Eu tenho um aplicativo, que assino e carimbo de data e hora usando um certificado de assinatura de código emitido pela thawte, com autoridade intermediária de assinatura de código Thawte CA - G2.
A assinatura está OK (como mostra nas propriedades do arquivo) e você pode visualizar a cadeia de certificação, então está tudo bem.
Na maioria dos PCs, o usuário apenas clica no arquivo .exe e ele é executado, mas no Windows 7 com configurações padrão, o "Abrir arquivo - Aviso de segurança" aparece TODAS AS VEZES. Mostra que está assinado, que o editor é nossa empresa e o usuário pode verificar isso. Não é isso que queremos. Queremos que o usuário clique duas vezes no arquivo e pronto. Adicionei nosso certificado aos "editores confiáveis" no certmgr e, em seguida, adicionei nosso certificado às "autoridades de certificação raiz confiáveis". Acho que tentei todas as combinações, que fizeram sentido para mim. Ainda não estou obtendo o resultado desejado.
Usei muito o Google e passei quase 2 dias mexendo nele, sem nenhum progresso. Como posso assinar outro arquivo, enviá-lo para o computador, executá-lo da mesma maneira conveniente como se tivesse sido desenvolvido e lançado pela Microsoft ou outra grande empresa?
Preciso de uma solução geral para todos os sistemas operacionais da família Windows Vista e mais recentes.
PS: Não quero desbloquear arquivos, fazer hacks de registro ou ajustes de nível de segurança. Acho que estou faltando alguma coisa sobre onde instalar os certificados. Se necessário, sinta-se à vontade para solicitar códigos ou configurações, e terei prazer em fornecê-los.
Responder1
Além de adicioná-los ao armazenamento local em 'Editores confiáveis' e 'Autoridades de certificação raiz confiáveis', você deve editar a Política de Grupo, localmente ou no nível do domínio, para permitir a confiança.
Para atualizações SCUP/WSUS usando um certificado de assinatura de código, usei um GPO para "Permitir atualizações assinadas de um local de serviço de atualização da Microsoft na intranet" em /Modelos Administrativos/Componentes do Windows/Windows Update.
Para instalações de aplicativos, ele estará em um local diferente. Parece que pode ser Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Chave Pública\Configurações de Validação de Caminho de Certificado.
Dê uma olhada em: http://technet.microsoft.com/en-us/library/cc733026.aspx