我可以用根证书签署ActiveX控件吗？

Question

我有一个ActiveX控件，它应该在第一次访问网页时安装.

我有用OpenSSL创建的自签名证书，以及它的子证书.问题是，如果我用根证书对activex控件进行签名，即使它是作为受信任的安装，也无法在检查activeX时验证它。

上面写着

“证书的基本延展期尚未得到遵守”

在“查看证书”中：

“证书无效，因为证书路径中的一个证书颁发机构似乎不被允许颁发证书，或者该证书不能用作终结实体证书”。

如果在根证书处于可信状态时使用子证书进行签名，则可以使用eberything。

我认为根证书只能对与证书相关的内容进行签名，而不能签署文件等，但是要确定这一点。

Answer 1

我认为，该错误消息试图告诉您的是，您为您的密钥生成的证书不包含正确的证书扩展。代码签名需要为代码签名生成的证书.其他类型的证书--例如为签名数据而生成的证书--受到CA较少的审查，因此提供了代码签名所需的较低级别的安全性。

您自己的自签名根证书应该设置为密钥签名，子证书应该设置为代码签名。那么，只要您的根证书位于浏览器的可信密钥存储区中，您的ActiveX签名就应该是可以的。通常，密钥签名证书应该只为密钥签名设置，而代码签名证书应该只为代码签名设置op，因此不能将这些密钥用于任何其他用途。

这个解决方案在一个组织中是可以的，在这里你可以预先在每个用户的电脑上安装你的根密钥。如果您想在公共互联网上的网页上使用您的ActiveX控件，您必须说服用户信任您的证书(尽管他们可能没有充分的理由这样做)，或者您必须从一个已经为普通浏览器所知的商业CA购买代码签名证书。

最后，我希望真正的建议不要为任何使用ActiveX控件，因为它们只能在Windows上运行，并且只有当它们被信任时才能运行。大多数有识之士都会将浏览器的安全性设置为拒绝他们。使用不同的技术(例如Javascript)生成活动内容将获得更大的成功。

Answer 2

使用自签名证书对二进制文件进行数字签名与程序的使用数字证书的概念几乎是背道而驰的。其基本思想是证明代码是由您创建的(真实性)，并且在您发布代码(完整性)后没有被修改过。这必须通过使用由受信任的证书颁发机构(CA)签名的签名证书来完成。

我对以下问题作了更详细的回答。

使用签名工具创建密钥和签名可执行文件