问题标签 [code-signing]

我有一个没有强名称的程序集。我没有它的源代码。

我现在需要签名。有没有办法做到这一点？

我们有一个 .net WPF 应用程序作为 XBAP 和桌面等运行。我没有签署任何程序集等。我的问题是

Q1. 我需要从 VeriSign, Inc. 或其他证书颁发机构购买什么样的数字证书。签署我的应用程序，将其用作 Authenticode 证书（在 clickonce 中）？

Q2.我可以使用此数字证书签署其他应用程序，如安装程序、程序集、pdf 等吗？

Q3. 一个数字证书对公司来说足够还是我必须购买其他？

Q4. 证书过期会怎样？（如果没有人会在您的应用程序文件夹或其他东西中破解并植入病毒，那么最好不要拥有它并搞砸自己？）

我编写了一个简单的 C# 控制台应用程序，它作为数据仓库负载的一部分由 SQL Server Integration Services 执行（在 Windows Server 2003 上）。

不幸的是，调用 .exe 的步骤失败了，因为显示了打开文件安全警告对话框“无法验证发布者。您确定要运行此软件”。

我想我需要签署我的控制台应用程序，但这对于内部应用程序来说似乎有点矫枉过正。我可以在无需获得外部认可的证书的情况下签名吗？

谢谢。

我想了解一些关于代码签名的最佳实践。我们有一个基于 Eclipse 的应用程序，并且认为对我们的插件进行签名是合适的。这引发了很多问题：

• 私钥可以/应该在源代码控制中吗？

• 我们应该将代码签名作为我们夜间构建过程的一部分还是作为我们发布过程的一部分？

• 代码是否应该自动签名，或者有理由为什么应该是手动步骤？

我倾向于说“是”、“每晚”和“自动”，但我可以看到只签署发布产品的论点。我什至可能会提出 SQA 应该在他们验证代码后对其进行签名的论点，尽管这确实会影响我们的发布过程。

其他人如何管理这个？

使用主要现代浏览器之一的用户如何确定他正在运行我未经修改的 JavaScript 代码，即使是在不受信任的网络上？

以下是有关我的情况的更多信息：

我有一个处理私人信息的网络应用程序。登录过程是密码验证密钥协议的实现在 JavaScript 中。基本上在登录期间，客户端和服务器之间会建立一个共享密钥。一旦用户登录，所有与服务器的通信都会使用共享密钥进行加密。系统必须能够安全抵御 ACTIVE 中间人攻击。假设我的实现是正确的并且用户足够聪明，不会成为网络钓鱼攻击的受害者，那么系统中只剩下一个大漏洞：攻击者可以在下载我的应用程序时篡改它并注入窃取密码的代码。基本上整个系统依赖于用户可以信任在他的机器上运行的代码这一事实。我想要类似于签名小程序的东西，但如果可能的话，我更喜欢纯 JavaScript 解决方案。

我想使用 jarsigner 对 jar 进行签名，然后使用 Java 应用程序对其进行验证，该应用程序没有将签名的 jar 作为其类路径的一部分（即仅使用 jar 的文件系统位置）

现在我的问题是从 jar 中获取签名文件，有没有一种简单的方法可以做到这一点？

我玩过 Inflater 和 Jar InputStreams 没有运气。

或者这是可以以更好的方式完成的事情？

谢谢

在提交到应用商店之前，我是否需要使用我的分发配置文件签署我的应用？还告诉我是否需要像我们在 ad hoc 中那样添加权利，或者只是使用应用商店分发配置文件构建？

如果您决定签署您的代码，您将需要：

• 信号码.exe
• 制作证书.exe
• cert2spc.exe
• pvk2pfx.exe

下载这些工具的最佳位置是什么？

有没有办法在不下载大量 Microsoft Windows SDK 的情况下做到这一点？

我在哪里可以获得免费的代码签名证书来签署我的应用程序？Ascertia 过去常常免费提供它们，但显然它们不再提供了。我的刚刚过期，我想再买一个？有任何想法吗？

是否可以使用服务器证书来签署 java web start 应用程序？我想知道的是它是否会起作用。我的服务器有一个受信任的证书，我想重用相同的证书来签署应用程序。

现在，我有这个警告：

此 jar 包含签名者证书的 ExtendedKeyUsage 扩展不允许代码签名的条目。此 jar 包含签名者证书的 NetscapeCertType 扩展不允许代码签名的条目。

我是否能够在没有证书不受信任的警告的情况下启动我的应用程序？