すべての製品ビルドに対してコード署名とタイムスタンプを実行します。時々(通常、RTM(!)にしようとしているとき)、Verisign( " http://timestamp.verisign.com/scripts/timstamp.dll ")のタイムスタンプサーバーが断続的にオフラインになることを決定します。
この場合、私たちは何をすべきでしょうか?
回答:
最大300回ループする次のバッチファイルを使用します。2つの引数があります。%1は、バッチファイル、pfxファイル、およびsigntool.exeを含むフォルダーへのパスです。%2は、署名されるファイルへの絶対パスです。これは、「$(SolutionDir)thirdparty \ signing \ sign.bat」「$(SolutionDir)thirdparty \ signing」「$(TargetPath)」などのビジュアルスタジオポストビルドイベントで呼び出すことができます。このバッチファイルを次のように変更しました各反復で異なるタイムスタンプサーバーを使用します。現在、Comodo、Verisign、GlobalSign、Starfieldを使用しています。うまくいけば、これは究極の署名スクリプトです;)
@echo off
REM create an array of timestamp servers...
set SERVERLIST=(http://timestamp.comodoca.com/authenticode http://timestamp.verisign.com/scripts/timestamp.dll http://timestamp.globalsign.com/scripts/timestamp.dll http://tsa.starfieldtech.com)
REM sign the file...
%1\signtool.exe sign /f %1\comodo.pfx /p videodigital %2
set timestampErrors=0
for /L %%a in (1,1,300) do (
for %%s in %SERVERLIST% do (
REM try to timestamp the file. This operation is unreliable and may need to be repeated...
%1\signtool.exe timestamp /t %%s %2
REM check the return value of the timestamping operation and retry a max of ten times...
if ERRORLEVEL 0 if not ERRORLEVEL 1 GOTO succeeded
echo Signing failed. Probably cannot find the timestamp server at %%s
set /a timestampErrors+=1
)
REM wait 2 seconds...
choice /N /T:2 /D:Y >NUL
)
REM return an error code...
echo sign.bat exit code is 1. There were %timestampErrors% timestamping errors.
exit /b 1
:succeeded
REM return a successful code...
echo sign.bat exit code is 0. There were %timestampErrors% timestamping errors.
exit /b 0
また、http://timestamp.comodoca.comを信頼済みサイトに追加しました(Vinceに感謝)。それは重要なステップかもしれません。PCのルート証明書も更新しました。
%%a変数が使用されることはありません。forループまたはコメントにタイプミスはありますか?
/pは* .pfxパスワードです。
タイムスタンプサーバーをルートCAが所有する必要があるかどうかはわかりません。
私たちはhttp://timestamp.comodoca.com/authenticodeを使用しています(そしてComodo authenticode証明書を持っています)が、実際には同様の問題があり、サーバーが時々エラーを出すかタイムアウトするようです。継続的インテグレーションサーバーでは、リリースビルドのみ(デバッグビルドではありません)の夜間(またはオンデマンド)ビルドの一部として署名を行います。
私はこれを(主に)2つの方法で回避しました:
これらの間で、タイムスタンプサーバーの問題が原因で発生するビルドエラーは、週に1回または2回の問題から、ほとんど発生しなくなりました。
編集:私はこれを行うのMSBuildタスクを持っている(同様に、リポジトリの外に保存された証明書のパスワードを読み込む)でhttps://gist.github.com/gregmac/4cfacea5aaf702365724
これは、verisignのタイムスタンプURLを次のいずれかに置き換えることでうまく機能します。
http://timestamp.comodoca.com/authenticode
http://www.trustcenter.de/codesigning/timestamp
VeriSignタイムスタンプサービスは無料です。そのため、信頼性が十分ではないのかもしれません。彼らはそれにメンテナンスの予算を与えません!
確かにこれは大きな問題です。コードのタイムスタンプの失敗によるビルドの失敗による時間の浪費は、ソフトウェア開発業界全体で大きな問題になっています。確かに、稼働中のタイムスタンプサーバーが見つかるまで、複雑なスクリプトをローテーションして作成できます。
より良いものを要求すべきです。これらの証明書にはたくさんの支払いをします。
後で聞いたことのある代替のタイムスタンプサーバーは、VerisignとComodoがダウンしている期間(通常は就業時間中に発生します)に使用しても問題ないことに気づきました。
任意のタイムスタンプサーバーを使用できます。GlobalSignのサーバーが信頼できないことがわかったので、最近、発行者のタイムスタンプサーバーからVerisignに切り替えました。さらに、Thawteは独自のタイムスタンプサーバーを実行しませんが、Verisignの使用を推奨します。
通常は、任意のタイムスタンプサービスを使用できます。ただし、ほとんどのCAはタイムスタンプサービスを提供します。例
http://timestamp.globalsign.com/scripts/timstamp.dll
http://timestamp.comodoca.com/authenticode
http://www.startssl.com/timestamp
http://timestamp.digicert.com?alg=sha1
http://timestamp.digicert.com?alg=sha256
timestamp.verisign.comは、2019年のバックエンドで正式にEOLでした。詳細については、以下の質問で彼女が回答しました。
http-timestamp-verisign-com-scripts-timstamp-dll-not-available
私も同じ問題を抱えていました。署名しようとした一部のファイルでverisignサーバーにアクセスできないことがありました(ただし、同じビルドの他のファイルは正しく署名されていました)。
私は通常再試行し、それは動作しますが、今日、方法はありません。
インターネットでの不必要な調査の後、私はhttp://*.verisign.comを信頼済みゾーンサイトに配置しようとしましたが、それは機能します...最後に、サーバーに問題があり、機能するかどうか、または正しいことは、次の日に表示されると思います。それがブロックされている他のものを助けることを願っています。
サーバー構成:Windowsサーバー2003 SP2、IE8、セキュリティ強化。
ビルドの署名とタイムスタンプにsigntoolの代わりにJsignを使用できます。これは、代替のタイムスタンプサービスへのフェイルオーバーをサポートします。
コマンドライン構文は次のようになります。
jsign --keystore keystore.p12 --alias test --storepass password \
--tsaurl http://timestamp.comodoca.com/authenticode,http://timestamp.globalsign.com/scripts/timestamp.dll \
application.exe
試行回数(を使用--tsretries)および試行間の遅延(を使用)を構成することもできます--tsretrywait。