我使用WIX工具集生成MSI文件,然后将它们放在一个捆绑包中。 然后,我从捆绑包和捆绑包本身中签名(wix manual)引擎:
insignia -ib bundle.exe -o engine.exe
signtool sign /v /f test_cert.pfx /p pass1234 /t http://timestamp.globalsign.com/scripts/timstamp.dll engine.exe
insignia -ab engine.exe bundle.exe -o bundle.exe
signtool sign /v /f test_cert.pfx /p pass1234 /t http://timestamp.globalsign.com/scripts/timstamp.dll bundle.exe
我看到一些描述该过程的帖子,它们还包括对所有MSI和cabs文件进行签名。我想知道是否足以签署引擎和捆绑包而不是MSI文件。有什么后果?推荐的方法是什么?
答案 0 :(得分:3)
是的,仅对Bundle进行签名就足够了。捆绑包包含已链接包装的散列,以确保在运输或安装期间不会篡改包装。该捆绑软件的行为类似于其包含文件的目录文件。
通常,Our recommendation不会 麻烦签署捆绑包以外的任何东西,除非您出于某些其他原因(例如基于GPO的部署)必须直接将MSI交付给客户。