我有一個應用程序,我使用 thawte 頒發的代碼簽名證書(具有中間機構 Thawte 代碼簽名 CA - G2)對其進行簽名和時間戳。
簽名沒問題(如文件屬性中所示),您可以查看證書鏈,所以一切都好。
在大多數 PC 上,使用者只需單擊 .exe 檔案即可運行,但在預設設定的 Windows 7 上,每次都會彈出「開啟檔案 - 安全性警告」。它表明它已簽名,發布者是我們公司,用戶可以驗證這一點。這不是我們想要的。我們希望用戶雙擊該文件並繼續。我將我們的憑證加入 certmgr 中的「受信任的發布者」中,然後將我們的憑證新增至「受信任的根憑證授權單位」。我想我嘗試了所有對我來說有意義的組合。我仍然沒有得到想要的結果。
我經常使用谷歌,我花了將近兩天的時間擺弄它,但沒有任何進展。我如何簽署另一個文件,將其發送到計算機,以與 Microsoft 或其他大公司開發和發布相同、便捷的方式運行它?
我需要一個適用於 Windows Vista 系列及更新版本的所有作業系統的通用解決方案。
PS 我不想解鎖文件、進行註冊表黑客攻擊或安全級別調整。我認為我缺少有關安裝證書的位置的資訊。如果需要,請隨時索取代碼或設置,我很樂意提供。
答案1
除了將它們新增至「受信任的發布者」和「受信任的根憑證授權單位」的本機儲存之外,您還必須在本機或網域層級編輯群組原則以允許信任。
對於使用程式碼簽署憑證的 SCUP/WSUS 更新,我使用 GPO 在 /管理範本/Windows 元件/Windows 更新下「允許來自 Intranet Microsoft 更新服務位置的簽章更新」。
對於應用程式安裝,它將位於不同的位置。看起來可能是電腦設定\Windows 設定\安全性設定\公鑰原則\憑證路徑驗證設定。
看一眼: http://technet.microsoft.com/en-us/library/cc733026.aspx