为什么我的根证书不受信任?

【问题标题】:Why's My Root Certificate Not Trusted?为什么我的根证书不受信任?
【发布时间】:2012-06-29 02:44:32
【问题描述】:

我已从证书服务器为自己颁发了代码签名证书。我还为自己颁发了来自同一证书服务器的根证书。 根证书存在于 Trusted Root Certification Authorities 文件夹中的当前用户和本地计算机证书存储中。我已经成功使用 signtool.exe 向导签署了一个 DLL: 

"C:\Program Files\Microsoft SDKs\Windows\v6.0A\Bin\signtool.exe" signwizard <MyDLLName>.dll

但是,当我尝试验证我的 DLL 时,验证失败并出现以下错误:

"C:\Program Files\Microsoft SDKs\Windows\v6.0A\Bin\signtool.exe" verify <MyDLLName>.dll
SignTool Error: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
SignTool Error: File not valid: <MyDLLName>.dll

为什么会这样?我认为在 Trusted Root Certification Authorities 文件夹中拥有根证书可以验证 DLL。

【问题讨论】:

    标签: c# dll certificate code-signing signtool


    【解决方案1】:

    在您的 verify 命令中添加 /pa 选项以告诉它使用默认身份验证验证策略而不是 Windows 驱动程序验证策略,这意味着它将查看您的证书存储而不是 Microsoft 信任驱动程序的有限 CA 集.

    在这里查看更多选项: http://msdn.microsoft.com/en-us/library/8s9b9yaz(v=vs.90).aspx

    【讨论】:

    • 嗨 Kevin,我正在尝试调用由自签名 SSL 证书托管的 WCF 服务,是否可以使用上述选项在本地安装 SSL?你能发送完整的命令来使用。我有 .pfx 和 .cer 文件,但 ASP.net 无法信任 SSL 提供程序。
    • @SanjayZalke 您可以使用 Windows 证书管理工具将证书安装在本地计算机的 Trusted Root CAs 文件夹中。您可以通过 mmc.exe 启动它并添加证书管理单元。
    • 这里需要注意的是,如果您使用内核驱动程序 (.sys) 执行此操作,这将不起作用,因为内核驱动程序最终必须受到 Microsoft 根证书的信任。如果您添加提到的 /pa 选项,验证本身将通过,但驱动程序实际上不会加载,它仍然会显示未签名驱动程序错误。在启动期间,内核无法访问完整的证书存储区,因此它只能查看有限的 CA 与驱动程序的 Microsoft 信任集。
    猜你喜欢
    • 2019-02-26
    • 1970-01-01
    • 2017-04-21
    • 2012-07-05
    • 2018-06-13
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-04-13
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode