タイムスタンプ付きのデュアルサインコードはどのように正しく動作しますか？

Question

私は、同じファイルに適用したい2つのコード署名証明書（1つのSHA-1、1つのSHA-256）を持っています。私は、SHA-256証明書を追加しようとしたが、これは失敗します。

:: Signs with the SHA-1 certificate 
signtool sign /sha1 8f52fa9db30525dfabb35b08bd1966693a30eccf /t http://timestamp.verisign.com/scripts/timestamp.dll my_app_here.exe 
:: Signs with the SHA-2 certificate 
signtool sign /sha1 8b0026ecbe5bf245993b26e164f02e1313579e47 /as /t http://timestamp.verisign.com/scripts/timestamp.dll my_app_here.exe 

これはエラーで失敗します。

Done Adding Additional Store 
SignTool Error: SignedCode::Sign returned error: 0x80070057 
     The parameter is incorrect. 
SignTool Error: An error occurred while attempting to sign: my_app_here.exe 

私は2番目のコマンドからのタイムスタンプのURLを削除した場合、署名が正常に完了し、 SHA-2シグネチャにはタイムスタンプはありません。 （最初の署名にタイムスタンプを付けるかどうかは関係ありません）

ここでは、これをサポートするオペレーティングシステム上にあるが、失敗しないように強い証明書でアプリを検証できるようにすることですより強力な証明書（Vista、XP）をサポートしていないオペレーティングシステムでの検証。

このようなことも可能ですか？

Answer 1

SHA-2 Authenticode署名には、RFC 3161タイムスタンプサーバが必要です。このためtimestamp.verisign.comのURLは機能しません。

シマンテック/ VerisignのためのRFC 3161のURLは次のとおりです。

http://sha256timestamp.ws.symantec.com/sha256/timestamp 

あなたはまだ古いhttp://timestamp.geotrust.com/tsa URLを使用している、そしてそれは（2017年4月）に失敗している場合は、上記のいずれかにそれを更新する必要があります。 GeoTrustは、Verisignのように、現在シマンテックの一部です。

出典：

https://knowledge.verisign.com/support/code-signing-support/index?page=content&id=SO5820