Assinatura Digital de aplicativos sem OpenSSL

Mensagem por **Jairo Maia** » 08 Dez 2021 20:16

paiva escreveu:em Todos os certificados de meus clientes estão marcado entre outras coisa o: Assinatura de Códigos .

com um certificado desses eu Posso assinar o exe para evitar Problemas com antivirus ?

Não sei dizer como seria, não tenho experiência nisso. Tive sucesso com essas dicas do Rochinha assinando diretamente pelo PFX, mas acho que o José Quintas pode responder melhor, ele assina os executáveis dele com certificado próprio.

PS: Um arquivo assinado (sendo um aplicativo ou documento) se o antivirus entender como "malicioso" ou "virus" ele não dá a mínima para a assinatura, ele vai entender e acusar como arquivo perigoso. A assinatura atribui maior confiança ao usuário, mas não fica ileso a antivirus.

Mensagem por **Jairo Maia** » 08 Dez 2021 20:56

Rochina, mantive a linha de -n com meus dados e substitui as demais, e também mudei o prefixo RDS para 5V no .bat anterior todo. Gerou o certificado e assinou, mas nada parecido com o que você postou. Está como antes.

Inclusive alterando apenas o trecho que você postou, o certificado continua sendo colocado em "Autoridades de Certificação Raiz Confiáveis", e não no repositório "Pessoal".

A única diferença que ocorreu foi de RDS-CARoot para V5-CARoot. Que tal você postar o .bat completo? Assim fazemos os testes com nossos dados.

Mensagem por **rochinha** » 08 Dez 2021 21:25

Amiguinhos,

Jairo Maia o trecho RDS ou 5V são prefixos pessoais. Você pode colocar JM-CARoot e JM-SERVER onde JM seria abreviação de Jairo Maia.

A modificação apresentada é somente nos parâmetros -len, -sky e -eku

E como na imagem que postei veja que existem agora 6 características liberadas no certificado de terminal.

Agora para frisar. Este certificado não envia NFe pois não tem embutido o CNPJ que é criticado pelo SEFAZ que verifica se o mesmo está liberado nos ambientes de Homologação ou Produção.

O certificado RDS-CARoot é instalado automaticamente no repositório de certificados confiáveis. O .PFX ao ser instalado manualmente pode ser instalado no repositório padrão ou ser forçado para repositório de certificados confiáveis.

PS: Para verificar toda árvore de certificados abram o [c]certmgr.exe[/b] em uma tela de comando, pois pelo executar do menu iniciar aparece de forma reduzida.

PS 2: O RDS-SERVER.bat deve ser executado dentro de uma tela de comando Administrador.

Mensagem por **Jairo Maia** » 09 Dez 2021 00:47

rochinha escreveu:O .PFX ao ser instalado manualmente pode ser instalado no repositório padrão ou ser forçado para repositório de certificados confiáveis.

Ok, entendi. Instalei no repositório Pessoal, e sim, está como na figura.

Sobre o prefixo entendi também, já quanto a não poder enviar NF-e eu sabia que não dava, se não tem um CNPJ autorizado pela SEFAZ não pode. Valeu, obrigado.

carlos_dornelas · Mensagem por **carlos_dornelas** » 25 Fev 2024 11:28

Rochinha,

Utilizo o seu tutorial deste tópico para assinar os .EXE e funciona perfeitamente. Agora me surgiu a necessidade de também disponibilizar pacotes compactados .RAR ou .ZIP. Tentei aplicar a assinatura em um pacote .RAR, mas não aceitou... Pergunta: é possível, utilizando este esquema do teu tutorial, assinar pacotes compactados, obviamente alterando alguma coisa nele?

Antonio Carlos
Curitiba PR

Mensagem por **rochinha** » 27 Jul 2024 02:03

Amiguinhos,

carlos_dornelas passei batido e não respondi antes.

Para assinar usando o signtool é necessário que o arquivo alvo seja EXEcutável. Voce pode lograr sucesso se ao criar seu .ZIP ou .RAR seja como .EXE.

Agora, pode ser possivel utilizar o jarsigner e o keytool(componente do JAVA que pode ser encontrado na pasta C:\Program Files\Java\jre1.X.X_XXX\bin\).

Bem provável farei um tutorial neste sentido e apresentarei as ferramentas usadas.

jgs82 · Mensagem por **jgs82** » 27 Jul 2024 14:11

Obrigado Rochinha pela dica.

Como estou voltando a programar usando a base Clipper, usando HMG/Harbour 3.4.4 e já resolvi criar um sistema de entrada de portaria da empresa, já para testar se ainda estou programando suficiente para desenvolver algo maior.

Usei OpenSSL instalado no meu computador e baixei o SIGNTOOL para testar essa dica, e tive que fazer uma pequena mudança, já que o próprio dizia p/ adicionar, fiz e funcionou perfeitamente.

Excutei assim "signtool.exe sign /fd sha1 /v /f certificado.pfx /du "https://hostgweb.com.br" /d "Sistema de portaria" /t http://timestamp.digicert.com portaria.exe", onde:

certificado.pfx é o certificado que gerei com OpenSSL
https://hostgweb.com.bré um dos domínios da minha empresa
portaria.exeé o nome do meu executável

Tive que adicionar /fd sha1 a pedido do SIGNTOOL e funcionou lindamente.
Mais uma vez agradeço ao Rochinha e a todos que contribuem com a comunidade Harbour

João Gomes