CodeSigning для разработчиков под Windows по новым правилам

С 1.06.2023 году вступили в действие новые требования к сертификатам для подписи кода (aka CodeSigning), которые значительно осложнили жизнь разработчиков ПО. Суть изменений - прощай старый добрый PFX, закрытые ключи теперь должны быть неизвлекаемыми и некопируемыми . Примеры изменений у поставщиков: раз , два , три - в общем-то у всех одно и тоже. Мы, как российские разработчики, оказались точно также затронуты этими нововведениями. Эта статья родилась как итог экспериментов и проб по преодолению новых вызовов, появившихся на ровном месте, потому что кто-то решил, что... Безопасность должна быть более безопасной

https://habr.com/ru/articles/880696/

#CodeSigning #usbtoken #net #aspnet #powershell #signtool #cng

Certificate token in hand. I didn't realize that this thing was essentially a JavaCard.

Commands to remember

signtool sign /fd SHA256 /a .\TheProgram.exe

signtool timestamp /tr http_://timestamp.digicert.com /td SHA256 TheProgram.exe

signtool verify /pa TheProgram.exe

Note the superfluous _ in after http that I interpreted to prevent the URL from being interpreted.

#CPP #Security #SignTool

I'm stuck trying to #codesign Windows binaries on #mac using my #yubikey #hsm.. has anyone has experience doing this?

I'm building+publishing an #electron application, have bought a new codesigning cert that is bound to my Yubikey #FIPS, and I want to now use that to sign my built windows executables.

Is there some kind of #signtool for Mac for this sort of thing?

If I'm not mistaken, #signtool #windows tool requires some privileges when signing a file using certificate provided in a file (using /f and /p arguments). I mean privileges beyond file access:

Error: Store::ImportCertObject() failed." (-2146893808/0x80090010)

Perhaps it's trying to access certificate Store for some reason?
I wonder what for and how to workaround if possible. The process is a shared windows #gitlab runner probably using really low privileges. Any idea?
cc guru @vcsjones