Discussion :

[StringBuilder]

Bonjour,

Je n'y connais absolument rien aux certificats.

J'utilise un programme tiers, à partir duquel je souhaite exécuter un programme que j'ai écris moi-même.

Dans la documentation du programme tiers, il y a cette note :

Note: For security reasons, only executables (*.exe, *.msi, *.msp) signed with a valid certificate are executed.

Et en effet, lorsque je tente d'exécuter mon programme non signé, j'obtiens une erreur.

Avec quel outil, et comment puis-je signer mon binaire ?
Je peux éventuellement installer des certificats (pas de confiance) sur les différents PC cibles : on est dans un réseau d'entreprise.

[François DORIN]

Bonjour,

Sans être un spécialiste du sujet non plus, il y a normalement deux grandes méthodes pour signer un assembly :

• via Visual Studio : il faut aller dans les propriétés du projet/signature, et cocher la case correspondante, puis sélectionner une paire de clé (ou en générer une).
• via l'outil sn.exe

Après, lorsqu'on signe des assemblys, on utilise une paire de clé, pas un certificat. Je ne sais pas si la vérification peut se faire via le système de certificat de l'OS. Normalement, la vérification est faite via les chaînes d'assembly (je veux charger l'assembly XXX qui a comme clé publique YYYY). Par exemple, System.Data.Linq, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 cherche à charger l'assembly nommé "System.Data.Linq" dans sa version 4 et dont la clé publique est b77a5c561934e089^*. Ceci permet de s'assurer de l'identité de l'assembly que l'on souhaite charger, par exemple, en évitant de charger un assembly qui aurait le même nom.

Là, on est dans un cas un peu différent, où tu lances un exécutable (donc a priori, sans préciser la chaine d'assembly fortement typé). Je ne sais pas trop comment un programme appelant peu dès lors vérifier l'identité du programme appelé. Il peut néanmoins vérifier qu'il est signé et vérifier sa signature. Peut être serait-ce suffisant dans ton cas ?

---

* En réalité, le PublicKeyToken n'est pas la clé publique. C'est un hash issu de la clé publique. L'intérêt est que le hash beaucoup plus petit et donc manipulable par rapport à une véritable clé publique (dont la taille peut être 512, 1024, 2048, ... bits).

Et la clé publique est incluse dans un assembly signé. Ce qui permet donc de vérifier l'identité d'un assembly n'est pas sa clé publique en elle-même, mais le PublicKeyToken.

[StringBuilder]

Le message d'erreur indique qu'il faut que le programme soit signé avec un certificat de confiance.

En fait, c'est une signature du même type que celles des programmes d'installation dont j'ai besoin.

[François DORIN]

D'accord.

Dans ce cas, c'est peut-être l'outil SignTool qu'il te faut.

[StringBuilder]

J'en suis arrivé à la même conclusion.

Mais j'ai pas trouvé comment créer un certificat :/

[François DORIN]

L'outil MakeCert peut être utilisé à cette fin.

Un lien que j'avais stocké dans un coin pour la création de certificat : https://blog.jayway.com/2014/09/03/c...r-development/

Il s'agit de créer un certificat autosigné, normalement, dans un but de développement. Mais cela doit pouvoir être utilisé dans ton cas dans le cadre d'un déploiement interne.

[StringBuilder]

Merci beaucoup François.

J'ai pu créer un certificat autosigné.
Je l'ai inscrit en tant certificat racine de confiance sur ma machine.
Je l'ai aussi inscrit de même sur mon poste de test.

J'ai ensuite signé mon programme avec signtool avec la commande suivante :

Code cmd :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
signtool sign /v /f ..\moncertificat.pfx /p monmotdepassequivabien monprogrammeasigner.exe

Et hop ! Maintenant ça marche !

[François DORIN]

Avec plaisir