使用自託管證書籤署Windows可執行文件

Question

已經詢問並回答了有關如何「簽署」Windows可執行文件的問題;但是，答案需要持續支付託管證書的費用。

我的公司已經有了一個用於WWW，電子郵件和版本控制的VPS，所以在我看來我們可以託管我們自己的證書，儘管信任度較低，但仍然足以滿足我們的客戶。

我們已經主持了顧問系統管理員爲我們的電子郵件（IMAP4）託管設置的PEM證書;我們是否可以使用它，以及「簽署」可執行文件和託管證書的過程是什麼？據推測，託管證書的URL將被嵌入到附件（'簽名'）的可執行文件中。

Answer 1

這裏是a question on ServerFault that provides some good details on what specifically you can do with PEM（這裏有比我認爲複製/粘貼更謹慎的東西）。

至於自我簽名，是的，這是你可以做的事情，儘管並不平凡。除了設置它的工作之外，還有一些持續的維護可能是一個真正的痛苦，特別是如果你不知道自己做得很好的話。這個問題實際上是兩個方面：

1. 你的客戶端必須安裝您的VPS的根CA證書，或者您必須安裝它他們。這有點侵入性，需要管理員。此外，如果您的根CA發生更改（至少應該過期），您必須重新更新所有機器。
2. 您承擔系統安全性的重大責任。如果您的VPS以某種方式受到攻擊，它是否被利用/侵入/欺騙都是一樣的，攻擊者可以將您的可執行文件模仿給客戶端。如你所想，這可能會造成災難性的後果。

自簽名一般不建議在生產環境中，特別是與外部客戶。有太多的知道和太多的方法搞砸了。

如果成本是一個問題，你應該檢查出Comodo's code signing certificate offerings。他們通常是最好的價格和相當可靠的。 They were hacked a copule years ago，但是從該事件中學到了很多安全領域，IMO並不是Comodo的錯。