GMOのコードサイニングでデュアル署名してみた
GMOグローバルサイン は公式では、デュアル署名について言及していないのですが、改造版 Windows 2000で読める署名が作れるか実験してみました
signtool sign /v /a /n "もにょもにょ" /tr "http://timestamp.globalsign.com/tsa/advanced" /td sha256 /fd sha1 test.exe signtool sign /v /a /n "もにょもにょ" /tr "http://timestamp.globalsign.com/tsa/r6advanced1" /td sha256 /fd sha256 test.exe |
先に sha1 で署名するのが大事。
何故なら Windows 2000/XPは最初の署名しか認識できないから
![](https://win2k.org/blog/wp-content/uploads/2024/03/codesign.png)
逆に署名してしまうと…
Windows 2000で見てみましょう ・ω・
![](https://win2k.org/blog/wp-content/uploads/2024/03/alg.png)
署名の検証に失敗します。ただし署名ルートの検証はできる模様
![](https://win2k.org/blog/wp-content/uploads/2024/03/alg2.png)
Windows 2000側で見たときにアルゴリズムが sha1になっていればOK
![](https://win2k.org/blog/wp-content/uploads/2024/03/alg3.png)
こんな感じですね・ω・
Comments