Лучшая практика для подписи установки InstallShield и включения промежуточных сертификатов

Question

У меня есть сертификат thwte для подписи моей установки InstallShield.Когда мы обновили наш сертификат в этом году, теперь он зависит от промежуточного сертификата «подпись кода thawte ca - g2».

Мы опасаемся, что у многих наших клиентов может не быть установлен этот промежуточный корневой сертификат (фактически, на нашем собственном сервере сборки его не было, и поэтому после обновления сертификата сборка не прошла), и поэтому они получатОшибка «непроверенный издатель».

Как лучше распространять этот промежуточный сертификат?Есть ли способ изменить путь сертификации, чтобы он зависел от более распространенного «подписания кода thawte»?

Я был бы очень признателен за любую помощь.

Answer 1

Я наконец понял проблему. Оказывается, есть возможность включить корни сертификатов в файл pfx при его экспорте. Следующее - то, что я следовал на своей машине Windows, где я установил сертификат, который я получил от thawte. 1. Откройте хранилище сертификатов из Пуск-> Выполнить-> certmgr.msc. 2. Экспортируйте сертификат. 3. Убедитесь, что вы включили закрытый ключ. 4. Затем вы получаете возможность включить корневые сертификаты - по умолчанию эта опция не включена. Проверьте это.

Answer 2

Micrsoft имеет доверенную корневую программу, которая в настоящее время содержит следующие члены:

Программа корневых сертификатов Windows - Список участников (все CA)

Для приложений, распространяемых надля широкой публики, лучшая практика - получить сертификат подписи кода, подкрепленный одним из этих корней.Для внутренних корпоративных приложений (ИТ, DoD ectera) вы можете использовать другие при условии, что у вас есть средства вместо распространения корней для вашего сертификата.InstallShield в настоящее время не может сделать это напрямую, но это возможно с помощью пользовательских действий, которые вызывают классы CAPI / CAPICOM / .NET X509.

Кстати, когда вы смотрите на детали сертификата, просмотрите весь путь до первой записи, чтобы узнатькто кореньНапример, мой сертификат говорит COMODO Code Signing 2, но выше, что он говорит USERTrust.Когда я просматриваю сертификат USERTrust, он говорит "UTN-UserFirst-Object".Затем это имя можно найти на веб-странице Microsoft, ссылка на которую приведена выше.