще в том, что когда мне пользователи пишут, я первым делом спрашиваю, какой именно версией они пользовались, а тут даже в голову не пришло посмотреть, не было ли обновлений

Здравствуйте, Unhandled_Exception, Вы писали:


U_E>Вообще, хочется вернуться к штатному signtool.exe, но как избавиться от ввода пина каждый раз

Aktiv ruToken CSP умеет кешировать ПИН.

Надо добавить в реестр.

[HKEY_LOCAL_MACHINE\SOFTWARE\Aktiv Co.\Rutoken\rtCSP]
"pcache"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Aktiv Co.\Rutoken\rtCSP]
"pcache"=dword:00000001

Чтобы очистить кэшированный PIN нужно удалить файл C:\Users\Имя пользователя\AppData\LocalLow\Aktiv Co\Rutoken\pcache.txt

Здравствуйте, Oleg Kovalenko, Вы писали:

OK>Здравствуйте, Unhandled_Exception, Вы писали:

OK>Aktiv ruToken CSP умеет кешировать ПИН.

Интересно, спасибо! И после перезагрузки его уже можно будет не вводить повторно?

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Интересно, спасибо! И после перезагрузки его уже можно будет не вводить повторно?

Нет, не нужно.

Здравствуйте, Александр Широков, Вы писали:

АШ>на всякий случай обновил до 7.4 и переподписал все.

Мне не помогло. Также подпись видна только в свойствах файла, firewall на Win11 её тупо игнорирует.

Здравствуйте, sfsoft, Вы писали:

S>Мне не помогло. Также подпись видна только в свойствах файла, firewall на Win11 её тупо игнорирует.

А если signtool подписать, тот же результат?

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>А если signtool подписать, тот же результат?

signtool вообще не хочет с этим ёба рутокеном работать, что только не пытался

Скорее всего продлять подпись не буду в следующем году, смысла нет никакого. А некоторые, после того как мы перешли на Lazarus и выпустили версию под Linux, вообще с Windows ушли.
Но у нас b2b в России. С одной стороны проще, а с другой жесткий лок на страну. И события в ней.