如何用OpenSSL進行代碼簽名

使用OpenSSL進行代碼簽名通常涉及以下步驟：

1. 生成密鑰對：

   • 使用RSA或ECDSA算法生成私鑰。
   • 從私鑰派生公鑰。

2. 創建證書簽名請求（CSR）：

   • 準備一個包含身份信息的配置文件。
   • 使用私鑰和配置文件生成CSR。

3. 獲取證書：

   • 將CSR提交給證書頒發機構（CA）以獲取簽名的證書。
   • 或者，如果你是自簽名證書，可以直接使用私鑰和CSR生成自簽名證書。

4. 使用私鑰和證書對代碼進行簽名：

   • 使用私鑰對代碼或其哈希值進行簽名。
   • 生成簽名文件。

5. 驗證簽名：

   • 使用公鑰驗證簽名的有效性。

以下是一個使用OpenSSL進行代碼簽名的示例：

1. 生成密鑰對

# 生成RSA私鑰
openssl genpkey -algorithm RSA -out rsa_private_key.pem -pkeyopt rsa_keygen_bits:2048

# 從私鑰派生公鑰
openssl rsa -pubout -in rsa_private_key.pem -out rsa_public_key.pem

2. 創建證書簽名請求（CSR）

創建一個配置文件 csr.conf：

[ req ]
default_bits        = 2048
prompt              = no
default_md          = sha256
distinguished_name  = dn
req_extensions      = req_ext

[ dn ]
C=US
ST=State
L=City
O=Organization
OU=Organizational Unit
CN=Common Name

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = example.com

生成CSR：

openssl req -new -key rsa_private_key.pem -out csr.pem -config csr.conf

3. 獲取證書

如果你使用自簽名證書：

openssl x509 -req -days 365 -in csr.pem -signkey rsa_private_key.pem -out certificate.pem

如果你提交給CA獲取證書，CA會返回簽名的證書文件，例如 signed_certificate.pem。

4. 使用私鑰和證書對代碼進行簽名

假設你要簽名的代碼文件是 code.bin：

# 對代碼文件的哈希值進行簽名
openssl dgst -sha256 -sign rsa_private_key.pem -out signature.bin code.bin

# 或者直接對代碼文件進行簽名（不推薦）
openssl smime -sign -in code.bin -out signed_code.bin -signer certificate.pem -inkey rsa_private_key.pem -outform DER

5. 驗證簽名

驗證簽名文件 signature.bin：

openssl dgst -sha256 -verify rsa_public_key.pem -signature signature.bin code.bin

驗證DER格式的簽名文件 signed_code.bin：

openssl smime -verify -in signed_code.bin -inform DER -content code.bin -CAfile certificate.pem -CAkey rsa_public_key.pem

這些步驟涵蓋了使用OpenSSL進行代碼簽名的基本流程。根據具體需求，可能需要調整配置和命令參數。