SignTool Error: No certificates were found that met all the given criteria.
2년에 한번 정도 인증서 서명을 하는 거라서... 어쨌든 잘 되었던 건데... 오늘따라 유독 다음과 같이 에러를 내는군요. ^^;
c:\temp>signtool sign /v /sm /n "JenniferSoft" /t http://timestamp.verisign.com/scripts/timestamp.dll c:\temp\SimpleCtl.cab
SignTool Error: No certificates were found that met all the given criteria.
그런데, 분명히 "Certificates (Local Computer)" 영역에 아래와 같이 해당 인증서가 등록되어 있습니다.
도대체 왜 저 인증서를 선택할 수 없는 걸까요?
문제 분석을 위해 /debug 인자를 주어 signtool을 실행해 보니 다음과 같은 결과가 나옵니다.
c:\temp>signtool sign /debug /v /sm /n "JenniferSoft" /t http://timestamp.verisign.com/scripts/timestamp.dll c:\temp\SimpleCtl.cab
The following certificates were considered:
Issued to: 00187FFEB65431D2.devicedns.live.com
Issued by: Token Signing Public Key
Expires: Mon Jul 06 13:24:17 2015
SHA1 hash: FCF06C818A92ABCD0EE43B2E26A703ED8922F3CE
Issued to: Windows Media Player Network Sharing Service
Issued by: Windows Media Player Network Sharing Service
Expires: Mon Jan 07 13:29:13 2115
SHA1 hash: F0AA1A0CFD5C1828F546EA1938B17A30883F0F09
Issued to: NVIDIA GameStream Server
Issued by: NVIDIA GameStream Server
Expires: Tue Aug 01 16:50:41 2034
SHA1 hash: DFF09CEEF603B5C546C4DFC796283AD82E6C55E7
Issued to: localhost
Issued by: localhost
Expires: Thu Nov 30 09:00:00 2017
SHA1 hash: 51A836E02847FC99FAA9482F146B159FC2AD7248
Issued to: JenniferSoft
Issued by: Symantec Class 3 SHA256 Code Signing CA
Expires: Tue May 02 08:59:59 2017
SHA1 hash: 1916192451A238F95F52D6A04B620EDF0EEFDF33
After EKU filter, 2 certs were left.
After expiry filter, 2 certs were left.
After Subject Name filter, 1 certs were left.
After Private Key filter, 0 certs were left.
SignTool Error: No certificates were found that met all the given criteria.
그림에서 봤던 00187FFEB65431D2.devicedns.live.com, Windows Media Player Network Sharing Service, NVIDIA GameStream Server, localhost, JenniferSoft 인증서들이 나열된 것을 보니 "Certificates (Local Computer)" 영역을 검색한 것은 맞습니다.
그런데, EKU 조건, expiry, Subject Name 조건까지 만족하는 인증서가 1개 있었는데 결정적으로 "Private Key" 조건을 만족하는 인증서가 없었다는 것을 보여줍니다.
더더욱 이상하군요. 해당 인증서는 분명히 개인키를 갖고 있음을 다음과 같이 확인할 수 있었습니다.
혹시나 싶어, 마우스 우클릭을 해 다음과 같이 "Manage Private Keys..." 메뉴를 선택해 보았는데,
이와 같이 권한 목록이 나왔습니다.
즉, SYSTEM, Administrators에게 권한이 있고 "Logon SessionId..."라는 계정이 있지만 분명한 것은 현재 로그인 계정은 아니라는 점입니다. 테스트를 위해 "관리자 권한으로 실행한 cmd.exe"에서 signtool 명령을 내리니 정상적으로 서명이 되었습니다.
그렇군요. 따라서, 현재 로그인 계정을 명시적으로 추가하고 "Read" 권한만 주는 것으로 문제 해결을 할 수 있었습니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]