JemmyLoveJenny Local TimeStamp Responder

JemmyLoveJenny Local TimeStamp Responder是一款本地時間戳應答器（可以倒填時間制造有效簽名），這個項目是一個帶有演示的時間戳響應程序庫。您可以使用我的項目生成過期的TimestampResponse作為聯(lián)合簽名，以驗證過期/吊銷的代碼簽名。

軟件說明

您必須生成自己的TSA證書及其私鑰，并將該證書導入到您的信任存儲中。對于cert-key對有一些要求，在tsacertificates文件夾中進行了解釋。

庫同時支持Microsoft驗證碼時間戳和RFC3161時間戳。演示只是一個本地響應程序，因此它不能是可靠的時間戳服務器。

軟件功能

主要作用就是讓系統(tǒng)認為某個程序是在證書過期/吊銷之前被簽名的，通過系統(tǒng)的簽名驗證。

使用說明

原本沒想要發(fā)布這個單獨的時間戳程序，但是有很多人問有關時間戳的問題，因此就把原來Java寫的代碼翻譯到CSharp，做了一個時間戳簽名庫和它的Demo。
代碼已開源，在 https://github.com/JemmyLoveJenny/TimeStampResponder-CSharp

自建時間戳服務器只需要一張自簽名的時間戳證書和對應的私鑰和證書鏈。
時間戳證書必須是X509v3證書，包含標記critical的ExtendedKeyUsage屬性，ExtKU只允許證書用于時間戳簽名。
證書文件如果不是自簽名的，則還需要包含證書鏈。子證書在最上面，CA證書在最下面，就像部署SSL證書鏈那樣操作。
私鑰文件必須使用PKCS1編碼保存，PKCS8無法識別。
Github和Release中都有從我PKI中簽發(fā)出的時間戳證書，可以作為一個證書的樣板。
雖然我的證書默認不受信，但是我還是不希望你們?yōu)E用它。
本地時間戳服務器的地址是 http://localhost/TSA/ 注意！這個Demo真的只是一個本地的服務，不能作為廣泛使用的時間戳服務器。
因為我設置了只能從localhost訪問，局域網內其他電腦訪問不到這個時間戳服務。甚至用127.0.0.1或者::1都不可以！
Demo可以和IIS共用80端口，如果有Apache或者Nginx這類服務器綁定了80端口，那么Demo就無法正常啟動，表現(xiàn)為要求以管理員身份運行。

程序使用HttpListener組件實現(xiàn)簡單的HTTP服務，因此必須要求以管理員身份運行
程序成功運行后，這個地址支持 Authenticode 和 RFC3161 時間戳，也就是說，在微軟signtool中使用 /t "<URL>" 或者 /tr "<URL>" 都是可以的，可以根據自己的需要打不同協(xié)議的時間戳 （Authenticode時間戳兼容性比較好，支持XP）

自定義時間的話，就是在地址后面加上希望的時間（UTC時間，需要轉換時區(qū)）。
格式為"yyyy-MM-dd'T'HH:mm:ss"
北京時間是UTC+8，所以地址后面的時間需要減掉8小時才能變成UTC時間。
舉幾個例子：
北京時間 2011-04-01 08:00:00，對應的時間戳地址是 http://localhost/TSA/2011-04-01T00:00:00
北京時間 2019-03-10 10:25:34，對應的時間戳地址是 http://localhost/TSA/2019-03-10T02:25:34
然后打時間戳就用微軟的signtool，命令為 【signtool timestamp /t "<URL>" <filename>】
如果是雙簽名，另加/tp參數(shù)指定簽名序號，打兩次時間戳【signtool timestamp /tp <index> /tr "<URL>" <filename>】
比如說，給我要給 test.exe 單簽名打2011-04-01 08:00:00的時間戳，完整命令為 【signtool timestamp /t "http://localhost/TSA/2011-04-01T00:00:00" test.exe】
如果 test.exe 有雙簽名，首先執(zhí)行上一條命令，然后再用【signtool timestamp /tp 1 /tr "http://localhost/TSA/2011-04-01T00:00:00" test.exe】給第二個簽名打時間戳
注意！自定義的時間戳日期最好接近證書的頒發(fā)時間，因為大部分泄露的證書已經被CA吊銷，自定義的時間必須在證書吊銷之前才能通過驅動簽名驗證！