我正在为之工作的公司正在开发ClickOnce应用程序。直到最近我才忽略了通知
未知发布商。你确定要运行..因为它仅在内部使用。
现在应用程序已准备好进行产品发布,我们开始考虑进行认证。讨论是这样的。我们的产品需要安装在客户的服务器上。客户获得自己的应用程序副本并在本地启动它们。我们有正式的公司证书,但必须安装它的人说这是不安全的,因为安装在客户现场进行,我们不应该提供我们的官方公司证书,因为它可能被滥用。
我对这些东西并不熟悉,所以我想知道是否有可能存在'客户'证书,所以它只能用于运行程序而不能签署应用程序本身?
答案 0 :(得分:0)
您是否意味着另一家公司希望将您的软件发布到他们的服务器上,以便员工可以安装它?在这种情况下,这个人是对的,你不应该将你的证书或其密钥提供给另一家公司发布。如果您购买了证书,它会链接到您,并且您对使用该证书签名的任何内容负最终责任。将此信息提供给另一家公司会使您感到脆弱。
如果另一家公司有IT部门,他们可以为其域名制作证书,并将其作为受信任的权限链接回来。或者他们可以买一个并用它重新签署部署。或者他们可以为您提供安装URL,您可以填写它并使用您的证书进行签名,他们可以将部署文件放在Web服务器上
注意:您在运行时不需要证书。它在发布时用于签署部署文件。当用户安装该部署时,它将看到它已签名并且它链回到证书颁发机构并显示公司的名称而不是“未知发布者”。