Comodo Code Signing и сервер времени
От: PPA Россия http://flylinkdc.blogspot.com/
Дата: 02.04.14 04:53
Оценка: 5 (1)
Все привет.

Кто как защищается от ошибок связанных с недоступностью сервера-времени
http://timestamp.comodoca.com/authenticode

пока не понял, или у меня инет глючит, или у них что-то иногда не так
но на некоторых файлах получается вот такая ошибка

Sign Tool failed with exit code 0x1.
Compile aborted.
Done Adding Additional Store
SignTool Error: An unexpected internal error has occurred.
Error information: "SignerTimeStamp() failed." (-2147024883/0x8007000d)

В инете нашел по этому коду вот такое старое обсуждение
http://forums.comodo.com/code-signing-certificate-b17.0/-t45295.0.html

в форуме поддержка указывает на урл
http://timestamp.comodo.com/authenticode
хотя верный урл немного другой
http://timestamp.comodoca.com/authenticode

Тоже хочется подписывать автоматически и гарантированно на билд-машине.
может есть уже готовые скрипты/решения, которые крутятся над подписываемым файлом пока не пройдет все хорошо?
У меня используется innosetup он умеет подписывать на лету так-же и uninstall делал вот так:
http://revolution.screenstepslive.com/s/revolution/m/10695/l/95041-signing-installers-you-create-with-inno-setup

Если автоматически не существует и нужно писать самому обертку, то подскажите как узнать какие файлы
в каталоге подписались без метки времени не тыкая по каждому в свойства мышкой.
в проводнике я такой колонки не нашел.
я бы тогда хоть отсортировал по этому признаку и переподписал руками глючные.
Re: Comodo Code Signing и сервер времени
От: pva  
Дата: 02.04.14 08:03
Оценка:
Здравствуйте, PPA, Вы писали:

PPA>Кто как защищается от ошибок связанных с недоступностью сервера-времени
PPA>http://timestamp.comodoca.com/authenticode
Можно испольщзовать другой тайм-сервер. Например
http://timestamp.verisign.com/scripts/timestamp.dll
newbie
Re[2]: Comodo Code Signing и сервер времени
От: PPA Россия http://flylinkdc.blogspot.com/
Дата: 02.04.14 09:51
Оценка:
Здравствуйте, pva, Вы писали:
PPA>>Кто как защищается от ошибок связанных с недоступностью сервера-времени
PPA>>http://timestamp.comodoca.com/authenticode
pva>Можно испольщзовать другой тайм-сервер. Например
pva>http://timestamp.verisign.com/scripts/timestamp.dll

Хм... вечером попробую, только думаю verisign не примет comodo
а на verisign сертификат у меня кармы не хватает

Также это не решает проблему если действительно отвалится инет
и бинари окажутся с подписью без метки времени.
или есть хитрый кей, с помощью которого этого можно избежать?
Re[3]: Comodo Code Signing и сервер времени
От: pva  
Дата: 02.04.14 10:47
Оценка: 7 (2)
Здравствуйте, PPA, Вы писали:

PPA>Хм... вечером попробую, только думаю verisign не примет comodo
PPA>а на verisign сертификат у меня кармы не хватает
Насколько мне известно, сервер времени не привязан к сертификату.
По крайней мере, я спокойно использую сертификат глобалсигна с временем от верисигна.

PPA>Также это не решает проблему если действительно отвалится инет
PPA>и бинари окажутся с подписью без метки времени.
PPA>или есть хитрый кей, с помощью которого этого можно избежать?
1. Можно проверять наличие инета и доступность сервера времени
2. Можно деплоить на сервер в инете. Соответственно, при ошибке бинари не попадут в релиз.
3. Можно проверять подпись после подписи на валидность.
newbie
Re: Comodo Code Signing и сервер времени
От: okman Беларусь https://searchinform.ru/
Дата: 02.04.14 14:19
Оценка: 6 (1)
Здравствуйте, PPA, Вы писали:

PPA>Кто как защищается от ошибок связанных с недоступностью сервера-времени
PPA>http://timestamp.comodoca.com/authenticode

PPA>пока не понял, или у меня инет глючит, или у них что-то иногда не так
PPA>но на некоторых файлах получается вот такая ошибка

PPA>Sign Tool failed with exit code 0x1.
PPA>Compile aborted.
PPA>Done Adding Additional Store
PPA>SignTool Error: An unexpected internal error has occurred.
PPA>Error information: "SignerTimeStamp() failed." (-2147024883/0x8007000d)

У меня тоже раньше временами вылезала эта ошибка, причем только на данном
timestamp-сервере (который comodoca). В итоге написал утилиту, которая
зовет signtool несколько раз с задержкой, так до победного конца.
Других способов победить не нашел.

PPA>как узнать какие файлы
PPA>в каталоге подписались без метки времени не тыкая по каждому в свойства мышкой.

signtool.exe verify /tw
Генерирует warning, если нет timestamp-а.
Re[3]: Comodo Code Signing и сервер времени
От: okman Беларусь https://searchinform.ru/
Дата: 02.04.14 14:24
Оценка:
Здравствуйте, PPA, Вы писали:

PPA>Хм... вечером попробую, только думаю verisign не примет comodo

Должен принять.
Я подписывал сборки сертификатами от VeriSign и GlobalSign, а
timestamp-ы использовал самые разные, никогда проблем не было.

Вот, собирал когда-то для себя:

GlobalSign
http://timestamp.globalsign.com/scripts/timestamp.dll

VeriSign
http://timestamp.verisign.com/scripts/timstamp.dll

Comodo
http://timestamp.comodoca.com/authenticode

TrustCenter
http://www.trustcenter.de/codesigning/timestamp

StartSSL
http://www.startssl.com/timestamp

Entrust.NET
http://timestamp.entrust.net/TSS/AuthenticodeTS

DigiCert
http://timestamp.digicert.com

P.S. На сегодняшний день не все серверы могут работать.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.