我刚刚为我将从我的网站分发的应用程序创建了一个msi安装程序。我使用openSSL对msi进行了数字签名。现在我的问题是:如何打包msi以便它可以安装在用户手册上。电脑?我应该向用户发送我通过电子邮件创建的证书,以便他可以运行msi吗?在这种情况下,哪个是做事的首选程序?
答案 0 :(得分:0)
这实际上取决于您要通过签署MSI来完成的任务。如果你只是想让它安装,你已经完成了; Windows不允许安装未签名的MSI文件。如果您尝试获得绿色UAC提示,则签名证书需要是可验证的。这可以通过适当地购买证书,或者在每台目标计算机上安装自签名证书或其根目录来完成。 (后者在企业内部对于企业自己签署的项目很常见。)
但是,如果你真的想要确保安全,那么你很快就会遇到鸡与蛋的问题。使用颁发给X的证书签名的文件应该确认来自X的位,并允许用户确定X是否值得信任。部分原因是要知道没有其他人可以使用声称已经发给X的证书。如果您使用的是自签名证书,或者是自签名根证书,则没有内置的身份验证链。 (这不再是摩根的孩子的室友;相反,它只是某个人的室友。)
如何安全地向用户提供识别信息,例如根证书?他们怎么能确定它不是一个信任假X的恶意版本? (当没有人认识他的时候你怎么介绍摩根,没有得到一些自称为摩根的墨菲家伙?)在上面提到的企业场景之外,或者从付费证书开始的方式,我不知道有什么好处方式。