Должен ли я подписывать связку и / или все файлы MSI?WIX

Question

Я использую набор инструментов WIX для генерации MSI-файлов, а затем помещаю их в один пакет.Затем я подписываю (руководство по wix) движок из пакета и сам пакет:

insignia -ib bundle.exe -o engine.exe
signtool sign /v /f test_cert.pfx /p pass1234 /t http://timestamp.globalsign.com/scripts/timstamp.dll engine.exe
insignia -ab engine.exe bundle.exe -o bundle.exe
signtool sign /v /f test_cert.pfx /p pass1234 /t http://timestamp.globalsign.com/scripts/timstamp.dll bundle.exe

Я видел несколько постов, описывающих процесс, и они включали подпись всех файлов MSI и cabs какЧто ж.Интересно, достаточно ли подписать движок и комплект, а не файлы MSI.Каковы последствия?Какой рекомендуемый способ?

Answer 1

Да, достаточно подписать только Пакет. Пакет содержит хэши связанных пакетов, чтобы гарантировать, что ничто не повлияет на пакеты во время транспортировки или установки. Bundle действует как файлы каталога для содержащихся в нем файлов.

Наша рекомендация (в общем случае) - , а не не стоит подписывать что-либо, кроме Bundle - если только вы не должны доставлять MSI-файлы напрямую клиентам по какой-либо другой причине (например, развертывания на основе GPO) ).