PKI和代码签名

Question

我很难理解代码签名和PKI之间的区别。是否可以使用PKI (具有CA的层次结构)来颁发用于签署代码源的证书，然后使用撤销来使某些软件无效(例如，不应该使用的旧版本)？或者是X.509证书与代码签名不兼容，我遗漏了什么？

非常感谢你。

Answer 1

PKI是一种基础设施，它允许您颁发用于签署二进制文件(以及其他内容)的证书。你不用在源代码上签名。

您可以为您拥有的每个软件版本创建一个单独的证书，但是，我没有看到任何人使用它的方式和目的。

通常，您需要注册几个证书，并使用它们对所有版本进行签名，直到它们过期。即使证书过期，也不会阻止客户继续使用您的软件。