%20%D0%B4%D0%BE%D0%B2%D0%B5%D1%80%D1%8F%D1%82%D1%8C%20%D0%BF%D0%BE%D0%B4%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%BD%D0%BE%D0%BC%D1%83%20%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D0%BE%D0%BC%D1%83%20%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8E.png)
У меня есть приложение, которое я подписываю и проставляю временную метку, используя сертификат подписи кода, выданный Thawte, с промежуточным центром сертификации Thawte Code Signing CA - G2.
Подпись в порядке (как видно в свойствах файла), и вы можете просмотреть цепочку сертификации, так что все в порядке.
На большинстве ПК пользователь просто нажимает на .exe-файл, и он запускается, но на Windows 7 с настройками по умолчанию КАЖДЫЙ РАЗ появляется сообщение «Открыть файл — Предупреждение безопасности». Оно показывает, что файл подписан, что издателем является наша компания, и пользователь может это проверить. Это не то, что нам нужно. Мы хотим, чтобы пользователь дважды щелкнул файл и пошел. Я добавил наш сертификат в «доверенные издатели» в certmgr, а затем добавил наш сертификат в «доверенные корневые центры сертификации». Думаю, я перепробовал все комбинации, которые имели для меня смысл. Но я все равно не получаю желаемого результата.
Я много пользовался Google и потратил почти 2 дня на возню с ним, без какого-либо прогресса. Как мне подписать другой файл, отправить его на компьютер, запустить его тем же удобным способом, как если бы он был разработан и выпущен Microsoft или другой крупной компанией?
Мне нужно общее решение для всех ОС семейства Windows Vista и новее.
P.S. Я не хочу разблокировать файлы, хакать реестр или настраивать уровень безопасности. Мне кажется, я что-то упускаю в установке сертификатов. Если нужно, смело спрашивайте код или настройки, и я с радостью их предоставлю.
решение1
Помимо добавления их в локальное хранилище в разделах «Доверенные издатели» и «Доверенные корневые центры сертификации», вам необходимо отредактировать групповую политику локально или на уровне домена, чтобы разрешить доверие.
Для обновлений SCUP/WSUS с использованием сертификата подписи кода я использовал GPO для «Разрешить подписанные обновления из расположения службы обновлений Microsoft в интрасети» в разделе /Административные шаблоны/Компоненты Windows/Центр обновления Windows.
Для установок приложений это будет в другом месте. Похоже, это может быть Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Certificate Path Validation Settings.
Взгляни на: http://technet.microsoft.com/en-us/library/cc733026.aspx