%20conf%C3%ADe%20en%20el%20software%20firmado.png)
Tengo una aplicación, que firmo y sello la hora utilizando un certificado de firma de código emitido por thawte, con autoridad intermedia de firma de código Thawte CA - G2.
La firma está bien (como se muestra en las propiedades del archivo) y puede ver la cadena de certificación, así que todo está bien.
En la mayoría de las PC, el usuario simplemente hace clic en el archivo .exe y se ejecuta, pero en Windows 7 con la configuración predeterminada, aparece "Abrir archivo - Advertencia de seguridad" CADA VEZ. Muestra que está firmado, que el editor es nuestra empresa y el usuario puede verificarlo. Esto no es lo que queremos. Queremos que el usuario haga doble clic en el archivo y listo. Agregué nuestro certificado a los "editores confiables" en certmgr, y luego agregué nuestro certificado a las "autoridades certificadoras raíz confiables". Creo que probé todas las combinaciones y eso tenía sentido para mí. Todavía no obtengo el resultado deseado.
Utilicé mucho Google y estuve casi 2 días trasteando con él, sin ningún progreso. ¿Cómo puedo firmar otro archivo, enviarlo a la computadora y ejecutarlo de la misma manera conveniente como si hubiera sido desarrollado y publicado por Microsoft u otra gran empresa?
Necesito una solución general para todos los sistemas operativos de la familia Windows Vista y posteriores.
PD: No quiero desbloquear archivos, realizar hacks de registro ni realizar ajustes en el nivel de seguridad. Creo que me falta algo sobre dónde instalar los certificados. Si es necesario, no dude en solicitar el código o la configuración y con gusto se los proporcionaré.
Respuesta1
Además de agregarlos a la tienda local en 'Editores de confianza' y 'Autoridades de certificación raíz de confianza', debe editar la Política de grupo, ya sea localmente o a nivel de dominio para permitir la confianza.
Para las actualizaciones de SCUP/WSUS utilizando un certificado de firma de código, utilicé un GPO para "Permitir actualizaciones firmadas desde una ubicación del servicio de actualización de Microsoft de la intranet" en /Plantillas administrativas/Componentes de Windows/Actualización de Windows.
Para las instalaciones de la aplicación, estará en un lugar diferente. Parece que podría ser Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas de clave pública\Configuración de validación de ruta de certificado.
Echa un vistazo a: http://technet.microsoft.com/en-us/library/cc733026.aspx