部署自签名msi

Question

我刚刚创建了一个应用程序的msi安装程序，我将从我的网站分发。我使用openSSL对msi进行了数字签名。现在我的问题是:如何打包msi，以便将其安装在用户的计算机上？我是否应该向用户发送我通过电子邮件创建的证书，以便他能够运行msi？在这种情况下，做事情的首选程序是哪一种？

Answer 1

这实际上取决于您试图通过签署MSI来完成什么。如果您只想让它安装，您已经完成了；Windows不允许安装未签名的MSI文件。如果您试图获得绿色UAC提示，则签名证书需要进行验证。这可以通过适当购买证书，或者通过在每台目标计算机上安装自签名证书或其根目录来实现。(对于企业本身签署的项目，后者在企业内部很常见。)

然而，如果你真的想确保安全，你很快就会遇到鸡和蛋的问题。使用颁发给X的证书签名的文件应该确认来自X的位，并允许用户判断X是否值得信任。这其中的一部分要求知道没有其他人可以使用声称已颁发给X的证书。如果您使用的是自签名证书，或者是由自签名根颁发的证书，则没有内置的身份验证链。(它不再是摩根的孩子的室友，而是某人的室友。)

如何安全地向用户获取标识信息(如根证书)？他们怎么能确定这不是一个信任假X的恶意版本呢？(在没有人认识摩根的情况下，你如何介绍摩根，却没有一个自称摩根的墨菲伙伴？)在我提到的企业场景之外，或者从付费证书开始的方式之外，我不知道有什么好的方法。