SignTool 使用 SafeNet eToken 硬证书进行代码签名

根据CA/B联盟国际标准要求，从 2022 年 11 月 15 日起，即使是 OV 代码签名证书，也需要将私钥存储在FIPS140-2 Level2、Common Criteria EAL4级以上或者同等认证级别的硬件，如 USB 令牌、硬件安全模块 HSM 等。原本之前只有 EV 证书才有此要求，现在代码签名也需要如此。我司购买的证书刚好最近差不多快过期了，续签的证书从原本的很方便的 PFX 软证书，换成使用带 HSM 硬件设备的硬证书

换成带 HSM 硬件设备的硬证书之后，依然可以使用 SignTool 进行自动化签名。和之前的软证书 PFX 文件只有命令行参数的差别了。本文将记录如何修改 SignTool 签名命令适配硬证书

我所在的团队是从天威诚信购买的证书，没有议价，稍贵。但他们的售后服务还不错，会给一些指导。但天威诚信推荐的是用他们的 iTrusSignTool.exe 工具，而非微软官方提供的 SignTool 工具，不利于我的自动化打包平台接入

好在天威诚信购买的证书使用的是 SafeNet 工具，依然可以从堆栈网找到 SafeNet eToken 的 SignTool 命令行签名方法，整个不会被弹出要求输入密码的对话框。堆栈网上给的是 EV 证书签名，且也没有中文截图。为了防止其他伙伴踩坑，我重新跑了一遍，编写了本文，包含详细的步骤。详细堆栈网的地址是： https://stackoverflow.com/questions/17927895/automate-extended-validation-ev-code-signing-with-safenet-etoken/47894907#47894907

先使用天威诚信供应商提供的口令和安装方法进行安装，这个步骤完成按照他们的文档就可以了，十分简单。唯一需要小心的是，这个过程里面不能使用远程桌面连接，哪怕用向日葵都可以，尽管在打包服务器部署向日葵是十分不安全的

详细配置文档请参阅 天威诚信代码签名证书安装配置指南（Digicert） 代码签名部署文档

如从其他供应商购买，还请自行参阅其他供应商提供的方法。如 https://www.geocerts.com/support/digicert-usb-etoken-installation-guide

完成证书下载任务之后，接下来即可进行本文的步骤了。本文以下步骤里面，我所有写入的我的密码等，都不是我所在团队真正使用的密码，还请大家不用担心我泄露密码，但却都是符合真实格式的内容，便于大家明确了解各个参数应该从哪里拿到

0 首先点击齿轮键进入高级模式，其高级模式界面如下

1 导出证书为 Codesign.cer 文件。右击对应的证书，选择导出，保存到文件即可。导出的 cer 格式的证书文件将不包含私钥，需要使用以下步骤获取 CSP 名和其对应的私钥容器名参数才能让 SignTool 从硬件设备获取私钥用于签名

2 记住证书的容器名。将其记录到记事本里，后续命令将会用到。如我的是 Container name 容器名是 p11#59336aa23069996b

3 获取设备的 CSP 名和读卡器名称

读卡器名称：

CSP 名：

CSP 名和读卡器名称在相同一页，只是内容比较多，需要滚动一下滚动条才能看到。额外地，在菜单栏也提供了复制的按钮，不需要真自己一个个字符抄

如我的读卡器名 reader 为 SafeNet Token JC 0

我的 CSP 名为 eToken Base Cryptographic Provider

4 拼接私钥容器名参数

eToken CSP 具有隐藏（或者至少没有广泛宣传）的功能，可以从容器名称中解析出令牌密码。尽管 https://stackoverflow.com/questions/17927895/automate-extended-validation-ev-code-signing-with-safenet-etoken/47894907#47894907 说明包含四个可选项，但实际我测试了，最委托的是最为复杂的写法项

为了让我的博客引擎开森，我将以下代码的两个连在一起的花括号替换为全角的花括号

[reader｛｛password｝｝]=ContainerName

其各个参数含义如下

• reader： 读卡器名。第 3 步获取到的，如我的是 SafeNet Token JC 0
• password： 下载证书过程中，自己设置的证书密码，如我的是 Lindexi123
• ContainerName： 证书的容器名。第 2 步获取的，如我的是 p11#59336aa23069996b

重点说明，以上格式的两个连续花括号是必需的部分，这属于语法的一部分，还请不要省略

拼接之后的私钥容器名参数如下

/k "[SafeNet Token JC 0｛｛Lindexi123｝｝]=p11#59336aa23069996b"

5 完全的签名参数

按照微软的官方文档，可以知道其核心参数如下

• /f ： 导出的 Codesign.cer 签名证书文件，此证书文件没有包含私钥。私钥是存放在硬件设备里面。如后续步骤错误，将收到 SignTool Error: No private key is available 错误提示
• /csp ： 步骤 3 获取的 CSP 名。只有 csp 不配合 /k 参数，则将收到 SignTool Error: The /csp option requires the /k option. 错误
• /k ： 从步骤 4 拼接到的。等同于 /kc 参数，即写 /k 或 /kc 都可以

非核心的日常参数如下，以下参数相对固定，正常不用更改

• /td ：将此选项与 /tr 选项一起使用可请求 RFC 3161 时间戳服务器使用的摘要算法。正常现在只能用 /td sha256

• /tr ：指定 RFC 3161 时间戳服务器的 URL 地址。如用 digi 的服务器 /tr http://timestamp.digicert.com

• /fd ：指定要用于创建文件签名的文件摘要算法。正常现在只能用 /fd sha256

• /as ：追加此签名。如果不存在主签名，则改为使此签名成为主签名

以下是我的示例签名命令，对 Test1.exe 文件进行签名

SignTool sign /f "Codesign.cer" /td sha256 /as /fd sha256 /tr http://timestamp.digicert.com /csp "eToken Base Cryptographic Provider" /k "[SafeNet Token JC 0｛｛Lindexi123｝｝]=p11#59336aa23069996b" Test1.exe

以上签名命令里面，为了让我的博客引擎开森，我将两个连在一起的花括号替换为全角的花括号。额外地，大家所设置的密码，即 Lindexi123 部分，以及证书的容器名，即 p11#59336aa23069996b 部分，都是和我不相同的，还请大家自行替换为自己的密码和证书的容器名

在此过程里面，都需要保持签名设备没有远程桌面 RDP 连接，否则将会签名失败。如签名成功，将会看到大概如下的控制台输出内容

Done Adding Additional Store
Successfully signed: Test1.exe

右击被签名的文件的属性，可以从数字签名界面看到签名内容。大家可以先尝试命令行参数，确定能够正常签名之后，再接入到自己的打包平台里面。对每个文件的签名，也只有传入的文件路径不相同而已，其他参数都是一样的，换句话说只要自己能拼接出一次正确的命令参数，接下来的其他文件的签名都可以复用这些参数

参考文档

• Digicert代码签名证书助手操作指南 代码签名部署文档
• 天威诚信代码签名证书安装配置指南（Digicert） 代码签名部署文档
• https://www.gworg.com/code/1627.html
• 使用 SignTool 对文件进行签名 - Win32 apps Microsoft Learn
• SignTool - Win32 apps - Microsoft Learn