Сертификат класса 3 VeriSign не доверяется Windows?

Question

Сертификат класса 3 VeriSign не доверяется Windows?

я распространяю настольное приложение Windows, которое имеет все исполняемые файлы с цифровой подписью сертификата подписи кода Verisign класса 3. Для подавляющего большинства пользователей это работает нормально.

однако небольшое число пользователей сообщают, что сертификат недействителен. Они говорят, что он приходит с сообщением "цепочка сертификатов обработана, но завершена корневым сертификатом, которому не доверяет поставщик доверия". Это соответствует коду ошибки CERT_E_UNTRUSTEDROOT (0x800B0109). Об этом также сообщалось на полностью обновленной машине Windows 7. Поэтому, предположительно, мой сертификат в порядке, но Windows иногда не доверяет сертификатам VeriSign.

Почему Windows иногда не доверяет VeriSign? Есть ли что-нибудь, что я могу добавить в свой установщик (также подписанный), который скажет Windows доверять сертификату?

7

code-signing digital-certificate digital-signature verisign windows

автор: AshleysBrain

1 ответов

автор: 0xC0000022L · Accepted Answer · 2012-11-15 16:16:19

есть частые обновления корневых сертификатов, которые Microsoft выкатывает через Центр обновления Windows, но которые помечены как "необязательное обновление". Следовательно, не все пользователи могут иметь их установлены и может потребоваться установить их вручную. Это также относится к" полностью обновленным "машинам, поскольку автоматическая установка часто устанавливается только для установки" важных обновлений", которые не являются обновлениями корневого сертификата.

в зависимости от типа настольного приложения, вы можете следовать определенным правила при подписании, тоже. Например, приложения, взаимодействующие с Центром безопасности Windows, требуют практически того же метода подписи, что и драйверы. То есть цепочка сертификатов внедряется вместе с подписью (/ac переключатель signtool). Вы можете получить MSCV-VSClass3.cer применимо к сертификатам VeriSign здесь.

этот процесс часто называют перекрестной подписью,что кажется неправильным. Хотя это один шаг в получении двоичного файла драйвера или каталога перекрестная подпись, жизненно важным шагом является то, что Microsoft подписывает драйвер (или, как правило, файл каталога в эти дни), который является фактической перекрестной подписью.