我们有一个代码签名证书,从 GlobalSign 购买用于 Authenticode 签名(他们称之为)。现在我们需要签署 Java 小程序和很快的 Adobe AIR 模块(小程序?)。问题是:从技术角度来看,如果它们是由同一个 CA(例如 Comodo 或 GlobalSign)颁发的,那么 Authenticode 证书和 Java 证书或 AIR 证书之间有什么区别吗?如果它们是可更换的,我认为购买不同的证书没有意义。
我了解证书的密钥使用字段必须相同(代码签名),但这些证书中的扩展代码使用或策略或其他扩展可能不同。如果拥有由一个 CA 颁发的两种或多种类型的代码签名证书的人可以帮我检查一下,我将不胜感激。
在http://www.adobe.com/devnet/air/articles/signing_air_applications.html上有一个明确的声明:
“开发人员可以使用任何 CA 提供的任何 3 类高保证证书来签署 Adobe AIR 应用程序。”
不幸的是,我找不到与 Java 类似的东西。但是,无论各种平台的最低证书要求如何,最好的办法可能是联系您现有的证书提供商,询问他们为这些平台提供的证书之间是否存在任何有意义的差异。
Verisign 网站上的一些废话表明,证书交付给购买者的格式是他们产品之间唯一真正的区别,但他们实际上并没有直接说明这一点,所以谁知道......?
根据我从 RFC 5280 收集的信息,密钥使用扩展只能决定证书是否可用于代码签名。RFC 中似乎没有任何内容可以限制您签署 Java 代码还是 AIR 或其他任何内容。这似乎意味着,如果您可以签署一段代码(或任何其他类型的非密钥数据),那么您可以签署任何代码。
也就是说,您的证书中可能存在特定于 CA 的扩展。如果没有看到证书,很难判断是否有限制。
从技术角度来看,只要客户端(即浏览器,如果我们谈论的是小程序)识别 CA 并且对您的密钥使用和证书类型(DIGITAL_SIGNATURE 和 OBJECT_SIGNING)的组合感到满意,那么您应该没问题。
似乎任何代码签名证书都适用于任何提到的平台。我向 GlobalSign 支持询问了差异 - 他们没有回应,但不久之后他们改变了他们的网页,现在你将购买一个适用于所有平台的代码签名证书。