在没有导出私钥的情况下,我很少使用代码签名证书。因此,请求在installshield 2013中包含代码签名证书的一些基本信息以签署我们的setup.exe文件。 就这样...... 我们获得了Symantec和/或Verisign的证书,该证书几天前已过期。所以我们从他们那里获得了一张SHA-256证书的新证书。但是,他们不会发布私钥。因此,我们无法生成曾经包含在我们的installshield中的.pfx文件。他们说,在这里,谁想要使用installshield进行代码签名需要连接到计算机的加密狗才能完成私钥验证。我不太明白他们的意思。但是,很明显,他们希望我们连接加密狗以进行私钥验证。因此,如果我没有pfx文件,我如何使用installshield 2013实现代码签名?我还在网上看到,对于SHA-256证书的支持在2013年没有提供,并且必须迁移到2015年或更高版本以执行此类操作。所以我们遇到了这个问题,我们的自动构建过程失败了。 因此,请您提供关于我们如何完成这项工作的任何指示。 感谢致敬, 普山。
答案 0 :(得分:1)
InstallShield 2015左右添加了使用证书库中的证书进行签名的支持。在此之前,有些人有intercepted the call to signtool,他们自己调用真正的signtool或它调用的API。这可以让您自由使用基于加密狗的私钥或其他任何需要的东西。
(不利的一面是,InstallShield 2015和更高版本的实现不会让你做这个拦截技巧。)
答案 1 :(得分:0)
好的......就这样......我们有权利问题。根据赛门铁克,只有作为证书所有者的人才能使用其管理员权限在其计算机上生成私钥,并且使用IE 11浏览器也是如此。现在的问题是,证书请求进入服务台门户,等待批准,然后在必要的批准后转发给赛门铁克。看起来审批者必须充当所有者,即使请求团队已经为证书付款。这很奇怪,但却是真的。因此,亲自获得所有证书的人必须下载证书,将证书与私钥一起导出到.pfx文件中,然后将.pfx发送给我们!同时,是否有可能从浏览器运行导出证书向导并且导出.pfx选项被禁用只是因为用户启动了浏览器没有足够的权限?我如何确认这是一项供股问题?谢谢。
答案 2 :(得分:0)
除此之外,我还有一个关于签名的非常笼统的问题。问题是,即使我知道代码签名是什么,而某些应用程序可能绝对需要它,我也不认为对基于Windows的桌面应用程序有很大的需求。我可能错了。但是,我看到的所有文献都指出,发布的权威应该是值得信赖的。现在,我们作为一个团队负责使用installshield和由Symantec SHA 256类证书签名的代码打包的一套桌面应用程序。我们只签署set.exe文件,因此它向安装我们软件的用户显示典型的信任提示。我们的用户是一个相当紧密的客户群,很容易接近。此外,我没有看到我们的网络被截获和黑客入侵以篡改设置内容的风险。在这种情况下,证书是否合理? 我对SignTool也有一些问题。我知道我们的证书签名目前失败了,因为我们还没有为它购买私钥。但是,对于我为测试目的生成的自签名证书,时间戳验证也失败了。所以我需要了解调用Signtool时在installshield中的时间戳究竟是什么? Installshield是一个很好的产品;但是,Flexera提供的支持文档相当可怜。谢谢。