Лучшая практика подписать установку InstallShield и включить промежуточные сертификаты

Question

Лучшая практика подписать установку InstallShield и включить промежуточные сертификаты

У меня есть сертификат thwte для подписи моей установки InstallShield. Когда мы обновили наш сертификат в этом году, теперь он зависит от промежуточного сертификата "подписывание кода thawte ca - g2".

Мы опасаемся, что у многих наших клиентов может не быть установлен этот промежуточный корневой сертификат (на самом деле наш собственный сервер сборки не имел его, и поэтому сборка начала давать сбой после обновления сертификата), и поэтому они получат ошибку "непроверенный издатель".

Какова лучшая практика для распространения этого промежуточного сертификата? Есть ли способ изменить путь сертификации, чтобы он зависел от более распространенного "подписания кода thawte"?

Я был бы очень признателен за любую помощь.

Спасибо Санджай

1

certificate installshield thawte

Источник

user762063 26 мар '12 в 08:47

2 ответа

Другие вопросы по тегам certificate installshield thawte

user762063 02 апр '12 в 06:58 2012-04-02 06:58 · Answer 1 · 2012-04-02 06:58

Я наконец понял проблему. Оказывается, есть возможность включить корни сертификатов в файл pfx при его экспорте. Следующее - то, что я следовал на своей машине Windows, где я установил сертификат, который я получил от thawte. 1. Откройте хранилище сертификатов из Пуск-> Выполнить->certmgr.msc. 2. Экспортируйте сертификат. 3. Убедитесь, что вы включили закрытый ключ. 4. Затем вы получаете возможность включить корневые сертификаты - по умолчанию эта опция не включена. Проверь это.

user200936 26 мар '12 в 10:58 2012-03-26 10:58 · Answer 2 · 2012-03-26 10:58

Micrsoft имеет доверенную корневую программу, которая в настоящее время содержит следующие члены:

Программа корневых сертификатов Windows - список участников (все центры сертификации)

Для приложений, распространяемых среди широкой публики, наилучшей практикой является получение сертификата подписи кода, подкрепленного одним из этих корней. Для внутренних корпоративных приложений (ИТ, DoD ectera) вы можете использовать другие при условии, что у вас есть средства вместо распространения корней для вашего сертификата. InstallShield в настоящее время не может сделать это напрямую, но это возможно с помощью пользовательских действий, которые вызывают классы CAPI / CAPICOM / .NET X509.

Кстати, когда вы смотрите на детали сертификата, посмотрите всю первую запись, чтобы узнать, кто является корнем. Например, мой сертификат говорит COMODO Code Signing 2, но выше, что он говорит USERTrust. Когда я просматриваю сертификат USERTrust, он говорит "UTN-UserFirst-Object". Это имя затем можно найти на веб-странице Microsoft, ссылка на которую приведена выше.