Bagaimana Cara Menandatangani File EXE Menggunakan Sertifikat Penandatanganan Kode?

Terakhir diperbarui pada oleh Dionisie Gitlan
Tanda tangani File Exe

Jika Anda mengembangkan atau mendistribusikan perangkat lunak untuk Windows, memahami cara menandatangani file EXE memastikan aplikasi Anda tepercaya dan bebas dari peringatan keamanan. Penandatanganan kode memverifikasi keaslian dan integritas file yang dapat dieksekusi, meyakinkan pengguna bahwa perangkat lunak tersebut berasal dari sumber yang sah dan belum dirusak. Tanpa tanda tangan digital yang valid, Windows dapat memblokir aplikasi atau menampilkan peringatan keamanan, sehingga sulit untuk mendapatkan kepercayaan pengguna.

Artikel ini menjelaskan cara menandatangani file yang dapat dieksekusi, yang mencakup segala hal mulai dari persyaratan dan petunjuk langkah demi langkah hingga verifikasi dan manfaat menandatangani file EXE.

Pada akhir panduan ini, Anda akan mengetahui cara mendapatkan dan menginstal sertifikat penandatanganan kode, menggunakan signtool.exe dari Microsoft untuk menandatangani file EXE, dan memverifikasi bahwa file yang dapat dieksekusi telah ditandatangani dengan benar. Mari kita mulai.

Persyaratan Sebelum Menandatangani EXE atau Aplikasi

Sebelum menandatangani file EXE, Anda harus memiliki alat dan pengaturan yang tepat. Penandatanganan kode bukan hanya tentang menerapkan tanda tangan digital. Dibutuhkan sertifikat yang valid, penyimpanan kunci yang aman, dan perangkat lunak penandatanganan yang tepat. Di bawah ini, kita akan membahas persyaratan utama langkah demi langkah, mencakup semuanya, mulai dari memilih sertifikat yang tepat hingga menyiapkan perangkat lunak yang diperlukan.

1. Dapatkan Sertifikat Penandatanganan Kode

Pertama, Anda memerlukan sertifikat penandatanganan kode yang dikeluarkan oleh Otoritas Sertifikat (CA) tepercaya seperti DigiCert atau Sectigo. Sertifikat ini memverifikasi identitas Anda sebagai penerbit perangkat lunak.

Sejak 1 Juni 2023, semua sertifikat penandatanganan kode harus menyimpan kunci privat pada perangkat keras yang aman. Akibatnya, Anda tidak dapat membuat atau menyimpan kunci pribadi di komputer lokal Anda. Sebaliknya, kunci pribadi harus disimpan di perangkat yang disetujui FIPS 140-2 Level 2+, seperti token USB SafeNet atau Modul Keamanan Perangkat Keras (HSM).

Jenis sertifikat yang Anda pilih memengaruhi cara Anda menangani penyimpanan kunci:

  • Sertifikat Penandatanganan Kode EV selalu dilengkapi dengan token USB SafeNet yang dikeluarkan oleh CA. Perangkat fisik ini menyimpan kunci pribadi Anda dan diperlukan setiap kali Anda menandatangani file EXE.
  • Sertifikat Penandatanganan Kode Standar tidak menyertakan token USB. Sebagai gantinya, Anda dapat menggunakan layanan penandatanganan berbasis awan (seperti KeyLocker dari DigiCert) atau menyimpan kunci privat di HSM Anda sendiri jika CA Anda mengizinkannya.

2. Siapkan Lingkungan Penandatanganan Anda

Setelah Anda memiliki sertifikat dan perangkat penyimpanan yang aman, Anda memerlukan alat yang tepat. Windows SDK (Kit Pengembangan Perangkat Lunak) termasuk utilitas penandatanganan yang diperlukan, signtool.exe, yang akan Anda gunakan untuk menerapkan tanda tangan digital. Jika belum terinstal, Anda bisa mengunduh versi terbaru dari situs web resmi Microsoft.

Penginstal Signtool

Jika Anda menggunakan sertifikat Penandatanganan Kode EV, Anda juga harus menginstal perangkat lunak Klien Otentikasi SafeNet. Hal ini memungkinkan sistem Anda untuk berkomunikasi dengan token USB dan mengambil kunci privat dengan aman. Jika Anda menandatangani dengan HSM, pastikan perangkat diatur dengan benar dan sertifikat Anda dapat diakses dari lingkungan penandatanganan Anda.

Safenet

Anda juga harus memiliki hak administrator pada komputer Anda. Penandatanganan kode memerlukan izin yang lebih tinggi, jadi jalankan Command Prompt atau PowerShell sebagai administrator sebelum menjalankan perintah penandatanganan.

3. Mengapa Penandaan Waktu itu Penting

Bagian penting dari proses penandatanganan adalah stempel waktu, yang memastikan bahwa tanda tangan digital Anda tetap valid bahkan setelah sertifikat Anda kedaluwarsa. Tanpa stempel waktu, Windows akan memperlakukan EXE yang Anda tandatangani sebagai tidak tepercaya setelah sertifikat mencapai tanggal kedaluwarsa.

Ketika Anda menandatangani file Anda, alat penandatanganan akan menghubungi server penanda waktu, yang mencatat tanggal dan waktu penandatanganan yang tepat. Ini membuktikan bahwa file Anda ditandatangani ketika sertifikat masih berlaku. Sebagian besar CA menyediakan layanan stempel waktu secara gratis. Jika Anda tidak menambahkan stempel waktu, pengguna akan melihat peringatan tentang tanda tangan yang sudah kedaluwarsa, sehingga aplikasi Anda tampak tidak aman.

4. Persiapan Akhir Sebelum Penandatanganan

Sebelum Anda menandatangani EXE, periksa kembali apakah alat penandatanganan, driver, dan perangkat penyimpanan yang aman sudah diatur dengan benar. Jika menggunakan HSM, pastikan kuncinya dapat diakses dan dikonfigurasi dengan benar. Jika Anda menggunakan token USB SafeNet, pastikan token tersebut dicolokkan dan Klien Otentikasi SafeNet berjalan.

Dengan semuanya sudah siap, Anda siap untuk menandatangani file EXE Anda. Prosesnya mungkin terlihat rumit pada awalnya, tetapi dengan mengikuti langkah-langkah berikut, perangkat lunak Anda akan dipercaya oleh Windows, mencegah peringatan keamanan, dan meyakinkan pengguna bahwa aplikasi Anda aman untuk diinstal.

Panduan Langkah-demi-Langkah untuk Menandatangani File EXE

Di bawah ini adalah panduan terperinci dan terbaru tentang cara menandatangani EXE, yang sekarang harus disimpan di modul keamanan perangkat keras (HSM) atau token USB untuk meningkatkan keamanan.

Langkah 1: Masukkan HSM atau Token USB Anda

Sebelum Anda dapat menandatangani EXE, Anda harus menyambungkan token perangkat keras atau HSM yang berisi sertifikat penandatanganan kode dan kunci privat Anda. Otoritas Sertifikasi sekarang mengharuskan semua sertifikat penandatanganan kode disimpan di perangkat yang disetujui FIPS 140-2 Level 2, seperti token USB SafeNet atau HSM YubiKey.

Langkah-langkah untuk menghubungkan token perangkat keras Anda:

  1. Colokkan HSM atau token USB ke mesin Windows Anda.
  2. Jika diminta, instal driver yang diperlukan (sebagian besar perangkat menginstal secara otomatis).
  3. Pastikan Anda memiliki Klien Otentikasi SafeNet atau perangkat lunak HSM yang diperlukan.

Jika Anda menggunakan HSM berbasis awan (seperti Azure Key Vault atau AWS CloudHSM), pastikan kredensial Anda diatur dengan benar sebelum melanjutkan.

Langkah 2: Buka Command Prompt sebagai Administrator

Karena penandatanganan memerlukan izin sistem, Anda harus menggunakan Command Prompt (cmd.exe) atau PowerShell dengan hak administratif.

Langkah-langkah untuk membuka Command Prompt sebagai Administrator:

  1. Klik menu Start dan ketik cmd.
  2. Klik kanan pada Command Prompt dan pilih Run as administrator.

Atau, jika Anda lebih suka PowerShell, ikuti langkah yang sama tetapi ketik PowerShell.

Langkah 3: Temukan SignTool

SignTool adalah utilitas Microsoft yang disertakan dalam Windows SDK, yang diperlukan untuk menandatangani file yang dapat dieksekusi.

Menemukan SignTool di sistem Anda:

Lokasi SignTool tergantung pada versi Windows SDK yang Anda instal. Anda dapat menemukannya di:

C:\Program Files (x86)\Windows

Kits\10\bin\10.0.22621.0\x64\signtool.exe

Ganti 10.0.22621.0 dengan versi SDK yang Anda instal jika diperlukan.

Jalur Signtool

Langkah 4: Tanda tangani EXE menggunakan SignTool

Setelah semuanya diatur, Anda dapat menandatangani file EXE Anda menggunakan SignTool. Di bawah ini adalah contoh perintah yang benar untuk menandatangani dengan stempel waktu. Sesuaikan dengan kebutuhan Anda.

signtool sign /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 /a "C:\path\to\yourfile.exe"

Penjelasan mengenai perintah tersebut:

  • /tr http://timestamp.digicert.com – Menentukan URL server stempel waktu RFC 3161 (ganti dengan server CA Anda).
  • /td SHA256 – Menetapkan SHA-256 sebagai algoritme intisari stempel waktu.
  • /fd SHA256 – Menentukan SHA-256 sebagai algoritma penguraian file (versi Windows modern memerlukan ini).
  • /a – Secara otomatis memilih sertifikat penandatanganan kode yang benar.
  • “C:\path\to\yourfile.exe” – Ganti dengan jalur sebenarnya dari file EXE Anda.

Langkah 5: Masukkan Kata Sandi (Jika Diperlukan)

Jika HSM atau token USB Anda memerlukan autentikasi, jendela pop-up akan muncul untuk meminta kata sandi atau PIN Anda.

Apa yang harus dilakukan selanjutnya:

  • Masukkan kata sandi untuk token SafeNet Anda (atau HSM lainnya).
  • Jika Anda memiliki beberapa sertifikat, SignTool mungkin akan meminta Anda untuk memilih sertifikat yang benar.

Catatan: Jika menggunakan HSM berbasis cloud, Anda mungkin perlu mengautentikasi melalui kredensial API atau PIN yang aman.

Verifikasi File EXE yang Ditandatangani

Setelah menandatangani EXE Anda, konfirmasikan bahwa tanda tangan telah diterapkan dengan benar dan menyertakan stempel waktu. Berikut ini cara memverifikasinya:

1. Periksa Properti File

  1. Cari file EXE yang telah ditandatangani di komputer Anda.
  2. Klik kanan file dan pilih Properties.
  3. Buka tab Tanda Tangan Digital.
  4. Jika penandatanganan berhasil, Anda akan melihat tanda tangan yang tercantum bersama dengan stempel waktu. Klik Detail untuk mengonfirmasi bahwa pesan bertuliskan Tanda tangan digital ini OK.

2. Gunakan Poweshell untuk Verifikasi

Untuk pemeriksaan yang lebih mendalam, Anda dapat menggunakan Windows Powershell.

  1. Buka PowerShell (Win + X → PowerShell).
  2. Jalankan perintah:

    Get-AuthenticodeSignature "C:\Windows\System32\cmd.exe"

    Verifikasi Tanda Tangan Powershell

Ganti “cmd/exe” dengan file exe Anda.

Ini akan menampilkan rincian tentang tanda tangan, termasuk rantai sertifikat dan stempel waktu. Jika tanda tangan tidak valid atau tidak ada, Windows akan menandainya.

3. Uji pada Sistem Lain

Untuk jaminan tambahan, coba unduh dan jalankan EXE yang telah ditandatangani di komputer lain. Jika semuanya sudah benar, Windows akan mengenalinya sebagai aplikasi tepercaya tanpa menampilkan peringatan keamanan. Dengan mengikuti langkah-langkah ini, Anda dapat memastikan bahwa EXE Anda telah ditandatangani dengan benar dan siap untuk didistribusikan dengan aman.

Mengapa Anda Harus Menandatangani File EXE?

Penandatanganan aplikasi Windows bukan hanya tentang keamanan-ini tentang kepercayaan, perlindungan, dan memastikan perangkat lunak Anda berjalan dengan lancar. Berikut ini beberapa alasan untuk menandatangani file yang dapat dieksekusi:

  • Pengguna mempercayai perangkat lunak yang ditandatangani. Ketika file EXE tidak ditandatangani, Windows memberikan peringatan keamanan, dan beberapa sistem mungkin memblokirnya sepenuhnya. Tanda tangan terverifikasi dari Otoritas Sertifikat tepercaya meyakinkan pengguna bahwa file tersebut aman dan belum dirusak.
  • Ini mencegah modifikasi yang tidak sah. Setelah ditandatangani, EXE bertindak seperti paket tersegel. Jika seseorang mencoba mengubahnya, baik untuk menyuntikkan malware atau memodifikasi kode, tanda tangan akan rusak, dan Windows menandai file tersebut sebagai file yang tidak dipercaya.
  • Ini mengurangi peringatan Microsoft SmartScreen. SmartScreen agresif dengan perangkat lunak yang tidak ditandatangani, menampilkan peringatan yang membuat pengguna ragu untuk menginstal. Menandatangani EXE Anda, terutama dengan sertifikat Penandatanganan Kode Validasi Diperpanjang (EV), secara signifikan mengurangi peringatan ini dan membuat penginstalan lebih lancar.
  • Ini penting untuk distribusi perusahaan. Banyak lingkungan perusahaan memblokir perangkat lunak yang tidak ditandatangani agar tidak dapat berjalan di jaringan mereka. EXE yang ditandatangani memenuhi kebijakan keamanan, sehingga dapat digunakan tanpa masalah.
  • Stempel waktu membuat tanda tangan tetap valid. Tanpa stempel waktu, tanda tangan menjadi tidak valid saat sertifikat kedaluwarsa. Dengan stempel waktu, tanda tangan tetap valid bahkan setelah kedaluwarsa, sehingga memastikan perangkat lunak Anda terus berfungsi.

Tanda tangani EXE Anda dengan Percaya Diri – Dapatkan Sertifikat Penandatanganan Kode

Setelah Anda mengetahui cara menandatangani file exe dan melindungi perangkat lunak Anda dari peringatan keamanan, langkah selanjutnya adalah mendapatkan sertifikat Penandatanganan Kode yang tepat. Baik Anda seorang pengembang independen atau bisnis, menandatangani EXE Anda memastikan kepercayaan, instalasi yang lancar, dan perlindungan terhadap gangguan. Tanpa tanda tangan yang valid, Windows akan menandai perangkat lunak Anda, sehingga menyulitkan pengguna untuk menginstal dan menjalankannya.

Di SSL Dragon, kami menawarkan Sertifikat Penandatanganan Kode OV dan EV dari penyedia top seperti DigiCert, Sectigo , dan GoGetSSL. Butuh solusi sederhana? Pilih validasi individu atau organisasi. Ingin reputasi yang lebih kuat dan lebih sedikit peringatan SmartScreen? Validasi yang Diperpanjang adalah pilihan yang tepat. Pilihlah, tandatangani perangkat lunak Anda dengan percaya diri, dan jadikan peringatan keamanan sebagai masa lalu.

Hemat 10% untuk Sertifikat SSL saat memesan hari ini!

Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10

Pesan Sekarang
Ditulis oleh

Penulis konten berpengalaman yang berspesialisasi dalam Sertifikat SSL. Mengubah topik keamanan siber yang rumit menjadi konten yang jelas dan menarik. Berkontribusi untuk meningkatkan keamanan digital melalui narasi yang berdampak.

Tutorial