给自己开发的ocx空间数字签名的方法(青岛金鑫-java技术攻略)

给自己开发的ocx空间数字签名的方法2008年11月11日 星期二 11:55首先要有工具包，包括以下几个软件：
makecert.exe 制作cer格式的证书，即X.509证书，同时可以创建私钥
cert2spc.exe 将cer格式证书转换成spc格式证书，即PKCS #7证书
signcode.exe/signtool.exe 将证书签署到ocx上去
chktrust.exe/signtool.exe 检查签署证书后的ocx是否正确
还有一个certmgr.exe，是管理证书用的。可以从这里面导出root.cer来，
网上很多文章写到这个证书，但是在VC的安装盘中却找不到。其实，没
有也没关系的。这几个软件可以从VC的安装盘中找到。

下面是具体的步骤：
1、创建一个自己的证书文件：
makecert /sv "Record.PVK" /n "CN=DreamCaptial" dream.cer
这里，Record.PVK表示新创建的私人密钥保存文件名
DreamCaptial是你想显示的公司名
dream.cer是你创建最后的证书文件名
这些根据你自己的要求填写，最后得到Record.PVK和dream.cer两个文件。
其中，运行过程中需要输入私人密钥的保护密码，一定要输入一致，不要
出错。

2、转换cer格式为spc格式（可以省略）
cert2spc dream.cer dream.spc
得到dream.spc文件。

3、给ocx进行签名
运行signcode，命令行的我没有试验通过，我是通过界面实现的。
signcode运行后会出现数字签名向导，首先选择你要签名的ocx，
下一步后会出现签名选项，一种是典型，一种是自定义。选择自定义，
这样才能从文件选择证书，选择前面制作的dream.spc，再下一步是
选择私钥文件，选择Record.PVK，输入私人密钥的保护密码，选择散
列算法，一般用md5就可以了，下一步是选择其他证书，直接下一步，
填写一下这个控件的声明，用户用ie浏览的时候，会弹出证书说明，
再下一步是加盖时间戳，如果需要，用以下地址：
http://timestamp.verisign.com/scripts/timstamp.dll
要求已经上网并能出国，然后直接下一步就完成了。

4、用chktrust检查是否正确
chktrust -v RecordProj.ocx

就这样，得到了一个测试证书，恩，虽然只是一个测试证书，但至
少保证这个ocx在ie浏览的时候能够弹出来一个窗口，问你是否安装，
而不是直接禁止了。


其实后来我发现不用签名也行，自己做个安装包让用户下载了安装一下就ok了。。。我现在的想法是做个exe安装包，在客户端下载下来安装一下行了。。。