Error interno de SignTool al intentar reempaquetar un paquete APPX?

Question

Estoy analizando las aplicaciones existentes de la Tienda Windows y modificándolas para asegurarme de que el ofuscador de mi empresa trabaje con ellas.

Aunque me he encontrado con un problema. Puedo tomar fácilmente un paquete APPX de la tienda (requiere que Fiddler obtenga la URL). Entonces puedo usar cualquier programa de descompresión para extraer el appx a una carpeta. Luego puedo tomar las asambleas en el APPX y modificar un poco la IL. entonces reelaboran y firmar el paquete:

makeappx pack /d "mypackage" /p "mypackage.appx" 
signtool sign /fd sha256 /f temporarykey.pfx mypackage.appx 

entonces me da un error con signtool sin embargo:

SignTool Error: An unexpected internal error has occured 
Error information: "Error: SignerSign() failed." (-2147024885/0x800700b) 

y luego, por supuesto, un error al intentar instalar con el archivo PowerScript estándar creado por Visual Studio para instalar/cargar todo paquete APPX.

Found package: C:\....mypackage.appx 
Error: The package is not digitally signed or its signature is corrupted 

He utilizado este proceso exacto para paquetes generados desde Visual Studio. ¿Las claves temporales están vinculadas a un paquete en particular o algo así? ¿Qué me estoy perdiendo? ¿Es esto un error en el letrero?

Answer 1

Aparentemente, no puede simplemente tomar cualquier clave temporal y firmar el APPX con ella. En particular, las líneas de asunto del certificado deben coincidir (el "nombre del editor"). No sé de una mejor manera de determinar lo que la línea de asunto realmente es tan simple conmigo. Primero, intente usar signtool y firme el archivo APPX con cualquier clave temporal. Ahora ve al Visor de eventos. Luego a Aplicaciones y Servicios y luego a Microsoft y luego a Windows y luego a AppxPackaging y finalmente a Microsoft-Windows-AppxPackages/Operational. Debería haber un evento de error que acaba de pasar desde esa compilación. Revisalo. Debe decir algo como

Error 0x800700B: The app manifest publisher name (CN=random-hex-number) must match the subject name of the signing certificate (CN=MyWrongName) 

Por lo tanto, ahora asegúrese de aferrarse a ese número hexadecimal al azar. Esa debe ser la línea de asunto del certificado y es la causa del error. Para generar un certificado de trabajo:

makecert.exe mycert.cer -r -n "CN=random-hex-number" -$ individual -sv private.pkv -pe -cy end 
pvk2pfx -pvk private.pkv -spc mycert.cer -pfx mytemporarykey.pfx 

Ahora, finalmente, debe tener una clave temporal que funcione con signtool!

Afortunadamente, esta respuesta sirve bien a otras personas.