Подписание исполняемых файлов Windows с помощью собственного сертификата

Question

Подписание исполняемых файлов Windows с помощью собственного сертификата

Вопрос уже был задан и дан ответ о том, как можно "подписать" исполняемый файл Windows; однако для ответа требуется постоянный расход размещенного сертификата.

В моей компании уже есть VPS, который мы используем для WWW, электронной почты и контроля версий, поэтому мне кажется, что мы могли бы разместить собственный сертификат, хотя и с меньшей надежностью, но все же достаточный для наших клиентов.

Мы уже размещаем сертификат PEM, который сисадмин консультанта настроил для нашего хостинга электронной почты (IMAP4); Можем ли мы использовать это и какова будет процедура подписания исполняемого файла и размещения сертификата? Предположительно где-то URL размещенного сертификата будет встроен в то, что прикреплено ("подписано") к исполняемому файлу.

0

windows security code-signing self-hosting digital-certificate

Источник

user2155544 20 май '13 в 00:02

1 ответ

Решение

Другие вопросы по тегам windows security code-signing self-hosting digital-certificate

user2062384 21 май '13 в 04:48 2013-05-21 04:48 · Accepted Answer · 2013-05-21 04:48

Вот вопрос о ServerFault, в котором содержатся некоторые подробные сведения о том, что конкретно вы можете делать с PEM (я думаю, что было бы немного больше, чем было бы целесообразно копировать / вставлять).

Что касается самоподписания, да, это то, что вы можете сделать, хотя и не тривиально. В дополнение к настройке работы будет проводиться постоянное обслуживание, которое может быть настоящей болью, особенно если вы не знаете, что делаете очень хорошо. Проблема действительно двойная:

Ваши клиенты должны установить сертификат корневого CA вашего VPS, или вы должны установить его для них. Это несколько агрессивно и потребует администратора. Кроме того, если ваш корневой CA когда-либо изменится (по крайней мере, так часто, как истекает срок его действия), вам придется снова обновить все машины.
Вы принимаете на себя существенную ответственность за безопасность системы. Если ваш VPS каким-то образом скомпрометирован, независимо от того, используется ли он / подвергается проникновению / подделке, злоумышленник может выдать себя за исполняемый файл для клиента. Как вы можете себе представить, это может иметь катастрофические последствия.

Самостоятельная подпись обычно не рекомендуется для производственных сред, особенно с внешними клиентами. Слишком много нужно знать и слишком много способов облажаться.

Если стоимость является проблемой, вам следует ознакомиться с предложениями Comodo о подписи сертификатов. Они, как правило, лучшие по цене и довольно надежные. Они были взломаны несколько лет назад, но из этого инцидента стало известно многое из области безопасности, и, по мнению IMO, это не была вина Комодо.