중간 기관인 Thawte 코드 서명 CA - G2를 사용하여 thawte에서 발급한 코드 서명 인증서를 사용하여 서명하고 타임스탬프를 찍는 애플리케이션이 있습니다.
서명은 정상이며(파일 속성에 표시됨) 인증 체인을 볼 수 있으므로 모두 괜찮습니다.
대부분의 PC에서는 사용자가 .exe 파일을 클릭하기만 하면 실행되지만, 기본 설정의 Windows 7에서는 "파일 열기 - 보안 경고"가 매번 팝업됩니다. 서명이 되어 있다는 것과 출판사가 우리 회사라는 것을 사용자가 확인할 수 있다는 것을 보여줍니다. 이것은 우리가 원하는 것이 아닙니다. 우리는 사용자가 파일을 두 번 클릭하고 이동하기를 원합니다. certmgr의 "신뢰할 수 있는 게시자"에 인증서를 추가한 다음 "신뢰할 수 있는 루트 인증 기관"에 인증서를 추가했습니다. 제 생각에는 모든 조합을 시도해 본 것 같아요. 아직도 원하는 결과를 얻지 못하고 있습니다.
저는 Google을 많이 사용했는데 전혀 진전이 없었는데 거의 이틀 동안 이것저것 만지작거리며 보냈습니다. 어떻게 다른 파일에 서명하고, 컴퓨터로 보내고, Microsoft나 다른 대기업에서 개발 및 출시한 것처럼 동일하고 편리한 방식으로 실행할 수 있습니까?
Windows 제품군 Vista 이상의 모든 OS에 대한 일반적인 솔루션이 필요합니다.
PS 저는 파일 차단을 해제하거나, 레지스트리 해킹을 하거나, 보안 수준 조정을 하고 싶지 않습니다. 인증서를 설치할 위치에 뭔가 빠진 것 같습니다. 필요한 경우 언제든지 코드나 설정을 요청해 주시면 기꺼이 제공해 드리겠습니다.
답변1
'신뢰할 수 있는 게시자' 및 '신뢰할 수 있는 루트 인증 기관'의 로컬 저장소에 추가하는 것 외에도 신뢰를 허용하려면 로컬 또는 도메인 수준에서 그룹 정책을 편집해야 합니다.
코드 서명 인증서를 사용하는 SCUP/WSUS 업데이트의 경우 /관리 템플릿/Windows 구성 요소/Windows 업데이트 아래에서 "인트라넷 Microsoft 업데이트 서비스 위치에서 서명된 업데이트 허용"을 위해 GPO를 사용했습니다.
응용 프로그램 설치의 경우 다른 위치에 있을 것입니다. 컴퓨터 구성\Windows 설정\보안 설정\공개 키 정책\인증서 경로 유효성 검사 설정인 것 같습니다.
보세요: http://technet.microsoft.com/en-us/library/cc733026.aspx