为签署软件签发自己的证书

Question

我们有一个基于窗口的基础设施。最近，我们的软件开发人员问我，我们是否可以颁发我们自己的证书来签署一些我们要发送给合作伙伴的小程序。但我并不完全理解这样做的过程。我究竟应该为我们设置什么来签发和维护我们自己的软件签名证书呢？显然，由于一些安全考虑，软件必须签署。

从供应商(如Verisign )购买证书不是一种选择，据我所知，我们的证书不需要被信任。

通常是怎么做的？我在公司有一个基于Windows的基础设施。

Answer 1

您可以设置Microsoft证书颁发机构，但这可能无法实现您想要完成的任务。可以使用对在网络中使用的代码进行签名，因为您可以让所有机器信任证书颁发机构。这将不会帮助其他人信任您的应用程序作为开发人员，而不签署从供应商，如Verisign。

这里有一篇关于用内部PKI签署Windows 8应用程序的帖子，但这同样适用于内部应用程序，而不是外部应用程序。http://blogs.technet.com/b/deploymentguys/archive/2013/06/14/signing-windows-8-applications-using-an-internal-pki.aspx

Answer 2

我真的不认为你能够完成你想要的，没有一个适当的，公认的第三方代码签署证书。

维瑞信并不是此类证书的唯一发行人；四处逛逛，你会找到更好的价格。

至于签名过程，我使用manner的方式如下所述：https://stackoverflow.com/questions/2718776/how-do-i-sign-exes-and-dlls-with-my-code-signing-certificate

Answer 3

您肯定可以创建自己的CA，并将该CA提供给客户端，客户端必须将其作为可信CA安装到用于运行软件的所有计算机上。您将不得不管理(并非常严密地保护) CA密钥，并说服您的每个客户对您执行此操作(那些具有任何类似安全策略的用户都会断然拒绝)，并提供详细的说明，并提供支持。

如果您使用不受信任的证书，通常Windows比根本不对二进制文件进行签名会产生更多的噪音。

说真的，不要排除买这种东西的可能性。如果你和一个像StartCom这样的供应商合作，你可以每两年花120美元买一个。这比自己签字要便宜得多，即使你所有的员工都拿到了最低工资。