關於Installshield中的代碼簽名證書

Question

我遇到過非常少的文獻，沒有導出私鑰就使用代碼簽名證書。因此，請求一些關於在installshield 2013中包含代碼簽名證書的基本信息來簽署我們的setup.exe文件。 因此，它是這樣的... 我們有一個賽門鐵克和/或威瑞信的證書，幾天前過期。所以我們從他們那裏獲得了一個新的證書，這是一個SHA-256證書。但是，他們不會釋放私鑰。因此，我們無法生成曾經包含在我們的installshield中的.pfx文件。他們說，在使用installshield進行代碼簽名時，需要連接到計算機的加密狗才能完成私鑰驗證。我不太明白他們的意思。但是，顯然他們希望我們連接加密狗以進行私鑰驗證。因此，如果我沒有pfx文件，我如何使用installshield 2013實現代碼簽名？我還在網上讀到，對SHA-256證書的支持在2013年不可用，並且人們不得不遷移到2015年或以上才能做到這一點。所以我們遇到了這個問題的障礙，我們的自動構建過程失敗了。因此，要求你提供任何指示，告訴我們如何完成這件事。 感謝和問候， Bhushan。

Answer 1

InstallShield 2015左右增加了對使用證書存儲區中的證書進行簽名的支持。在此之前，一些人有intercepted the call to signtool，他們自己調用真正的signtool或它調用的API。這應該讓您可以自由使用基於加密狗的私鑰或其他任何您需要的東西。

（不利的一面，2015年的InstallShield的，後來實施不會讓你做這種攔截伎倆。）

Answer 2

好... ...它是這樣的......我們有權利問題。按照賽門鐵克的規定，只有證書所有者才能使用他的管理員權限在他的機器上生成一個私鑰，並且也使用IE 11瀏覽器。現在的問題是，證書請求會轉到幫助臺門戶，等待批准，然後在必要的批准後轉發給賽門鐵克。看起來批准者必須充當所有者，即使請求團隊已經爲該證書付款。這很奇怪，但真實。因此，第一手接收所有證書的人必須下載證書，將證書和私鑰一起導出到.pfx文件中，然後將.pfx發送給我們！同時，我是否有可能從瀏覽器運行導出證書嚮導，並且導出.pfx選項被禁用僅僅是因爲用戶啓動了權限不足的瀏覽器？我如何確認這是一個權利問題？謝謝。

Answer 3

除此之外，我只是有一個關於簽名的非常普遍的問題。問題是，即使我知道代碼簽名是什麼，一些應用程序可能絕對需要它，但我並不認爲對基於Windows的桌面應用程序有很大的需求。我可能在這方面是錯誤的。但是，我所看到的所有文獻都指出，出版的權威應該是值得信賴的。現在，我們作爲一個團隊負責一套桌面應用程序，這些桌面應用程序使用installshield進行打包，並由Symantec SHA 256類證書籤署代碼。我們只簽署set.exe文件，因此它會向安裝我們軟件的用戶顯示典型的信任提示。我們的用戶是一個相當緊密的客戶羣體，很容易接近。另外，我沒有看到我們的網絡被攔截並被黑客篡改安裝內容的風險。在這種情況下，證書是否合理？ 我也有一些關於SignTool的問題。我知道我們的證書籤名目前失敗，因爲我們還沒有爲其獲取私鑰。但是，時間戳驗證也失敗了我爲測試目的而生成的自簽名證書。所以我需要了解當Signtool被調用時，在installshield中做什麼時間戳？ Installshield是一個很好的產品;但是Flexera提供的支持性文檔相當可悲。謝謝。