代码签名证书选项

Question

我的任务是为我的公司购买一张数字证书，以签署我们的代码。我们在Microsoft开发应用程序--主要是基于WPF或Web的应用程序。

我调查了各种选择，发现Comodo价格合理，反应迅速，我们准备继续通过它们购买证书。但是，在注册表单中有一些我不太确定的私钥选项，即：

1. CSP

- Microsoft Base Cryptographic Provider
- Microsoft Base Smart Card Crypto Provider
- Microsoft Enhanced Cryptographic Provider v1.0
- Microsoft Software Cryptographic Provider

​

1. 密钥大小

- 1024
- 2048
- 4096

​

1. Exportable?

- Yes / No

​

1. 用户保护？

- Yes / No

​

只是想知道这一切意味着什么，以及我们的需求的最佳选择是什么？如有任何意见/建议，将不胜感激。

谢谢格雷格

Answer 1

就“大多数目的”而言，建议采取以下备选办法：

2048

• Exportable：
• Microsoft Base密码提供程序
• 密钥大小：
• 受保护用户: Yes

老实说，我不太熟悉不同的CSP，但是基地每次都为我做这份工作。

密钥大小使得密钥更难破解，但是超过2048位的短期到中期密钥(3-5年)是足够的(IMHO).

• Exportable允许您导出私钥/证书对--这是备份私钥/证书的必要条件！

• 用户保护意味着，每次您想使用证书时都必须输入密码--强烈建议您每次使用证书时都要输入密码，以防止意外或恶意地使用certificate.

签名代码。

Answer 2

从历史上看，“基本”加密提供程序对密钥长度有人为限制，而“增强”提供程序则取消了限制。这使得微软能够遵守美国的出口法律，在某些版本中删除增强的提供程序。

显然，随着对导出法的修改，Microsoft已经从基本提供程序中删除了限制，允许更长的密钥长度(但为兼容性保留了名称)。

Answer 3

关于"Microsoft软件加密提供商“--我认为应该是”强“(而不是”软件“)。

实际上，在我工作的地方，基给出了一个512位的密钥长度(在KB2661254上最近的补丁读取之后，这个长度不再受支持或不再在MS服务器上工作)。你至少需要1024，但2048年是一个更好的选择。

注意:可导出的私钥用于备份和/或将私钥带到另一台服务器(我认为还需要对代码/脚本进行签名)，但是引入了它落入坏人手中的可能性，一旦您信任该证书，就可以在您的服务器上签名和运行不受欢迎的脚本！在存储它的地方/方式上要非常小心，并使用一个强大的密码！

重复检查:您很可能需要安装可信根CA证书(发出代码签名证书的CA )以及您在“可信发布服务器”中的证书本身才能运行已签名的PowerShell脚本。