我有一个由 InstallJammer 构建的桌面应用程序。该应用程序没有问题,但是当它安装在用户机器上时,用户机器上的防病毒软件会停止我的应用程序创建的服务,因此它会停止与我的服务器通信。我需要将它列入白名单,这样它就不会被视为对机器的风险,并且防病毒软件不会阻止它。
到目前为止我所知道的是
我的问题:
在我实现了我想要的一切之后回答。
tl;博士;
对于直接阅读答案的人:
我有一个 Windows 安装程序(使用 InstallJammer 构建),它在用户的机器上创建 Windows 服务,这些服务经常被防病毒程序和防火墙列入黑名单。在浏览器中下载它也会显示如下图所示的消息。
出现这种情况是因为防病毒软件和防火墙无法识别您的代码(也就是说,它无法验证它是否来自可信赖的来源)。因此,它试图通过停止或不允许它通过网络通信来阻止下载或将服务(服务,因为我指的是我的应用程序)列入黑名单。
您需要通过代码签名证书验证您的代码(即对您的代码进行数字签名)(从这里开始将被称为 CSC)。这些证书由证书颁发机构提供(从这里开始将被称为 CA)。
CA 的一些示例是:Symantec(我使用的那个,因为我们从这个 CA 获得了用于 webapp 的 SSL 证书)、GlobalSign、DigiCert、Comodo 等)
此页面显示来自不同 CA 的 CSC 定价列表。
这是一个有点乏味的过程,因为它有一定的标准和规则要遵守。获取证书的过程通常需要几天时间。例如,验证过程需要将许可证副本和一些水电费账单传真给证书颁发机构,以合理证明我的身份。他们还验证电话号码,可能需要与代表交谈。(我对这个过程有点不确定,因为它是由我在美国的客户完成的)。
您需要将证书另存为 .p12 文件,然后该文件将用于签署您的代码。
Microsoft SDK 包含一个可用于签署代码的工具 (signtool.exe)(通常位于 C:\Program Files (x86)\Windows Kits\8.0\bin\x86,具体取决于安装的 SDK 版本,' 8.0' 在我们的机器上可能会有所不同。
如果您是新手,并且尚未达到在签名文件过程中需要自动化的时间(对签名代码模棱两可),或者有很少的文件要签名(最多 3 或 4 个)或有很多文件要签名签名并且是一个有足够时间的疯狂人,您可能想要使用DigiCert 提供的这个出色的实用程序,它提供了一个非常好的 UI(可能是讽刺)来签名并检查您的文件是否实际签名。谢谢 DigiCert 的人。
当然,最简单的过程是检查文件的属性是否包含数字签名选项卡。另一种方法是微软有工具可以检查你的代码是否经过数字签名,可以通过简单的谷歌搜索找到。
对于我构建的主要 Windows 可执行应用程序,它有相当多的二进制文件和可执行文件。所以我创建了一个批处理文件来执行以下签名和构建任务。(我使用 Microsoft 的 SignTool 从命令行对文件进行签名)
PS: 代码签名后,您的软件是否被列入白名单(通过杀毒软件和防火墙认证或验证)的成功和失败取决于您证书的声誉。此声誉是通过启发式方式确定的,良好的声誉意味着您的应用程序被阻止的可能性较小。
给潜伏在那里的 Geeky 人的提示 尝试购买时间最长的 CSC 订阅。这将帮助您避免证书翻转。
什么是证书翻转? 当您的旧证书过期并且您开始使用新的替换证书签署您的代码时,就会发生证书翻转;您通过旧证书获得的所有声誉可能会受到阻碍,因此您的新证书获得良好声誉可能会有时间延迟。
因此,对于您的 CSC 到期并且您希望避免意外的情况,您可能希望从一开始就使用时间戳对您的软件进行签名。谷歌搜索它(使用时间戳签名)会让你更聪明 5 英寸。
对于在整个过程中帮助过我的人、博客和网站;更多细节可以在Didier Stevens 的博客上找到。
有关这一切的详细说明以及所有 Web 开发人员的强大朋友 Internet Explorer 的智能过滤器可以在MSDN 博客上找到。