7

Verisign クラス 3 コード署名証明書によってデジタル署名されたすべての実行可能ファイルを含む Windows デスクトップ アプリを配布しています。大多数のユーザーにとって、これはうまくいくようです。

ただし、少数のユーザーが証明書が無効であると報告しています。彼らは、 「証明書チェーンは処理されましたが、信頼プロバイダーによって信頼されていないルート証明書で終了しました」というメッセージが表示されると言います。エラーコードに対応しますCERT_E_UNTRUSTEDROOT (0x800B0109)。これは、完全に更新された Windows 7 マシンでも報告されています。したがって、おそらく私の証明書は問題ありませんが、Windows は VeriSign 証明書を信頼しないことがあります。

Windows が VeriSign を信頼しない場合があるのはなぜですか? 証明書を信頼するように Windows に指示する (署名済みの) インストーラーに追加できるものはありますか?

4

1 に答える 1

8

Microsoft が Windows Update を介して展開するルート証明書の頻繁な更新がありますが、「オプションの更新」としてタグ付けされています。したがって、すべてのユーザーがそれらをインストールしているわけではなく、手動でインストールする必要がある場合があります。自動インストールは多くの場合、「重要な更新」のみをインストールするように設定されていますが、ルート証明書の更新はそうではありません。

デスクトップ アプリケーションの種類によっては、署名時に特定のルールに従う必要がある場合もあります。たとえば、Windows セキュリティ センターと対話するアプリケーションには、基本的にドライバーと同じ署名方法が必要です。つまり、証明書チェーンが署名とともに埋め込まれます (/acに切り替えsigntoolます)。MSCV-VSClass3.cerVeriSign 証明書に適用できる証明書は、こちらから取得できます。

このプロセスはしばしばクロス署名と呼ばれますが、これは誤解のようです。これは、ドライバーのバイナリまたはカタログにクロス署名を取得するための 1 つのステップですが、重要なステップは、Microsoft がドライバー (最近ではより一般的にはカタログ ファイル) に署名することです。これが実際のクロス署名です。

于 2012-11-15T16:16:19.743 に答える