使用新代码签名证书更改了包系列名称

时间:2016-05-12 07:03:45

标签: powershell windows-8 windows-runtime sideloading

以前我们有一个代码签名证书,每件事都运行正常。最近证书已过期,因此我们从Comodo获得了新证书,并发布了该证书的新版本。

所以这就是问题:软件包系列名称已更改为新的证书,因此我无法使用新证书打包的新版本升级旧的已安装应用程序。

需要解决方案才能将Package Family Name维持为常量或新证书,我们还需要为旧版应用程序提供升级。

我们如何实现这一目标?

从PowerShell升级包时出现错误信息:

Add-AppxPackage : Deployment failed with HRESULT: 0x80073CF3, Package failed
updates, dependency or conflict validation.
Windows cannot install package df70dbc9-455c-4c32-b052-7ac2943630b7_1.0.193.1_x64__qbsrcgy0j364g
because a different package df70dbc9-455c-4c32-b052-7ac2943630b7_1.0.0.191_x64__hs446qhh7vdt4
with the same name is already installed. Remove package
df70dbc9-455c-4c32-b052-7ac2943630b7_1.0.0.191_x64__hs446qhh7vdt4 before
installing.
NOTE: For additional information, look for [ActivityId]
b0deec37-ac10-0001-81fd-deb010acd101 in the Event Log or use the command line
Get-AppxLog -ActivityID b0deec37-ac10-0001-81fd-deb010acd101
At C:\Users\\Desktop\\myappName_1.0.193.1_x64_Test\Add-AppDevPackage.ps1:388 char:13
+             Add-AppxPackage -Path $DeveloperPackagePath.FullName -DependencyPath ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : WriteError: (C:\Users\myuser....193.1_x64.appx:String) [Add-AppxPackage], IOException
    + FullyQualifiedErrorId : DeploymentError,Microsoft.Windows.Appx.PackageManager.Commands.AddAppxPackageCommand
Error: Could not install the app.

1 个答案:

答案 0 :(得分:5)

包名称系列名称(PFN)后缀(在您的情况下为hs446qhh7vdt4)是证书的主题(AKA 主题名称)的哈希值:

certutil -dump foo.pfx
Enter PFX password:
================ Certificate 0 ================
================ Begin Nesting Level 1 ================
Element 0:
Serial Number: xxxxxxxxxxxxxxxxx
Issuer: CN=Microsoft, O=Contoso, L=Redmond, S=Washington, C=US
 NotBefore: 11/1/2016 12:00 AM
 NotAfter: 11/1/2017 12:00 AM
Subject: CN=Microsoft, O=Contoso, L=Redmond, S=Washington, C=US <== THIS IS HASHED

如果您确保生成的新证书具有相同的主题,您将获得相同的PFN。请注意,您可能无法从Visual Studio中生成商店证书(在撰写本文时,它无法解析复杂的主题,如上面的多个'部分',如CN=XO=Y )。在这种情况下,您必须创建自己的,但必须符合store validations

幸运的是,有一个简单的命令可以生成您需要的确切证书。打开Visual Studio开发人员提示并运行(一行):

makecert -sv foo.pvk -n "CN=Contoso, O=Contoso, L=Redmond, S=Washington, C=US" 
    foo.cer -b 11/01/2016 -e 11/01/2017 -r -cy end -a sha256 -eku 1.3.6.1.5.5.7.3.3

确保更换有效日期(相隔不超过一年!)以及主题(使用certutil -dump从您之前的证书中获取)。输出证书(cer)和私钥(pvk)的名称毫无意义。该命令将生成foo.pvkfoo.cer,然后您就可以将其组合为pfx,如下所示:

PVK2PFX -pvk foo.pvk -spc foo.cer -pfx foo.pfx

高级生成的另一种选择

如果您有更高级的证书要求,您应该能够使用certreq(但尚未对其进行测试)。使用以下内容创建名为cert.inf的文件:

[Version]
Signature = "$Windows NT$"

[Strings]
szOID_ENHANCED_KEY_USAGE = "2.5.29.37"
szOID_CODE_SIGNING = "1.3.6.1.5.5.7.3.3"
szOID_BASIC_CONSTRAINTS2 = "2.5.29.19"

[NewRequest]
Subject = "CN=Contoso, O=Contoso, L=Redmond, S=Washington, C=US"
Exportable = true
HashAlgorithm = Sha256
KeyLength = 2048
RequestType = Cert
ValidityPeriod = "Years"
ValidityPeriodUnits = "1"

[Extensions]
%szOID_ENHANCED_KEY_USAGE% = "{text}%szOID_CODE_SIGNING%"
%szOID_BASIC_CONSTRAINTS2% = "{text}"

替换主题和有效期,并根据文档调整所需的任何高级设置(或更有可能在网络上找到)。然后执行以下操作:

  1. certreq -new cert.inf cert.cer
  2. 双击生成的cert.cer并将其安装到受信任的根证书颁发机构商店(用户或计算机)。
  3. certreq -accept -user cert.cercertreq -accept -machine cert.cer(取决于您在上一步中选择的商店)。
  4. 转到证书管理器中的个人存储区(用户或计算机范围,具体取决于您上面提到的内容)并找到刚安装的证书。双击它并从详细信息选项卡中复制序列号(我在这里遇到了一些巫术,其中证书只会在很长一段时间后出现,或者在我安装了不同的证书(具有不同的科目名称)之后。
  5. certutil -exportpfx -p "YOUR_PFX_PASS" my SERIAL_NUMBER foo.pfx(将密码和序列号替换为实际值)
  6. 您现在应该有一个有效的商店pfx。

    更高级代的另一种选择

    使用OpenSSL。很确定它可以做到以上所有以及更多,但我没有亲自尝试过,所以你必须弄明白 - 并希望一旦你做到这一点就分享到这里!