привет!

заранее прошу прощения за пост сего сабжа в сей раздел, не нашел подходящего.

итак. купил сертификат для подписывания приложения. получил файл cert.cer, в свойствах вижу что это X.509 Certificate.

нагуглилось такое:
https://msdn.microsoft.com/en-us/library/windows/desktop/aa388170(v=vs.85).aspx

но я не понимаю, что я дальше должен делать, ибо у меня сертификат с расширением .cer и не понятно, что такое My High-Value Certificate и Hardware Cryptography Module.


вобщем, подскажите как добиться цели?


спасибо.

Здравствуйте, niXman, Вы писали:

X>вобщем, подскажите как добиться цели?

cer to pfx?
http://stackoverflow.com/questions/6307886/how-to-create-pfx-file-from-certificate-and-private-key

Здравствуйте, niXman, Вы писали:

X>вобщем, подскажите как добиться цели?

https://msdn.microsoft.com/en-us/library/ms819944.aspx

Импортишь сертификат.

Он будет отображаться в списке твоих сертификатов и иметь назначение "подписывание кода" или "all" и будет выдан, например на "niXman Inc."

Подписываешь им аля:
SignTool sign /n "niXman Inc." niXmanCoolApp.exe

спасибо за ответы, пытаюсь разобраться.

первое что несходится, это то, что у меня один файл, а в ссылке от uzhas говорится про два файла...

Здравствуйте, dead0k, Вы писали:

D>Импортишь сертификат.
сделал. импорт завершился умпешно.

D>Он будет отображаться в списке твоих сертификатов и иметь назначение "подписывание кода" или "all" и будет выдан, например на "niXman Inc."
а где это смотреть?
и, насколько я понял, мне еще нужно его экспортировать. как это сделать?

тут говорится:
On Windows 10 run the "Manage User Certificates" MMC. On Windows 2013 the MMC is called "Certificates"

во-первых — не понимаю, где это смотреть? у меня вин7. (ну, многие вкурсе, что в плане вендус я полный профан)
во-вторых — насколько я понял, его еще нужно экспортировать.

спасибо

Здравствуйте, niXman, Вы писали:

X>первое что несходится, это то, что у меня один файл, а в ссылке от uzhas говорится про два файла...

я никогда не покупал сертификаты, но предположу, что тебе дали и приватный ключ к нему (это и есть второй файл)

Здравствуйте, niXman, Вы писали:

D>>Он будет отображаться в списке твоих сертификатов и иметь назначение "подписывание кода" или "all" и будет выдан, например на "niXman Inc."
X>а где это смотреть?

http://superuser.com/questions/137500/how-can-i-get-a-list-of-installed-certificates-on-windows

X>и, насколько я понял, мне еще нужно его экспортировать. как это сделать?
зачем? тебе посоветовали его сразу юзать в signtool, сославшись по имени

Здравствуйте, niXman, Вы писали:

X>и, насколько я понял, мне еще нужно его экспортировать. как это сделать?

Да вроде можно и напрямую подписывать, но если хочется прямо через pfx, то
https://ru.godaddy.com/help/windows-install-codedriver-signing-certificate-and-create-pfx-file-2698

Здравствуйте, niXman, Вы писали:

X>вобщем, подскажите как добиться цели?

Я так делал

signtool sign -f keys/private.pfx -t http://timestamp.verisign.com/scripts/timstamp.dll myapp.exe

в pfx — оба ключа и закрытый и открытый
и отдельно сертификат только с открытым в cer

Если надо свой самоподписаный сертификат то примерно так

makecert -len 4096 -n "E=my@mail.org,CN=My Name,OU=Devel,O=Home,L=Town,S=region,C=RU" -r -h 0 -eku "1.3.6.1.5.5.7.3.3,1.3.6.1.4.1.311.10.3.13" -e 01/01/2100 -sv my-private-key.pvk my-public-key.cer
pvk2pfx /pvk my-private-key.pvk /spc my-public-key.cer /pfx private.pfx

makecert.exe pvk2pfx.exe signtool.exe от студии

ps: OIDs https://msdn.microsoft.com/ru-ru/library/windows/desktop/aa378132(v=vs.85).aspx

Здравствуйте, uzhas, Вы писали:

U>я никогда не покупал сертификаты, но предположу, что тебе дали и приватный ключ к нему (это и есть второй файл)
я тоже никогда не покупал. сертификат передал заказчик. он впервые купил сертификат и говорит что получил только один файл.

Здравствуйте, uzhas, Вы писали:

U>зачем? тебе посоветовали его сразу юзать в signtool, сославшись по имени
так а как я могу узнать имя?

Здравствуйте, niXman, Вы писали:

X>так а как я могу узнать имя?

ищем что значит ключик /n
https://msdn.microsoft.com/en-us/library/8s9b9yaz(v=vs.110).aspx


затем в списке сертификатов находим эту инфу
пример:

Здравствуйте, uzhas, Вы писали:

а как называется эта программа, скрин которой ты привел?

Здравствуйте, niXman, Вы писали:

X>я тоже никогда не покупал. сертификат передал заказчик. он впервые купил сертификат и говорит что получил только один файл.

все же мне кажется это очень нелогичным. .cer сам по себе вроде не содержит приватный ключ, а ключ где-то должен быть
потряси заказчика и выясни детали : где купил, какие именно файлы ему дали, какие данные он сам вбил (типа паролей, солей и тд) для генерации самого сертификата

Здравствуйте, niXman, Вы писали:

X>а как называется эта программа, скрин которой ты привел?

я же выше давал ссылку как посмотреть список сертификатов: http://superuser.com/questions/137500/how-can-i-get-a-list-of-installed-certificates-on-windows
прога: certmgr.msc

Здравствуйте, uzhas, Вы писали:

U>все же мне кажется это очень нелогичным. .cer сам по себе вроде не содержит приватный ключ, а ключ где-то должен быть
U>потряси заказчика и выясни детали : где купил, какие именно файлы ему дали, какие данные он сам вбил (типа паролей, солей и тд) для генерации самого сертификата

в процессе.

Здравствуйте, uzhas, Вы писали:

U>я же выше давал ссылку как посмотреть список сертификатов: http://superuser.com/questions/137500/how-can-i-get-a-list-of-installed-certificates-on-windows
U>прога: certmgr.msc

ага, мой сертификат есть в этом списке. пробую подписать используя Subject...

Здравствуйте, uzhas, Вы писали:

U>я же выше давал ссылку как посмотреть список сертификатов: http://superuser.com/questions/137500/how-can-i-get-a-list-of-installed-certificates-on-windows
U>прога: certmgr.msc

что-то у меня не так...
вот что у меня отображается:


пробую подписать так:

signtool.exe sign /a /s MY /n "Thawte Premium Root CA" /fd sha1 /t http://timestamp.verisign.com/scripts/timstamp.dll /v "some.exe"

и получаю:

SignTool Error: No certificates were found that met all the given criteria.

ЧЯДНТ?

Здравствуйте, niXman, Вы писали:

X>ЧЯДНТ?

ты Subject нашел, как я тебе на скриншоте показал (дважды щелкаем на серт, далее идем во вкладку Details)?
у тебя там несколько сертов, не ошибись с выбором =))
не ошибись также в кейсе букв, когда указываешь подстроку из Subject сертификата (у тебя thawte почему-то с большой буквы), это может оказаться важным
и не путай premium и primary

Здравствуйте, uzhas, Вы писали:

U>ты Subject нашел, как я тебе на скриншоте показал (дважды щелкаем на серт, далее идем во вкладку Details)?
да. оттуда я должен брать значение CN? (Common Name)

U>у тебя там несколько сертов, не ошибись с выбором =))
у меня был только один .cer-файл, я его установил, и появились эти четыре пункта.
какой из них использовать?

U>не ошибись также в кейсе букв, когда указываешь подстроку из Subject сертификата (у тебя thawte почему-то с большой буквы), это может оказаться важным
U>и не путай premium и primary
так я перепробовал CN со всех четырех пунктов?

Здравствуйте, niXman, Вы писали:

X>да. оттуда я должен брать значение CN? (Common Name)

как ты сюда приплел CN? речь о Subject, я же скриншот приложил и даже подчеркнул красным где там Subject

U>>у тебя там несколько сертов, не ошибись с выбором =))
X>у меня был только один .cer-файл, я его установил, и появились эти четыре пункта.
X>какой из них использовать?

предположу, что тот, где есть подстрока Timestamping
попробуй так:

signtool.exe sign /a /s MY /n "Thawte Timestamping CA" /fd sha1 /t http://timestamp.verisign.com/scripts/timstamp.dll /v "some.exe"

уточни Subject этого серта и замени при надобности

нашел в другом проекте использование signtool.exe, но так оно используется с .pfx-файлом.
при попытке экспортировать вижу такое окно:

т.е. пункт с .pfx есть, но он не активен. есть идеи, почему?

Здравствуйте, niXman, Вы писали:

X>т.е. пункт с .pfx есть, но он не активен. есть идеи, почему?

идея такая — ты его импортировал в систему без приватного ключа
в .pfx хранится пара, включая приватный ключ

Здравствуйте, uzhas, Вы писали:

U>как ты сюда приплел CN? речь о Subject, я же скриншот приложил и даже подчеркнул красным где там Subject
во-первых — у издателя на сайте нашел доку, и там в примерах "common name".
во-вторых — строка Subject не вмещается и форма не ресайзится:


U>попробуй так:
U>

U>signtool.exe sign /a /s MY /n "Thawte Timestamping CA" /fd sha1 /t http://timestamp.verisign.com/scripts/timstamp.dll /v "some.exe"

все так же:

SignTool Error: No certificates were found that met all the given criteria.

Здравствуйте, uzhas, Вы писали:

U>идея такая — ты его импортировал в систему без приватного ключа
U>в .pfx хранится пара, включая приватный ключ

думаю так же, ибо от издателя получили только один файл, и до сих пор не можем понять как нам получить и приватный ключ... а издатель со своей стороны не может понять зачем нам приватный ключ и тычет нам ссылкой на свою доку %)

Здравствуйте, niXman, Вы писали:

U>>как ты сюда приплел CN? речь о Subject, я же скриншот приложил и даже подчеркнул красным где там Subject
X>во-первых — у издателя на сайте нашел доку, и там в примерах "common name".
X>во-вторых — строка Subject не вмещается и форма не ресайзится:

а, вот откуда у тебя CN вылез
но это неважно, ключ /n принимает подстроку из Subject (это есть в хелпе для signtool, ссылку давал ранее). что видишь, то и вбивай в cmdline, главное — подстрока из Subject

X>все так же:
X>

X>SignTool Error: No certificates were found that met all the given criteria.

попробуй убрать "/s MY" и ключик "/a". винда у тебя русская, имя хранилища может быть не My, а что-то русское
перепроверь передаваемые параметры, сверься со справкой к signtool

Здравствуйте, uzhas, Вы писали:

U>попробуй убрать "/s MY" и ключик "/a".
убрал сначала "/s MY" а потом и "/a" — результат такой же.

U>винда у тебя русская, имя хранилища может быть не My, а что-то русское
а как узнать имя хранилища?

Здравствуйте, niXman, Вы писали:

X>сделал. импорт завершился умпешно.

ты не менял хранилище при импорте? выбрал хранилище по умолчанию? или все же выбрал какую-то папку в дереве?

Здравствуйте, uzhas, Вы писали:

U>ты не менял хранилище при импорте? выбрал хранилище по умолчанию? или все же выбрал какую-то папку в дереве?
эмм... я не помню =)

Здравствуйте, niXman, Вы писали:

X>убрал сначала "/s MY" а потом и "/a" — результат такой же.

хз тогда, телепатилка моя изнемогла

Здравствуйте, niXman, Вы писали:

X>все так же:
X>

X>SignTool Error: No certificates were found that met all the given criteria.

1. Попробуй просто:

signtool.exe sign /v "some.exe"

Signtool поищет среди установленных (импортированных в систему, тех что ты в mmc оснастке видишь) сертификатов найти хоть какой-то подходящий для подписи.

2.

signtool.exe sign /a /s MY /n "Thawte Timestamping CA" /fd sha1 /t http://timestamp.verisign.com/scripts/timstamp.dll /v "some.exe"

Это ну очень неправильная команда, потому как у тебя нет закрытого ключа парного тому что в сертификате "Thawte Timestamping CA". С неё ты ничего не подпишешь.

3. Всё это совершенно бессмысленные телодвижения в "*.cer" — "format supports storage of a single certificate. This format does not support storage of the private key or certification path."
У тебя нет закрытого ключа парного тому что в этом сертификате. Без закрытого ключа ты ничего не подпишешь. Сам ключ должен быть у того кто делал запрос на подпись сертификата у центра сертификации.

Здравствуйте, niXman, Вы писали:

X>привет!

если сертификат установлен в системе корректно, то должны выполняться такие команды для модуля x.exe

"C:\Program Files (x86)\Windows Kits\8.1\bin\x86\signtool.exe" sign /v /d "ProgName" /du "http://x.x.com" /fd sha1 /t http://timestamp.verisign.com/scripts/timstamp.dll x.exe
"C:\Program Files (x86)\Windows Kits\8.1\bin\x86\signtool.exe" sign /as /v /d "ProgName" /du "http://x.x.com" /fd sha256 /tr http://timestamp.comodoca.com/rfc3161 /td sha256 x.exe


у вас что пишет?

Здравствуйте, niXman, Вы писали:

X>Здравствуйте, uzhas, Вы писали:

U>>я никогда не покупал сертификаты, но предположу, что тебе дали и приватный ключ к нему (это и есть второй файл)
X>я тоже никогда не покупал. сертификат передал заказчик. он впервые купил сертификат и говорит что получил только один файл.

Тебе нужно или 2 файла, или PFX (который содержит оба — это как папка)

Заказчик скорее всего ошибается. То что он тебе послал (.cer) — это публичный ключ.
Для подписывания кода его недостаточно, код подписывается приватным ключем, которого у тебя похоже просто нет.
Неважно куда ты запихнешь .cer, приватный ключ от этого не появится.

Так что проси заказчика дать тебе приватный ключ.

Когда покупаешь сертификат, приватный ключ из соображений безопасности может устанавливаться напрямую или в браузер, или в систему, откуда его можно потом экспортировать.
В общем я бы спросил заказчика, где приватный ключ — пусть он попингует того кто выписал сертификат, если не знает.
Но скорее всего он у него в браузере или в системе, на том компе, с которого он сертификат заказывал.

То что у тебя его нет, можно проверить по иконке (они разные у сертификатов с приватным ключем и без приватного ключа)
Иконки сертификатов с ключем имеют этот самый ключ (иконка в верхнем левом углу):

Здравствуйте, niXman, Вы писали:

X>Здравствуйте, uzhas, Вы писали:

U>>идея такая — ты его импортировал в систему без приватного ключа
U>>в .pfx хранится пара, включая приватный ключ

X>думаю так же, ибо от издателя получили только один файл, и до сих пор не можем понять как нам получить и приватный ключ... а издатель со своей стороны не может понять зачем нам приватный ключ и тычет нам ссылкой на свою доку %)

Проверь на компе (в браузере) того, кто заказывал сертификат

для Google Chrome:
Settings -> Manage Certificates

Или (винда):

mmc /a
File -> Add remove snap-in.. -> Certificates -> My user account -> Add
Certificates -> Current user -> Personal

Возможно он там?

вобщем да, похоже заказчик потерял приватный ключ =)

прислали мне два файла:
csr.txt с приблизительно таким содержанием:

-----BEGIN CERTIFICATE REQUEST-----
MIIC4DCCAcgCAQAwgZoxCzAJBgNVBAYTAkNXMRMwEQYDVQQIDApXaWxsZW1zdGFk
...
xekfEqNad0z7q+gk51Iiz86fPuY=
-----END CERTIFICATE REQUEST-----

и rsa.txt с приблизительно таким содержанием:

-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQC6dcAjWUCHYaUE
...
gsPvkpb/Dci2nDQbQV3pgPk=
-----END PRIVATE KEY-----

предположу, последний является приватным ключем?
как его использовать?

Здравствуйте, niXman, Вы писали:

X>предположу, последний является приватным ключем?
X>как его использовать?

перечитай ветку, тут вся инфа есть
1) csr.txt + rsa.txt -> .pfx
2) signtool + .pfx + tool.exe -> signed tool.exe

Здравствуйте, uzhas, Вы писали:

U>перечитай ветку, тут вся инфа есть
ок, читаю...

пробую так:

$ openssl.exe pkcs12 -inkey rsa.txt -in csr.txt -export -out my.pfx
unable to load certificates

и так:

$ openssl.exe pkcs12 -inkey csr.txt -in rsa.txt -export -out my.pfx
unable to load private key
4294956672:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:701:Expecting: ANY PRIVATE KEY

читаю дальше..

Здравствуйте, dead0k, Вы писали:

D>Да вроде можно и напрямую подписывать, но если хочется прямо через pfx, то
D>https://ru.godaddy.com/help/windows-install-codedriver-signing-certificate-and-create-pfx-file-2698

по ссылке говорится:

2. Expand Certificates (Local Computer), Personal.

но у меня нет такого, но есть:

и ничего не разворачивается..

Здравствуйте, niXman, Вы писали:

X>как его использовать?

Тебе нужен второй файл (который private key), и публичный ключ, который у тебя уже есть (из начала топика)

Используй те проги на них чтобы сделать pfx

CSR файл не нужен.

Здравствуйте, bnk, Вы писали:

bnk>mmc /a
bnk>File -> Add remove snap-in.. -> Certificates -> My user account -> Add
bnk>Certificates -> Current user -> Personal

тут справа пусто.

Здравствуйте, bnk, Вы писали:

bnk>Тебе нужен второй файл (который private key), и публичный ключ, который у тебя уже есть (из начала топика)

bnk>Используй те проги на них чтобы сделать pfx
какие проги? в этом топике напрямую и косвено говорится о многих программах...

Здравствуйте, niXman, Вы писали:

X>пробую так:
X>...
X>читаю дальше..
Конечно извини, но просто вопросы в этом топике у тебя на уровне тролинга больше...

csr.txt — файлик с текстом "BEGIN CERTIFICATE REQUEST" == "Начало запроса сертификата", файлик rsa.txt "BEGIN PRIVATE KEY" == "Начало закрытого ключа".
X>$ openssl.exe pkcs12 -inkey rsa.txt -in csr.txt -export -out my.pfx
X>unable to load certificates
OpenSSL логично тебя посылает, потому как csr.txt это не сертификат: "Начало запроса сертификата" != "Начало сертификата" ("BEGIN CERTIFICATE REQUEST" != "BEGIN CERTIFICATE").
Когда делаешь так:
X>$ openssl.exe pkcs12 -inkey csr.txt -in rsa.txt -export -out my.pfx
X>unable to load private key
OpenSSL логично тебя шлёт, потому как csr.txt это не закрытый ключ.

Сертификат это фиговина в начале которой написано "-----BEGIN CERTIFICATE-----" или файл с расширением .cer или часть файла .pfx
Поэтому файл csr.txt удаляешь, а сертификат с закрытым ключем от него экспортируешь в pfx, которым потом либо напрямую подсовываешь signtool, либо импортируешь в хранилище сертиикатов.
Подводный камень: сертификат в файле .cer в DER формате (Microsoft/Windows), openssl по умолчанию хочет PEM (OpenSSL/Unix), поэтому сначала перекодируй сертификат:
openssl x509 -inform DER -in cert.cer -outform PEM -out cert.pem
Потом уже экспортируй всё это в PFX:
openssl.exe pkcs12 -inkey rsa.txt -in cert.pem -export -out my.pfx

По поводу пустого окна mmc выше — что бы там появились вкладки с сертификатам надо добавить соответствующую раскладку. А что бы среди личных сертификатов не было пусто — надо импортировать .pfх который сделаешь, указав хранилище в которое его ставишь.
Так же мы всё надеемся, что у тебя закрытый ключ именно от сертификата, а не заново сгенерированный, в силу похереного оригинала.

Здравствуйте, m2l, Вы писали:

m2l>openssl.exe pkcs12 -inkey rsa.txt -in cert.pem -export -out my.pfx

говорит:

openssl pkcs12 -inkey rsa.txt -in cert.pem -export -out my.pfx
No certificate matches private key

т.е. я правильно понимаю, что сертификат и приватный ключ из разных пар?

Здравствуйте, niXman, Вы писали:

m2l>>openssl.exe pkcs12 -inkey rsa.txt -in cert.pem -export -out my.pfx
X>говорит:
X>

X>openssl pkcs12 -inkey rsa.txt -in cert.pem -export -out my.pfx
X>No certificate matches private key

X>т.е. я правильно понимаю, что сертификат и приватный ключ из разных пар?

Да, похоже на то. Что бы проверить и если понадобиться доказать заказчику:

openssl x509 -text -in cert.pem
openssl rsa -text -in rsa.txt

Часть вывода первой команды составит:

Certificate:
    ... тут что-то написано...
            Public Key Algorithm: rsaEncryption
                Public-Key: (???? bit)
                Modulus:
            00:9f:c8:6e:7a:76:63:59:30:92:09:b0:4d:99:b7:
            ещё много таких строк
        Exponent: 65537 (0x10001)

Самое начало вывода второй команды:

Private-Key: (4096 bit)
modulus:
    00:9f:c8:6e:7a:76:63:59:30:92:09:b0:4d:99:b7:
    ещё много таких строк
publicExponent: 65537 (0x10001)

Эти "modulus" это шестнадцатиричное представление "отпечатка" публичного ключа. У закрытого ключа к сертификату он должен быть полностью (до последнего бита) быть идентичен тому что в сертификате.

Скорей всего на той стороне товарищ не очень вникал что ему надо делать и закрытый ключ не сохранил. На твой посыл "дай закрытый ключ" генерировал новый. Осталось к этому новому закрытому ключу получить сертификат. Либо все-таки найти старый закрытый ключ.

да, не совпадают. я уже сам смог это нагуглить.
у csr.txt и rsa.txt modulus совпадает. значит таки приватный ключ от сертификата утерян...

получил таки два файла: cert.txt и rsa.txt.

cert.txt оказался в текстовом формате, так что выполнять openssl x509 -inform DER -in cert.cer -outform PEM -out cert.pem не понадобилось.

далее сгенерил .pfx этой командой openssl.exe pkcs12 -inkey rsa.txt -in cert.txt -export -out my.pfx и подписал при помощи signtool.exe. все работает.

всем спасибо!

Здравствуйте, niXman, Вы писали:

X>все работает.

X>всем спасибо!

в неделю уложился! молодец!

Здравствуйте, uzhas, Вы писали:

U>в неделю уложился! молодец!
а я-то тут при чем? абсолютно большую часть времени я ждал..