使用自托管证书对Windows可执行文件进行签名

Question

这个问题已经被问到并回答了如何“签署”Windows可执行文件;但是，答案需要持续支付托管证书的费用。

我的公司已经有一个VPS，我们用它来进行WWW，电子邮件和版本控制，所以在我看来，我们可以托管我们自己的证书，虽然信任度相当低，但对我们的客户来说仍然足够。

我们已经托管了一份顾问系统管理员为我们的电子邮件（IMAP4）托管设置的PEM证书;我们可以使用它，以及“签署”可执行文件和托管证书的程序是什么？据推测，托管证书的URL将嵌入到可执行文件附加（“签名”）的内容中。

Answer 1

这里是a question on ServerFault that provides some good details on what specifically you can do with PEM（比我认为复制/粘贴更谨慎）。

就自我签名而言，是的，这是你可以做的事情，虽然不是微不足道的。除了工作设置之外，还会有一些持续的维护，这可能是一个真正的痛苦，特别是如果你不知道你做得很好。问题实际上是双重的：

1. 您的客户必须安装VPS的根CA证书，或者您必须为它们安装它。这有点侵入性，需要管理员。此外，如果您的根CA发生变化（至少应该过期），您必须再次更新所有计算机。
2. 您对系统的安全性承担重大责任。如果您的VPS以某种方式受到攻击，无论是被利用/渗透/欺骗是否完全相同，攻击者都可以将您的可执行文件模拟到客户端。你可以想象，这可能会带来灾难性的后果。

自我签名通常不建议用于生产环境，特别是对于外部客户。有太多的知识和太多的方法搞砸了。

如果费用有问题，您应该查看Comodo's code signing certificate offerings。它们通常价格最优惠且非常可靠。 They were hacked a copule years ago，但是从那次事件中获得了很多安全领域，IMO并不是Comodo的错。