我在Visual Studio上使用ClickOnce发布了一个基本的未签名Windows窗体应用程序。我拿了.exe文件和.exe.config文件并将其移动到桌面上的文件夹中。我使用合法的digiCert签名工具签署了.exe文件,然后使用MageUI创建了应用程序清单和部署清单,并使用相同的签名工具对其进行了签名。我将所有文件移动到了我希望用户从中下载的FTP服务器。当我在浏览器中输入URL时,一切正常,但它会提示我安装,并且它说发布者是未知的。单击安装后,应用程序将按预期运行。
此外,我已将证书添加到Trusted Publisher存储,并验证我的证书的颁发者是否位于中间证书颁发机构存储中,并且其颁发者位于根证书颁发机构存储中。
我还使用记事本打开了部署和应用程序清单,并且可以看到我的签名,我可以通过右键单击并选择属性,然后选择签名选项卡来查看我的.exe文件。
我已按照本网站中列出的步骤进行操作:https://robindotnet.wordpress.com/2013/02/24/windows-8-and-clickonce-the-definitive-answer-2/
我使用了:“#1:签署应用程序可执行文件后发布。”脚步。
所以我的主要问题是,当我下载并运行.application文件时,为什么说发布者是未知的?
注意:SmartScreen筛选器未将我的应用程序视为不安全
答案 0 :(得分:1)
我(遗憾地)有同样的问题。
自2016年1月1日起,Microsoft不再接受SHA-1证书: Windows Enforcement of Autheticode:
代码签名证书:Windows将不再信任具有使用SHA-1代码签名证书签名的Web标记属性的文件,并且在2016年1月1日之后加上时间戳。除了向打算仅开发Windows Vista,Windows Server 2008应用程序的开发人员颁发证书之外,CA可能不会在2016年1月1日之后颁发新的SHA-1代码签名证书。
我尝试使用SHA256哈希和SHA2时间戳证书进行签名,但这还不够。我无法理解的是,为什么无符号的exe被证明比智能屏幕中签名的SHA1 exe更安全!
答案 1 :(得分:0)
另一个答案告诉您正在发生的事情,这是对我有用的。我将其他人的工作集中到了我的CI管道上,但是该脚本可以以任何容量使用: