以前我们有一个代码签名证书,每件事都运行正常。最近证书已过期,因此我们从Comodo获得了新证书,并发布了该证书的新版本。
所以这就是问题:软件包系列名称已更改为新的证书,因此我无法使用新证书打包的新版本升级旧的已安装应用程序。
需要解决方案才能将Package Family Name维持为常量或新证书,我们还需要为旧版应用程序提供升级。
我们如何实现这一目标?
从PowerShell升级包时出现错误信息:
Add-AppxPackage : Deployment failed with HRESULT: 0x80073CF3, Package failed updates, dependency or conflict validation. Windows cannot install package df70dbc9-455c-4c32-b052-7ac2943630b7_1.0.193.1_x64__qbsrcgy0j364g because a different package df70dbc9-455c-4c32-b052-7ac2943630b7_1.0.0.191_x64__hs446qhh7vdt4 with the same name is already installed. Remove package df70dbc9-455c-4c32-b052-7ac2943630b7_1.0.0.191_x64__hs446qhh7vdt4 before installing. NOTE: For additional information, look for [ActivityId] b0deec37-ac10-0001-81fd-deb010acd101 in the Event Log or use the command line Get-AppxLog -ActivityID b0deec37-ac10-0001-81fd-deb010acd101 At C:\Users\\Desktop\\myappName_1.0.193.1_x64_Test\Add-AppDevPackage.ps1:388 char:13 + Add-AppxPackage -Path $DeveloperPackagePath.FullName -DependencyPath ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : WriteError: (C:\Users\myuser....193.1_x64.appx:String) [Add-AppxPackage], IOException + FullyQualifiedErrorId : DeploymentError,Microsoft.Windows.Appx.PackageManager.Commands.AddAppxPackageCommand Error: Could not install the app.
答案 0 :(得分:5)
包名称系列名称(PFN)后缀(在您的情况下为hs446qhh7vdt4
)是证书的主题(AKA 主题名称)的哈希值:
certutil -dump foo.pfx
Enter PFX password:
================ Certificate 0 ================
================ Begin Nesting Level 1 ================
Element 0:
Serial Number: xxxxxxxxxxxxxxxxx
Issuer: CN=Microsoft, O=Contoso, L=Redmond, S=Washington, C=US
NotBefore: 11/1/2016 12:00 AM
NotAfter: 11/1/2017 12:00 AM
Subject: CN=Microsoft, O=Contoso, L=Redmond, S=Washington, C=US <== THIS IS HASHED
如果您确保生成的新证书具有相同的主题,您将获得相同的PFN。请注意,您可能无法从Visual Studio中生成商店证书(在撰写本文时,它无法解析复杂的主题,如上面的多个'部分',如CN=X
,O=Y
)。在这种情况下,您必须创建自己的,但必须符合store validations。
幸运的是,有一个简单的命令可以生成您需要的确切证书。打开Visual Studio开发人员提示并运行(一行):
makecert -sv foo.pvk -n "CN=Contoso, O=Contoso, L=Redmond, S=Washington, C=US"
foo.cer -b 11/01/2016 -e 11/01/2017 -r -cy end -a sha256 -eku 1.3.6.1.5.5.7.3.3
确保更换有效日期(相隔不超过一年!)以及主题(使用certutil -dump
从您之前的证书中获取)。输出证书(cer
)和私钥(pvk
)的名称毫无意义。该命令将生成foo.pvk
和foo.cer
,然后您就可以将其组合为pfx,如下所示:
PVK2PFX -pvk foo.pvk -spc foo.cer -pfx foo.pfx
高级生成的另一种选择
如果您有更高级的证书要求,您应该能够使用certreq
(但尚未对其进行测试)。使用以下内容创建名为cert.inf
的文件:
[Version]
Signature = "$Windows NT$"
[Strings]
szOID_ENHANCED_KEY_USAGE = "2.5.29.37"
szOID_CODE_SIGNING = "1.3.6.1.5.5.7.3.3"
szOID_BASIC_CONSTRAINTS2 = "2.5.29.19"
[NewRequest]
Subject = "CN=Contoso, O=Contoso, L=Redmond, S=Washington, C=US"
Exportable = true
HashAlgorithm = Sha256
KeyLength = 2048
RequestType = Cert
ValidityPeriod = "Years"
ValidityPeriodUnits = "1"
[Extensions]
%szOID_ENHANCED_KEY_USAGE% = "{text}%szOID_CODE_SIGNING%"
%szOID_BASIC_CONSTRAINTS2% = "{text}"
替换主题和有效期,并根据文档调整所需的任何高级设置(或更有可能在网络上找到)。然后执行以下操作:
certreq -new cert.inf cert.cer
cert.cer
并将其安装到受信任的根证书颁发机构商店(用户或计算机)。certreq -accept -user cert.cer
或certreq -accept -machine cert.cer
(取决于您在上一步中选择的商店)。certutil -exportpfx -p "YOUR_PFX_PASS" my SERIAL_NUMBER foo.pfx
(将密码和序列号替换为实际值)您现在应该有一个有效的商店pfx。
更高级代的另一种选择
使用OpenSSL。很确定它可以做到以上所有以及更多,但我没有亲自尝试过,所以你必须弄明白 - 并希望一旦你做到这一点就分享到这里!