Нужно ли устанавливать сертификат промежуточной подписи кода для приложения XBAP / ClickOnce полного доверия?

Question

Мы создаем приложение Full-Trust XBAP, и оно должно быть установлено / выполнено удаленно за пределами домена клиента. Для этого мы приобрели сертификат подписи кода Thawte. Мы использовали spc и pvk из Thawte для создания файла pfx для подписи кода в VS 2008 на нашей XBAP.

Мы импортируем pvx / cert на каждый из компьютеров наших пользователей в их хранилища Trusted Publishers и Trusted Root Certification Authorities по мере необходимости для выполнения XBAP с полным доверием. Однако каждый пользователь не может загрузить / выполнить XBAP из-за «не предоставления привилегий приложению XBAP». что свидетельствует о том, что сертификат не устанавливается.

Мы можем решить эту проблему, импортировав сертификат CA для подписи кода Thawte с веб-сайта Thawte на компьютер каждого пользователя. Нам нужно знать, является ли это правильным методом для этого или мы что-то упускаем при использовании сертификатов подписи кода Thawte для приложений XBAP / ClickOnce. Нужно ли устанавливать этот промежуточный сертификат Thawte на каждую машину? Или есть обходной путь, чтобы наш базовый pvx / cert работал один?

Answer 1

Я бы начал с проверки того, что ваше приложение WPF подписано так:

Как вы можете видеть, моя заявка подписана с моим пользовательским сертификатом, срок действия которого истекает через 100 лет.

Затем вам, как вы заявили, необходимо установить сертификат в хранилище сертификатов каждого пользователя в Доверенных издателях и Доверенные корневые центры сертификации . Это позволяет системе пользователей подтвердить, что у них есть разрешение на доступ к приложению.