0

已經詢問並回答了有關如何「簽署」Windows可執行文件的問題;但是,答案需要持續支付託管證書的費用。使用自託管證書籤署Windows可執行文件

我的公司已經有了一個用於WWW,電子郵件和版本控制的VPS,所以在我看來我們可以託管我們自己的證書,儘管信任度較低,但仍然足以滿足我們的客戶。

我們已經主持了顧問系統管理員爲我們的電子郵件(IMAP4)託管設置的PEM證書;我們是否可以使用它,以及「簽署」可執行文件和託管證書的過程是什麼?據推測,託管證書的URL將被嵌入到附件('簽名')的可執行文件中。

回答

0

這裏是a question on ServerFault that provides some good details on what specifically you can do with PEM(這裏有比我認爲複製/粘貼更謹慎的東西)。

至於自我簽名,是的,這是你可以做的事情,儘管並不平凡。除了設置它的工作之外,還有一些持續的維護可能是一個真正的痛苦,特別是如果你不知道自己做得很好的話。這個問題實際上是兩個方面:

  1. 你的客戶端必須安裝您的VPS的根CA證書,或者您必須安裝它他們。這有點侵入性,需要管理員。此外,如果您的根CA發生更改(至少應該過期),您必須重新更新所有機器。
  2. 您承擔系統安全性的重大責任。如果您的VPS以某種方式受到攻擊,它是否被利用/侵入/欺騙都是一樣的,攻擊者可以將您的可執行文件模仿給客戶端。如你所想,這可能會造成災難性的後果。

自簽名一般建議在生產環境中,特別是與外部客戶。有太多的知道和太多的方法搞砸了。

如果成本是一個問題,你應該檢查出Comodo's code signing certificate offerings。他們通常是最好的價格和相當可靠的。 They were hacked a copule years ago,但是從該事件中學到了很多安全領域,IMO並不是Comodo的錯。

相關問題