1

以下のリンクに素晴らしい質問と回答があります。

Windows でコード署名用の自己署名証明書を作成するにはどうすればよいですか?

リストされている 2 つの手順 ((a) 自己署名認証局の作成と (b) コード署名 (SPC) 証明書の作成) について少し混乱しています。a を実行してから b を実行しますか、それともどちらかですか?

自己署名認証局 (CA) の作成

makecert -r -pe -n "CN=My CA" -ss CA -sr CurrentUser -a sha256 -cy authority -sky signature -sv MyCA.pvk MyCA.cer

コード署名 (SPC) 証明書の作成

makecert -pe -n "CN=My SPC" -a sha256 -cy end -sky signature -ic MyCA.cer -iv MyCA.pvk -sv MySPC.pvk MySPC.cer

4

2 に答える 2

1

重要な免責事項:もちろん、これはこれらの証明書が内部使用専用であることを前提としています。顧客に信頼されるコード署名証明書が必要な場合は、手順 (a) をスキップして、実際の CA (証明書が既に顧客に信頼されているもの) に支払い、コード署名証明書に署名してもらいます。

最初に (自己署名) CA 証明書を作成し (a)、それを使用してコード署名証明書に署名します (b)。

手順 (a) をスキップして、代わり自己署名コード署名証明書を作成することもできますが、独自の CA 証明書を作成することには利点があります。

  • これは、「実際に」遭遇する可能性が高い設定をより厳密に反映しており、コード署名証明書 (または他のほとんどすべての種類) が別の信頼できる発行証明書によって署名されます。
  • 複数の証明書を生成し、CA 証明書で署名する場合、「信頼されたルート」としてインストールする必要がある証明書 (CA) は 1 つだけであり、それへのアクセスをより適切に制御できます。これにより、悪用の範囲が制限され、証明書を取り消す必要がある場合に必要な損害管理が制限されます。
于 2013-02-14T12:44:40.667 に答える
0

試してみませんか?またはドキュメントをお読みください。

最初のコマンドは、他の証明書がチェーンされている認証局を生成します。これはいわゆる信頼の連鎖であるため、CA 証明書を信頼すると、そこから構築されたすべての証明書を信頼することになります。

2 番目のコマンドは、CA 証明書に基づいて証明書を生成します。

于 2013-02-14T12:46:08.657 に答える