Symantec EV代码签名证书使用

Symantec EV 代码签名证书驱动安装与自动化签名配置指南

在现代 Windows 安全体系中，代码签名证书是确保二进制文件完整性与来源可靠性的核心凭证。Symantec（现由 DigiCert/TrustAsia 维护）提供的 EV（Extended Validation）代码签名证书采用硬件 Token（一般为 USB Key）作为私钥载体，提供了远高于标准代码签名的安全等级。本文将针对硬件驱动初始化、签名环境搭建及自动化规则配置进行技术说明，确保签名流程符合微软数字签名验证规范。

安装驱动

下载驱动：

https://www.trustasia.com/download-ev-code-signing-driver

根据当前window系统的类型，选择对应版本的驱动，见图1，分32位和64位

安装完成后，插上token后，如果运行safeclient可以见到颁发的证书，这步可以不运行，不需要进行操作。

下载安装签名工具

下载地址：

[https://www.trustasia.com/sign-tools]

按提示安装即可，安装完成后运行工具，在证书管理中可以见到已安装的证书

创建或者编辑签名规则

规则名：任意，建议起个对有效期比较直观的名字，这样更新证书不容易混乱

证书：下拉列表中有可使用的证书，选择token中有的那张证书

时间戳：选择下拉列表中的任意一个服务，原则是选择后，测速，速度越快越好。有网络的情况下，建议勾选。没有网络的时候，不要选择，因为会导致签名告警提示。

签名操作

针对 .sys 或 .inf 等内核模式驱动文件，签名要求更为严格。在签名界面中，应选择专用的“驱动模式”。可以参见在线视频

[https://www.trustasia.com/signtools/v/%E9%A9%B1%E5%8A%A8%E7%AD%BE%E5%90%8D(%E5%B8%A6inf).swf]

签名界面如图，点击驱动模式即可。

总结问题参考

为什么工具中看不到我的 EV 证书？

由两个原因导致：一是 Token 驱动未安装或版本不匹配；二是 Token 密码输入错误次数过多导致锁定。请先在 SafeNet 客户端确认证书是否可见。

时间戳服务选哪个比较好？

Symantec 证书，优先选择 DigiCert 或 TrustAsia 提供的官方时间戳节点，并确保 80/443 端口出站链路通畅。

签名后的程序在某些系统上报驱动未经过签名？

检查是否使用了“驱动模式”进行签名。对于内核驱动，必须包含完整的证书链，有时还需通过微软硬核签名（Hardware Lab Kit, HLK）流程。

以上内容经供参考