ActiveX数字签名.pdf

ActiveX 数字签名技术调研 撰写人：张保亮 2014.04 日 期： 目录 一、 什么是数字签名的 ActiveX ActiveX , ActiveX 控件如果没有进行数字签名 那么就要特别小心了。 是一种可执行的程 序，可以作为 IE 等浏览器的插件自动运行。恶意广告和木马，病毒在 PC 机上传播的一个 重要途径就是通过未签名的 ActiveX 控件来进行的。 二、 签名的 ActiveX 跟未签名的 ActiveX 控件有什么区别？ 进行数字签名的 ActiveX 控件有两个好处: 首先是显示ActiveX 控件的开发商身份，展示自己的形象，因为未签名的控件经常是网 站欺骗用户下载恶意软件如广告的工具，签名的控件能够显示其真实身份，更彰显出开发 商的责任意识。 其次是更容易被 IE 浏览器所信任。在 IE 的区域安全级别设置中，签名的ActiveX 可以 被高安全级别的 IE 所下载和安装。而没有签名的 ActiveX 则不允许下载使用，如下图所示。 虽然通过让用户修改自己的 IE 设置可以访问，但这样每个要访问的用户都需要设置，麻烦， 而且也不是很安全，那么通过在服务器端给该 ActiveX 控件加上数字签名，就不需要用户修 改自己的 IE 设置。 三、 签名使用到的一些工具 makecert.exe 制作仅用于测试目的的 X.509 证书（cer 格式），同时可以创建私钥。 cert2spc.exe 将 cer 格式证书转换成 spc 格式证书，即 PKCS # 证书，通过一个或多个 X.509 证书创建发行者证书 (SPC)。 此工具仅用于测试目的。 chktrust.exe 检查签署证书后的 ocx 是否正确。 pvk2pfx.exe 用于将包含在 .spc、.cer 和 .pvk 文件中的公钥和私钥信息复制到个人信息 交换 (.pfx) 文件中。 certmgr.exe 管理证书、证书信任列表 (CTL) 和证书吊销列表 (CRL) 。 cabarc.exe 对需要打包的文件，打包成 cab 格式。 signcode.exe 将证书签署到 ocx 上去。 signtool.exe 对文件进行数字签名，验证文件中的签名并设置文件的时间戳。 四、 签名过程 准备好上述工具，以及要签名的 ocx 文件，本例待签名文件为 ActiveXDemo.ocx,如 下图所示： 下面是具体的步骤： 4.1 创建一个测试证书文件 启动命令行 cmd ,切换到工具所在的目录，输入如下的命令： 输入上述命令后，回车会弹出如下图： 输入一致的私钥，比如输入 123，点击确定，弹出如下图： 再次输入私钥 123，点击确定，看到如下图中的 Succeeded, 表示成功。 makecert /sv "ActiveXDemo.pvk" -$ "individual" –r /n "CN=互帮国 际,E=baoliang.zhang@,O=作者" ActiveXDemo.cer ActiveXDemo.pvk ：表示新创建的私人密钥保存文件名 互帮国际：是想显示的公司名 ActiveXDemo.cer: 是创建最后的证书文件名 这些根据自己需要填写，最后得到ActiveXDemo.pvk 和 ActiveXDemo.cer 两个文件。 其中，运行过程中需要输入私人密钥的保护密码，一定要输入一致，不要 出错。 另外命令中一定要加上-$ "individual" –r 否则在Win 下做签名： 1）用 signcode.exe 签名会在最后一步出现下图错误： 2 ）用 signtool.exe 签名会出现下图错误： 4.2 转换 cer 格式为 spc 格式 命令行输入： cert2spc ActiveXDemo.cer Ac