¿Cómo puedo evitar tener que volver a firmar mi código cada 1 o 2 años?
https://stackoverflow.com/questions/912955
-
06-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
estaba leyendo ¿Qué sucede cuando caduca un certificado de firma de código? y preguntándose acerca de una respuesta más sólida.La respuesta proporcionada fue más sobre cómo configurar su propia CA.Incluso con su propia CA, deberá lidiar con los certificados de código que caducan.
Si firmó el código sin utilizar un servicio de marca de tiempo, una vez que caduque el certificado, su código ya no será confiable y, dependiendo de la configuración de seguridad, es posible que no se le permita ejecutarse.Deberá volver a firmar todo su código con un certificado nuevo o con un certificado renovado cada 1 o 2 años.
El sellado de tiempo confiable (digital) permite que la firma digital sea válida incluso después de que el certificado haya expirado.Necesitará volver a firmar el código con el nuevo certificado solo si ha realizado cambios.
¿Suena todo esto correcto?Si es así, necesito recomendaciones sobre qué servicio de marca de tiempo usar, preferiblemente de alguien que realmente haya usado uno.También me gustaría saber si existen soluciones internas, similares a ser su propia CA.
En este momento esto se aplica a los scripts de PowerShell, pero eventualmente tendré el mismo problema con otro código.
Actualizar:Ejemplo de cómo firmar un script PS con una marca de tiempo (puede crear un script para esto):
Set-AuthenticodeSignature -filepath "D:\Projects\A Sample\MyFile.ps1"
-cert gci cert:\CurrentUser\My -codesigning
| where -Filter {$_.FriendlyName -eq "Thawte Code Signing"}
-IncludeChain All
-TimeStampServer "http://timestamp.verisign.com/scripts/timstamp.dll"
Luego, para ver el Certificado de firmante y el Certificado de marca de tiempo, puede hacer esto:
Get-AuthenticodeSignature MyFile.ps1 | fl *
Le proporciona el Asunto (CN, OU, etc.), el Emisor, las Fechas Antes/Después y las Huellas Digitales tanto para su certificado como para el certificado de marca de tiempo.También recibirá un mensaje indicando el estado de la firma.
Solución
Es mejor que seleccione uno de los proveedores de certificados confiables (Verisign, Thawte, Comodo, etc.).Esto le permite firmar su software sin que el usuario confíe explícitamente en su CA raíz privada.Hemos utilizado Verisign y Thawte, Comodo e incluso GoDaddy con marcas de tiempo sin ningún problema de que el software deje de ser válido incluso años después de que caduque el certificado.
Otros consejos
El marcado de tiempo es un servicio gratuito - es realmente sólo un proveedor de confianza de verificar que usted firmó el archivo en un momento dado. servicio de marca de tiempo de Verisign es el estándar. El último ejemplo en la ayuda para la puesta en AuthenticodeSignature demuestra cómo usarlo.
Lee Holmes [MSFT] Desarrollo de Windows PowerShell Microsoft Corporation
Realmente no se puede escapar de tener que renunciar código de tiempo. La ventaja de ejecutar su propia CA es que se puede optar por emitir sus certs de firma de código con tiempos de vida más largos que el valor por defecto, lo que le permite esperar más tiempo antes de tener que renunciar a nada. La desventaja es, por supuesto, tener otro servicio o el servidor (el CA) a tratar.
