本使用指南演示如何使用WoSign代码签名证书来给微软代码签名,Thawte和VeriSign代码签名证书也是使用同样方法,只是使用不同的时间戳URL。

    用户在在线申请代码签名证书时会生成证书私钥文件，如：myCert.pvk，而代码签名证书成功颁发后的证书文件为公钥文件，如：myCert.spc，又称：软件发行证书(Software Publishing Certificate) 。 代码签名证书一般都是采用公钥和私钥分离的两个文件方式，适合于 DOS 命令行方式的代码签名。如果您您希望把代码签名证书导入到Windows证书存储区中，从而简化签名操作，请参考：不同证书格式转换指南。

    WoSign代码签名证书的根证书链为： UTN-USERFirst-Object - WoSign Code Signing Authority

    Thawte代码签名证书的根证书链为： Thawte Premium Server CA - Thawte Code Signing CA

    VeriSign代码签名证书的根证书链为： VeriSign Class 3 Public Primary CA - VeriSign Class 3 Code Signing 2004 CA

    使用微软的 SignCode.exe 就可以对微软的代码进行签名，如果您没有此文件，点击 这里 下载。Signcode.exe 可以使用 DOS 命令行方式实现签名，我们推荐用户使用数字签名向导方式，简单方便。 请注意：如果您开发的ActiveX为IE加载项，请先数字签名每个CAB文件中的.dll和.ocx等文件，再把这些文件打包成.cab文件后再数字签名.cab文件，以确保所有IE加载项都被IE验证和信任，否则会显示“未验证”而可能影响正常运行。

    具体签名向导过程如下：

    (1) 运行 Signcode.exe ， 要求您选择需要签名的文件，支持：可执行文件 (*.exe; *.dll; *.ocx) ； Cabinet 打包文件 (*.cab) 和目录文件 (*.cat) ，如下图 1 所示 ( 如： TestSign.cab) ，请注意：如果签名的文件已经有数字签名，则会被新的签名覆盖：

    (2) 点击“下一步”后，如下图 2 所示，会要求您选择“签名类型”，缺省的“典型”签名类型；请选择“自定义” 签名类型：

    (3) 如下图 3 所示，点击“从文件选择”签名证书 ( 公钥文件 )，如： WotoneCS.spc ：

    (9) 点击“下一步”后，如下图 9 所示，选中“将时间戳添加到数据中”，请使用:

WoSign 免费提供的时间戳服务URL： http://timestamp.wosign.com/timestamp

或 VeriSign 免费提供的时间戳URL：http://timestamp.verisign.com/scripts/timestamp.dll

    时间戳服务非常重要，添加时间戳后，即使您的代码签名证书已经过期，但由于您的代码是在证书有效期内签名的，则时间戳服务保证了此代码仍然可信，最终用户仍然可以放心下载，使得即使代码签名证书已经过期，您也无需重签已经签名的代码。

    (12) 点击“是”或“运行”，则会提示“ TestSign.cab: Succeeded ”表示代码 TestSign.cab 签名验证有效，可以放到网站上了。请注意：签名后的代码放到网站上需要使用 object 方式。