关于如何“签署”Windows 可执行文件的问题已经被提出并回答了;但是,答案需要托管证书的持续费用。
我的公司已经有一个用于 WWW、电子邮件和版本控制的 VPS,所以在我看来,我们可以托管自己的证书,尽管可信度较低,但对于我们的客户来说仍然足够。
我们已经托管了一个 PEM 证书,顾问系统管理员为我们的电子邮件 (IMAP4) 托管设置了该证书;我们可以使用它吗?“签署”可执行文件和托管证书的程序是什么?据推测,托管证书的 URL 将嵌入到可执行文件的附加(“签名”)内容中。
问问题
147 次
1 回答
0
这是关于 ServerFault 的一个问题,它提供了一些关于您可以使用 PEM 具体做什么的详细信息(我认为复制/粘贴的内容比我认为要谨慎的要多得多)。
就自签名而言,是的,这是您可以做的事情,尽管不是微不足道的。除了设置它的工作之外,还会有一些持续的维护,这可能是一个真正的痛苦,特别是如果你不知道你做得很好的话。问题实际上有两个方面:
- 您的客户必须安装您的 VPS 的根 CA 证书,或者您必须为他们安装它。这有点侵入性,需要管理员。此外,如果您的根 CA 发生变化(它应该至少与过期一样频繁),您必须再次更新所有机器。
- 您对系统的安全性承担重大责任。如果您的 VPS 以某种方式受到损害,无论它是否被利用/渗透/欺骗都是一样的,攻击者可以冒充您的可执行文件给客户端。可以想象,这可能会产生灾难性的后果。
通常不建议在生产环境中使用自签名,尤其是对于外部客户。有太多的事情要知道,也有太多的方法可以搞砸它。
如果成本是一个问题,您应该查看Comodo 的代码签名证书产品。它们通常价格最优惠,而且非常可靠。 他们几年前被黑客入侵了,但是安全领域从那次事件中学到了很多东西,而 IMO 这并不是 Comodo 的错。
于 2013-05-21T04:48:10.660 回答