Невозможно подписать код с сертификатом подписи кода

Question

Мы приобрели сертификат Microsoft Authenticode у Thawte. Теперь у меня есть это в файле PFX. Я пробую следующее:

D:\sign>signtool sign /f ./cert/cert.pfx /p mypass /t http://timestamp.verisign.com/scripts/timstamp.dll "mySetup.exe"
Done Adding Additional Store
Successfully signed and timestamped: mySetup.exe

Но когда я запускаю mySetup.exe, он работает как без знака и показывает «Неизвестный издатель». Когда я проверяю файл EXE с помощью SignTool, я получаю следующее.

D:\sign>SignTool verify mySetup.exe
SignTool Error: WinVerifyTrust returned error: 0x800B010A
SignTool Error: File not valid: mySetup.exe

Number of errors: 1

Что не так?

Answer 1

Это может быть связано с тем, что Thawte использует промежуточный сертификат для подписи.Они считают, что это входит в лучшие практики , о которых я не буду спорить, так или иначе.

Однако с точки зрения конечного пользователя это может привести к осложнениям.Это известная проблема с решениями VSTO (Инструменты Visual Studio для Office), использующими ClickOnce, и может быть то, что вас здесь затрагивает.

Решение для решения этой проблемы, к сожалению, заключается в том, чтовам необходимо добавить соответствующий сертификат промежуточного ЦС на все компьютеры конечных пользователей:

разрешение

Обходной путь для решения этой проблемы - включить сертификат промежуточных центров сертификации на все компьютеры конечных пользователей, на которыхприложение будет установлено.На данный момент проблема сообщается только с обработкой сертификата Thawte и требует установки промежуточного сертификата Thawte на компьютере конечного пользователя.

Thawte предоставляет ссылки на соответствующие сертификаты CA для своих промежуточных сертификатов.