powershell – 使用新代码签名证书更改了包系列名称

certutil -dump foo.pfx
Enter PFX password:
================ Certificate 0 ================
================ Begin Nesting Level 1 ================
Element 0:
Serial Number: xxxxxxxxxxxxxxxxx
Issuer: CN=Microsoft,O=Contoso,L=Redmond,S=Washington,C=US
 NotBefore: 11/1/2016 12:00 AM
 NotAfter: 11/1/2017 12:00 AM
Subject: CN=Microsoft,C=US <== THIS IS HASHED

如果您确保生成的新证书具有相同的主题,您将获得相同的PFN.请注意,您可能无法从Visual Studio中生成商店证书(在撰写本文时,它无法解析复杂的主题,如上面的多个’部分’,如CN = X,O = Y).在这种情况下,您必须创建自己的,但它必须符合store validations.

幸运的是,有一个简单的命令可以生成您需要的确切证书.打开Visual Studio开发人员提示并运行(一行)：

makecert -sv foo.pvk -n "CN=Contoso,C=US" 
    foo.cer -b 11/01/2016 -e 11/01/2017 -r -cy end -a sha256 -eku 1.3.6.1.5.5.7.3.3

确保替换有效日期(相隔不超过一年！)以及主题(使用certutil -dump从您之前的证书中获取).输出证书(cer)和私钥(pvk)的名称毫无意义.该命令将生成foo.pvk和foo.cer,然后您可以将它们组合成一个像这样的pfx：

PVK2PFX -pvk foo.pvk -spc foo.cer -pfx foo.pfx

高级生成的另一种选择

如果您有更高级的证书要求,您应该能够使用certreq(尽管尚未测试).使用以下内容创建名为cert.inf的文件：

[Version]
Signature = "$Windows NT$"

[Strings]
szOID_ENHANCED_KEY_USAGE = "2.5.29.37"
szOID_CODE_SIGNING = "1.3.6.1.5.5.7.3.3"
szOID_BASIC_CONSTRAINTS2 = "2.5.29.19"

[NewRequest]
Subject = "CN=Contoso,C=US"
Exportable = true
HashAlgorithm = Sha256
KeyLength = 2048
RequestType = Cert
ValidityPeriod = "Years"
ValidityPeriodUnits = "1"

[Extensions]
%szOID_ENHANCED_KEY_USAGE% = "{text}%szOID_CODE_SIGNING%"
%szOID_BASIC_CONSTRAINTS2% = "{text}"

替换主题和有效期,并根据文档调整所需的任何高级设置(或更有可能在网络上找到).然后执行以下操作：

> certreq -new cert.inf cert.cer
>双击生成的cert.cer并将其安装到受信任的根证书颁发机构存储(用户或计算机).
> certreq -accept -user cert.cer或certreq -accept -machine cert.cer(取决于您在上一步中选择的商店).
>转到证书管理器中的个人存储(用户或计算机范围,具体取决于您在上面选择的内容)并找到刚刚安装的证书.双击它并从详细信息选项卡中复制序列号(我在这里遇到了一些巫术,其中证书只会在很长一段时间后出现,或者在我安装了不同的证书(具有不同的主题名称)之后.
> certutil -exportpfx -p“YOUR_PFX_PASS”我的SERIAL_NUMBER foo.pfx(用实际值替换密码和序列号)

您现在应该有一个有效的商店pfx.

更先进的一代的另一种选择

使用OpenSSL.很确定它可以做到以上所有以及更多,但我没有亲自尝试过,所以你必须弄清楚 – 并希望一旦你做到这一点就分享到这里！