كيفية توقيع ملف EXE باستخدام شهادة توقيع الرمز؟

إذا كنت تقوم بتطوير أو توزيع برامج لنظام التشغيل Windows، فإن فهم كيفية توقيع ملف EXE يضمن لك أن تكون تطبيقاتك موثوقة وخالية من التحذيرات الأمنية. يتحقق توقيع التعليمات البرمجية من صحة وسلامة الملف القابل للتنفيذ، مما يضمن للمستخدمين أن البرنامج من مصدر شرعي ولم يتم التلاعب به. وبدون توقيع رقمي صالح، قد يقوم Windows بحظر التطبيق أو عرض تنبيهات أمنية، مما يجعل من الصعب كسب ثقة المستخدم.

تشرح هذه المقالة كيفية توقيع الملف القابل للتنفيذ، وتغطي كل شيء بدءًا من المتطلبات والتعليمات خطوة بخطوة إلى التحقق وفوائد توقيع ملف EXE.

بحلول نهاية هذا الدليل، ستكون على دراية بكيفية الحصول على شهادة توقيع الرمز وتثبيتها، واستخدام signtool.exe من Microsoft لتوقيع ملف EXE، والتحقق من أن الملف القابل للتنفيذ موقّع بشكل صحيح. لنبدأ.

---

المتطلبات قبل التوقيع على EXE أو التطبيق

قبل توقيع ملف EXE، يجب أن تكون لديك الأدوات والإعدادات الصحيحة. لا يقتصر توقيع التعليمات البرمجية على تطبيق توقيع رقمي فقط. فهو يتطلب شهادة صالحة، وتخزين آمن للمفاتيح، وبرنامج توقيع مناسب. فيما يلي، سنستعرض المتطلبات الأساسية خطوة بخطوة، ونغطي كل شيء بدءاً من اختيار الشهادة المناسبة إلى إعداد البرنامج اللازم.

1. الحصول على شهادة توقيع الرمز

أولاً، تحتاج إلى شهادة توقيع رمز صادرة عن مرجع مصدق (CA) موثوق به مثل DigiCert أو سيكتجو. تتحقق هذه الشهادة من هويتك كناشر للبرامج.

منذ 1 يونيو 2023، يجب على جميع شهادات توقيع الرمز تخزين المفتاح الخاص على أجهزة آمنة. ونتيجةً لذلك، لا يمكنك إنشاء المفتاح الخاص أو الاحتفاظ به على حاسوبك المحلي. بدلاً من ذلك، يجب أن يتم تخزينه على جهاز معتمد من المستوى 2+ من FIPS 140-2، مثل رمز USB المميز SafeNet أو وحدة أمان الأجهزة (HSM).

يؤثر نوع الشهادة التي تختارها على كيفية التعامل مع تخزين المفاتيح:

• تأتي شهادات توقيع رمز EV دائمًا مع رمز SafeNet USB المميز الصادر عن المرجع المصدق (CA). يحتوي هذا الجهاز الفعلي على مفتاحك الخاص وهو مطلوب في كل مرة تقوم فيها بتوقيع ملف EXE.
• لا تتضمن شهادات توقيع الرمز القياسية رمز USB المميز. وبدلاً من ذلك، يمكنك إما استخدام خدمة توقيع مستندة إلى السحابة (مثل KeyLocker من DigiCert) أو تخزين المفتاح الخاص على جهاز HSM الخاص بك إذا كان المرجع المصدق (CA) يسمح بذلك.

---

2. إعداد بيئة التوقيع الخاصة بك

بمجرد حصولك على الشهادة وجهاز التخزين الآمن، فأنت بحاجة إلى الأدوات المناسبة. Windows SDK (مجموعة تطوير البرمجيات) الأداة المساعدة اللازمة للتوقيع، signtool.exe، والتي ستستخدمها لتطبيق التوقيع الرقمي. إذا لم تكن مثبتة بالفعل، يمكنك تنزيل أحدث إصدار من موقع مايكروسوفت الرسمي.

إذا كنت تستخدم شهادة توقيع رمز EV، فستحتاج أيضًا إلى تثبيت برنامج SafeNet Authentication Client. يسمح ذلك لنظامك بالاتصال برمز USB المميز واسترداد المفتاح الخاص بشكل آمن. إذا كنت تقوم بالتوقيع باستخدام جهاز HSM، فتأكد من إعداد الجهاز بشكل مناسب وأن شهادتك يمكن الوصول إليها من بيئة التوقيع الخاصة بك.

يجب أن يكون لديك أيضًا امتيازات المسؤول على جهاز الكمبيوتر الخاص بك. يتطلب توقيع التعليمات البرمجية أذونات مرتفعة، لذا قم بتشغيل موجه الأوامر أو PowerShell كمسؤول قبل تنفيذ أي أوامر توقيع.

---

3. لماذا يعد الختم الزمني مهمًا

يعد الطابع الزمني جزءًا أساسيًا من عملية التوقيع، والذي يضمن بقاء توقيعك الرقمي صالحًا حتى بعد انتهاء صلاحية شهادتك. فبدون الطابع الزمني، سيتعامل Windows مع EXE الموقّع على أنه غير موثوق به بمجرد وصول الشهادة إلى تاريخ انتهاء صلاحيتها.

عندما تقوم بتوقيع ملفك، تتصل أداة التوقيع بخادم الطوابع الزمنية الذي يسجل تاريخ ووقت التوقيع بالضبط. وهذا يثبت أن ملفك تم توقيعه بينما كانت الشهادة لا تزال صالحة. توفر معظم المراجع المصدقة (CAs) خدمات الطوابع الزمنية مجاناً. إذا لم تقم بإضافة طابع زمني، فسيرى المستخدمون تحذيرات حول توقيع منتهي الصلاحية، مما يجعل تطبيقك يبدو غير آمن.

---

4. الاستعدادات النهائية قبل التوقيع

قبل توقيع EXE، تحقق مرة أخرى من إعداد أدوات التوقيع وبرامج التشغيل وجهاز التخزين الآمن بشكل صحيح. إذا كنت تستخدم HSM، تحقق من إمكانية الوصول إلى المفتاح وتهيئته بشكل صحيح. إذا كنت تستخدم رمز USB آمن، فتأكد من توصيله وتشغيل عميل مصادقة SafeNet Authentication Client.

بعد أن أصبح كل شيء جاهزاً، أنت جاهز لتوقيع ملف EXE. قد تبدو العملية معقدة في البداية، ولكن اتباع هذه الخطوات يضمن أن برنامجك موثوق به من قبل Windows، ويمنع التحذيرات الأمنية، ويطمئن المستخدمين بأن تطبيقك آمن للتثبيت.

---

الدليل التفصيلي لتوقيع ملف EXE خطوة بخطوة

فيما يلي دليل مفصّل ومحدّث حول توقيع EXE، والذي يجب تخزينه الآن على وحدة أمان الأجهزة (HSM) أو رمز USB المميز لتعزيز الأمان.

الخطوة 1: أدخل جهاز HSM أو رمز USB المميز الخاص بك

قبل أن تتمكن من توقيع EXE، يجب عليك توصيل رمز الجهاز أو HSM الذي يحتوي على شهادة توقيع الرمز المميز والمفتاح الخاص. تطلب المراجع المصدقة الآن تخزين جميع شهادات توقيع التعليمات البرمجية على الأجهزة المعتمدة من المستوى 2 من FIPS 140-2، مثل رمز SafeNet USB المميز أو YubiKey HSM.

خطوات توصيل رمز الجهاز الخاص بك:

1. قم بتوصيل جهاز HSM أو رمز USB في جهازك الذي يعمل بنظام Windows.
2. إذا طُلب منك ذلك، قم بتثبيت برامج التشغيل الضرورية (يتم تثبيت معظم الأجهزة تلقائياً).
3. تأكد من تثبيت عميل مصادقة SafeNet Authentication Client أو أي برنامج HSM مطلوب.

إذا كنت تستخدم جهاز HSM مستندًا إلى السحابة (مثل Azure Key Vault أو AWS CloudHSM)، فتأكد من إعداد بيانات الاعتماد بشكل صحيح قبل المتابعة.

---

الخطوة 2: افتح موجه الأوامر كمسؤول

نظرًا لأن التوقيع يتطلب أذونات النظام، يجب عليك استخدام موجه الأوامر (cmd.exe) أو PowerShell مع حقوق إدارية.

خطوات فتح موجه الأوامر كمسؤول:

1. انقر فوق قائمة ابدأ واكتب cmd.
2. انقر بزر الماوس الأيمن على موجه الأوامر وحدد تشغيل كمسؤول.

بدلاً من ذلك، إذا كنت تفضل PowerShell، اتبع نفس الخطوات ولكن اكتب PowerShell بدلاً من ذلك.

---

الخطوة 3: تحديد موقع SignTool

SignTool هي أداة مساعدة من Microsoft مضمنة في مجموعة أدوات تطوير البرمجيات SDK الخاصة بنظام Windows، وهي مطلوبة لتوقيع الملفات التنفيذية.

العثور على SignTool على نظامك:

يعتمد موقع SignTool على إصدار Windows SDK المثبت لديك. يمكنك العثور عليه في:

C:\Program Files (x86)\Windows

Kits\10\bin\10.0.22621.0\x64\signtool.exe

استبدل الإصدار 10.0.22621.0 بإصدار SDK المثبت لديك إذا لزم الأمر.

---

الخطوة 4: قم بتوقيع EXE باستخدام SignTool

والآن بعد أن تم إعداد كل شيء، يمكنك توقيع ملف EXE الخاص بك باستخدام SignTool. فيما يلي مثال على الأمر الصحيح للتوقيع باستخدام الطابع الزمني. اضبط وفقًا لذلك.

signtool sign /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 /a "C:\path\to\yourfile.exe"

شرح الأمر:

• /tr http://timestamp.digicert.com – يحدد عنوان URL لخادم الطابع الزمني RFC 3161 (استبدل بخادم المرجع المصدق (CA) الخاص بك).
• /td SHA256 – يضبط SHA-256 كخوارزمية خوارزمية خوارزمية الطابع الزمني.
• /fd SHA256 – يحدد SHA-256 كخوارزمية خوارزمية خوارزمية خوارزمية الملف (تتطلب إصدارات ويندوز الحديثة ذلك).
• /أ – تحديد شهادة توقيع الرمز الصحيح تلقائياً.
• “C:\\path\to\yourfile.exe” – استبدل بالمسار الفعلي لملف EXE الخاص بك.

---

الخطوة 5: أدخل كلمة المرور (إذا كانت مطلوبة)

إذا كان HSM أو رمز USB المميز يتطلب مصادقة، ستظهر نافذة منبثقة تطلب منك كلمة المرور أو رقم التعريف الشخصي.

ما العمل بعد ذلك:

• أدخل كلمة المرور الخاصة بالرمز المميز SafeNet (أو أي جهاز HSM آخر).
• إذا كان لديك عدة شهادات، فقد يطلب منك SignTool تحديد الشهادة الصحيحة.

ملاحظة: إذا كنت تستخدم جهاز HSM مستند إلى السحابة، فقد تحتاج إلى المصادقة عبر بيانات اعتماد واجهة برمجة التطبيقات أو رقم تعريف شخصي آمن بدلاً من ذلك.

---

التحقق من ملف EXE الموقّع

بعد توقيع EXE الخاص بك، تأكد من أن التوقيع مطبق بشكل صحيح ويتضمن طابعاً زمنياً. إليك كيفية التحقق من ذلك:

1. التحقق من خصائص الملف

1. حدد موقع ملف EXE الموقّع على جهاز الكمبيوتر الخاص بك.
2. انقر بزر الماوس الأيمن فوق الملف وحدد خصائص.
3. انتقل إلى علامة التبويب التوقيعات الرقمية.
4. إذا كان التوقيع ناجحاً، سترى التوقيع مدرجاً مع الطابع الزمني. انقر على التفاصيل للتأكد من أن الرسالة تقول أن هذا التوقيع الرقمي موافق.

2. استخدام Poweshell للتحقق

لإجراء فحص أعمق، يمكنك استخدام Windows Powershell.

1. افتح PowerShell (Win + X → PowerShell).
2. قم بتشغيل الأمر:
   
   Get-AuthenticodeSignature "C:\Windows\System32\cmd.exe"
   
   
   
   

استبدل “cmd/exe” بملف exe الخاص بك.

سيعرض هذا تفاصيل حول التوقيع، بما في ذلك سلسلة الشهادات والطابع الزمني. إذا كان التوقيع غير صالح أو مفقود، فسيقوم Windows بوضع علامة عليه.

3. اختبار على نظام آخر

لمزيد من الاطمئنان، حاول تنزيل EXE الموقّع وتشغيله على كمبيوتر آخر. إذا كان كل شيء صحيحاً، يجب أن يتعرف Windows عليه كتطبيق موثوق به دون إظهار تحذيرات أمنية. باتباع هذه الخطوات، يمكنك التأكد من توقيع EXE الخاص بك بشكل صحيح وجاهز للتوزيع الآمن.

---

لماذا يجب عليك توقيع ملف EXE؟

إن توقيع تطبيقات Windows لا يتعلق فقط بالأمان، بل يتعلق بالثقة والحماية وضمان تشغيل برنامجك بسلاسة. فيما يلي بعض الأسباب لتوقيع ملف قابل للتنفيذ:

• يثق المستخدمون في البرامج الموقعة. عندما لا يتم توقيع ملف EXE، يقوم Windows بإصدار تحذيرات أمنية، وقد تقوم بعض الأنظمة بحظره تماماً. يطمئن التوقيع الذي تم التحقق من صحته من مرجع مصدق موثوق به المستخدمين بأن الملف آمن ولم يتم التلاعب به.
• يمنع التعديلات غير المصرح بها. بمجرد التوقيع، يعمل ملف EXE كحزمة مختومة. إذا حاول شخص ما تغييره، سواء لحقن برمجيات خبيثة أو تعديل التعليمات البرمجية، فإن التوقيع ينكسر، ويضع Windows علامة على الملف على أنه غير موثوق به.
• يقلل من تحذيرات SmartScreen من Microsoft. تتسم SmartScreen بالعدوانية مع البرامج غير الموقّعة، حيث تعرض تحذيرات تجعل المستخدمين يترددون في التثبيت. يؤدي توقيع EXE الخاص بك، خاصةً باستخدام شهادة توقيع الرمز الموسّع (EV) إلى تقليل هذه التحذيرات بشكل كبير ويجعل عمليات التثبيت أكثر سلاسة.
• إنه ضروري للتوزيع المؤسسي. تحظر العديد من بيئات الشركات تشغيل البرامج غير الموقعة على شبكاتها. يفي EXE الموقّع بسياسات الأمان، مما يضمن إمكانية نشره دون مشاكل.
• يحافظ الطابع الزمني على صلاحية التوقيع. بدون طابع زمني، يصبح التوقيع غير صالح في اللحظة التي تنتهي فيها صلاحية الشهادة. مع الطابع الزمني، يظل التوقيع صالحاً حتى بعد انتهاء الصلاحية، مما يضمن استمرار عمل البرنامج.

---

قم بتوقيع EXE الخاص بك بثقة – احصل على شهادة توقيع الرمز

بمجرد أن تعرف كيفية توقيع ملف EXE وحماية برنامجك من التحذيرات الأمنية، فإن الخطوة التالية هي الحصول على شهادة توقيع الكود المناسبة. سواء كنت مطورًا مستقلًا أو شركة، فإن توقيع ملف EXE الخاص بك يضمن لك الثقة والتثبيت السلس والحماية من التلاعب. بدون توقيع صالح، سيضع ويندوز علامة على برنامجك، مما يجعل من الصعب على المستخدمين تثبيته وتشغيله.

في SSL Dragon، نقدم في SSL Dragon شهادات توقيع الرمز OV و EV من أفضل مقدمي الخدمات مثل DigiCert و Sectigo و GoGetSSL. هل تحتاج إلى حل بسيط؟ اذهب للتحقق من صحة الفرد أو المؤسسة. هل تريد سمعة أقوى وتحذيرات أقل من SmartScreen؟ التحقق الموسع هو الحل الأمثل. اختر ما يناسبك، وقم بتوقيع برامجك بثقة، واجعل التحذيرات الأمنية شيئاً من الماضي.