概 述:本文以Microsoft.Net中创建签名的CAB文件为例,说明如何创建签名文件,从而使你的代码能够安全的在INTERNET上公布。希望能起到抛转引玉的作用。
keyword:数字签名,ActiveX。CAB
一、 Internet安全与数字签名
对于 Internet 应用程序的开发者和用户而言。代码安全是一个主要问题。
有下列风险:恶意的代码、被篡改的代码和来自未知网站或作者的代码。
为 Internet 开发时有两种保证安全的基本方法。第一种方法称为“沙箱”。在此方法中。应用程序仅仅能訪问一组特定的API,而且被从潜在危急的 API(如文件 I/O。程序可能在此毁坏用户计算机中的数据)中排除。另外一种方法使用数字签名来实现。
此方法对 Internet 称为“收缩包装”。使用私匙/公匙技术验证和签名代码。在代码执行之前,验证其数字签名,确保该代码的来源是已知的而且经过验证,而且自签名后该代码未被更改过。
在第一种情形中,信任应用程序不会有不论什么损害,而且信任该应用程序的来源。
在另外一种情形中。使用数字签名来验证真伪。数字签名是用于识别和提供关于代码发行者的具体资料的工业标准。其技术基于标准,包含 RSA 和 X.509。浏览器一般同意用户选择是否希望下载并执行来源未知的代码。
本文主要讨论第二中情形“数字签名”。
给文件签名首先要获得软件发行证书。为此,必须向证书颁发机构提出请求。在申请期间。必须生成一个密匙对并向证书颁发机构提供标识信息(如名字、地址和公匙)。还必须作出在法律上具有约束力的保证,即保证您不能也不会分发您知道或本应知道含有病毒或将以其它方式恶意损害用户的计算机或代码的软件。
在本文的样例中,使用Microsoft.Net带的MAKECERT和CERT2SPC有用工具生成測试的软件发行证书。
当然,对软件发行是无效的,仅可用于測试代码签名。
二、 创建签名的CAB文件
本例使用Microsoft visual studio .Net 2003开发工具。所以你必须拥有Microsoft visual studio .Net 2002以上版本号的环境。
1、 获得软件发行证书(測试)
第一步:開始菜单->执行。输入cmd.exe。打开windows 2000的命令提示符环境窗体。
第二步:输入CD C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\Bin,进入该文件夹,用dir命令你能够看到signcode.exe、makecert.exe和cert2spc.exe程序。
注意:以上路径依据你机器Microsoft.Net的安装路径不同而异。
第三步:创建用于数字签名的公钥和私钥对,并将其存储在证书文件里。
输入makecert -sk WHX -n "CN=WHX COMPANY" c:\testWHX.cer。
就会在你的C:生成testWHX.cer文件。
说明:參数-n指定主题的证书名称。
此名称必须符合 X.500 标准。最简单的方法是在双引號中指定此名称。并加上前缀 CN=;比如,"CN=myName"。
注意这里的CN必须大写。-sk指定主题的密钥容器位置,该位置包括私钥。
假设密钥容器不存在,系统将创建一个。
输入makecert -?
能够查看其它參数的使用方法。
第四步:创建发行者证书 (SPC)。
注意,发行者证书測试工具通过一个或多个 X.509 证书创建发行者证书 (SPC)。Cert2spc.exe 仅用于測试目的。能够从证书颁发机构(如 VeriSign 或 Thawte)获得有效的 SPC。
输入命令:cert2spc c:\testWHX.cer c:\testWHX.spc,在C:盘生成证书文件。至此,你已经拥有了仅用于測试的软件证书。事实上,我们开发的程序或ActiveX控件仅仅要仅用于企业内部。全然能够用这样的办法作数字签名,使你的控件能够在浏览器里自己主动下载。而不必去专门的证书办法机构获得证书。
2、 创建CAB文件
CAB文件是一种WINDOWS的标准压缩格式文件,在网页上公布ActiveX的时候常常使用该压缩格式对文件进行包装。目的是使文件便于在Internet上传输。创建CAB文件的方法有非常多,能够在Microsoft visual studio .Net 2003中“创建CAB项目“,也能够用WINDOWS自带的iexpress.exe(c:\windows\system32文件夹下),甚至还有其它的压缩工具。
以下描写叙述iexpress.exe的用法。在開始菜单->执行里输入iexpress,按例如以下图示操作。
在c:\创建whx.CAB 文件。
也可不使用 CAB 文件而直接签名 DLL 和 OCX。CAB 文件的优势在于压缩。并且假设与 INF 文件一起使用。它可将全部必要的代码绑定在一起。
3、 签署文件
在上面打开的dos窗体里,输入例如以下命令:
signcode /spc c:\testWHX.spc /k WHX c:\whx.cab
至此,已经对成功对whx.cab文件签名。
能够查看文件的属性。查看数字签名。