コンピュータ(またはユーザー)に署名されたソフトウェアを信頼させる方法

コンピュータ(またはユーザー)に署名されたソフトウェアを信頼させる方法

私は、中間認証機関 Thawte コード署名 CA - G2 を使用して、thawte が発行したコード署名証明書を使用して署名し、タイムスタンプを付与したアプリケーションを持っています。

署名は正常です (ファイルのプロパティに表示されるとおり)。また、認証チェーンも表示できるので、すべて正常です。

ほとんどの PC では、ユーザーは .exe ファイルをクリックするだけで実行されますが、Windows 7 のデフォルト設定では、「ファイルを開く - セキュリティ警告」が毎回ポップアップ表示されます。署名されていること、発行元が弊社であること、ユーザーがそれを確認できることが示されています。これは、私たちが望んでいることではありません。ユーザーがファイルをダブルクリックして実行できるようにしたいのです。certmgr の「信頼された発行元」に証明書を追加し、次に「信頼されたルート証明機関」に証明書を追加しました。納得できる組み合わせはすべて試したと思います。それでも、望みどおりの結果が得られません。

私は Google を頻繁に使用し、ほぼ 2 日間いじくり回しましたが、まったく進展がありませんでした。別のファイルに署名し、コンピューターに送信し、Microsoft や他の大企業が開発してリリースしたのと同じように、便利な方法で実行するにはどうすればよいですか?

Windows ファミリーの Vista 以降のすべての OS に適用される一般的なソリューションが必要です。

PS ファイルのブロック解除、レジストリ ハッキング、セキュリティ レベルの調整はしたくありません。証明書のインストール場所について何か見落としていると思います。必要な場合は、コードや設定についてお気軽にお問い合わせください。喜んで提供します。

答え1

「信頼された発行元」および「信頼されたルート証明機関」のローカル ストアに追加するだけでなく、信頼を許可するには、ローカルまたはドメイン レベルでグループ ポリシーを編集する必要があります。

コード署名証明書を使用した SCUP/WSUS 更新の場合、/管理用テンプレート/Windows コンポーネント/Windows Update の下にある「イントラネットの Microsoft 更新サービス場所からの署名済み更新を許可する」GPO を使用しました。

アプリケーションのインストールの場合は、別の場所になります。コンピューターの構成\Windows の設定\セキュリティの設定\公開キーのポリシー\証明書パスの検証の設定のようです。

を見てみましょう: http://technet.microsoft.com/en-us/library/cc733026.aspx

関連情報