为.NET创建代码签名证书

Question

下面的链接提供了一个很好的问题和答案：

如何为Windows上的代码签名创建自签名证书？

我对列出的两个过程((A)创建自签名证书颁发机构和(B)创建代码签名(SPC)证书)感到有点困惑。我们是先做a，然后再做b，还是做“任一”呢？

创建自签名证书颁发机构(CA)

-r -pe -n "CN=My CA“-ss CA -sr CurrentUser -a sha256 -cy authority -sky -sky -sv MyCA.pvk MyCA.cer

创建代码签名(SPC)证书

-pe -n "CN=My SPC“-a sha256 -cy end -sky签名-ic MyCA.cer -iv MyCA.pvk -sv MySPC.pvk MySPC.cer

Answer 1

重要免责声明：当然假定这些证书仅供内部使用；如果您希望获得客户信任的代码签名证书，您将跳过步骤(a)并支付实际CA (其证书已被客户信任)来为您签名代码签名证书。

您首先创建(自签名) CA证书(a)，然后使用它签名代码签名证书(b)。

您可以跳过步骤(a)，而只是创建一个自签名的代码签名证书，但是创建自己的CA证书有一些好处：

• 这更接近于你可能会遇到的“野外”设置，其中一个代码签名证书(或几乎任何其他类型的证书)将由一个独立的、可信的颁发证书签名。
• 如果要生成多个证书并使用CA证书对其进行签名，则只需要将一个证书( CA)安装为“受信任的根”，并且可以更好地控制对它的访问。这限制了在您的证书必须被撤销时，您需要进行的滥用范围和损坏控制。

Answer 2

你为什么不试试呢？或者读文档。

第一个命令生成证书颁发机构，另一个证书链接到证书颁发机构。这是一个所谓的信任链，所以如果您信任CA证书，那么您可以信任由此构建的所有证书。

第二个命令根据CA证书生成证书。