Come posso impedire dover re-firmare il mio codice ogni 1 o 2 anni?
https://stackoverflow.com/questions/912955
-
06-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Cosa succede quando un certificato di firma del codice scade - Stack Overflow e interroga su una risposta più solida. La risposta fornita è stata più su come configurare il proprio CA. Anche con il proprio CA sarà ancora bisogno di trattare con scadenza certificati di codice.
Se ti sei registrato il codice senza utilizzare un tempo di servizio stampaggio, dopo la scadenza del certificato il codice non sarà più fiducia, e, a seconda delle impostazioni di sicurezza non può essere consentito di eseguire. Avrete bisogno di ri-firmare tutto il codice con un nuovo certificato, o con un certificato rinnovato, ogni 1 o 2 anni.
Trusted (digitale) timestamping permette la firma digitale per essere valido anche dopo che il certificato stesso è scaduto. Si avrebbe bisogno di ri-firmare il codice con il nuovo certificato solo se sono state apportate modifiche.
Questo tutti i suoni corretti? Se è così, ho bisogno di raccomandazioni su quale servizio timestamping da utilizzare, preferibilmente da qualcuno che ha effettivamente utilizzato uno. Vorrei anche sapere se ci sono soluzioni in-house, simile ad essere la propria CA.
In questo momento questo vale per gli script PowerShell, ma finirà per avere lo stesso problema con altro codice.
Aggiorna : Esempio di come firmare uno script PS con un timestamp (si può fare uno script per questo):
Set-AuthenticodeSignature -filepath "D:\Projects\A Sample\MyFile.ps1"
-cert gci cert:\CurrentUser\My -codesigning
| where -Filter {$_.FriendlyName -eq "Thawte Code Signing"}
-IncludeChain All
-TimeStampServer "http://timestamp.verisign.com/scripts/timstamp.dll"
Quindi, per vedere il certificato e TimeStamper Certificato Signer, si può fare questo:
Get-AuthenticodeSignature MyFile.ps1 | fl *
Ti dà il soggetto (CN, OU, ecc), Emittente, Prima / Dopo Date e impronte digitali sia per il cert e cert del TimeStamper. Vedrete anche un messaggio che indica lo stato della firma.
Soluzione
È meglio selezionando uno dei fornitori di certificati attendibili (Verisign, Thawte, Comodo, etc.). Ciò consente di firmare il software senza che l'utente fidarsi esplicitamente CA. radice privata Abbiamo utilizzato sia Verisign e Thawte, Comodo anche GoDaddy con marcatura temporale senza problemi con il software diventando anni valida anche dopo la scadenza del certificato.
Altri suggerimenti
stampaggio Il tempo è un servizio gratuito - è in realtà solo un fornitore di fiducia di verificare che hai firmato il file in un dato momento. servizio di timestamp di Verisign è quello standard. L'ultimo esempio nella guida per Set-AuthenticodeSignature dimostra come usarlo.
Lee Holmes [MSFT] Sviluppo di Windows PowerShell Microsoft Corporation
Non si può davvero sfuggire dover dare le dimissioni il codice alla fine. Il vantaggio di eseguire il proprio CA è che si può scegliere di rilasciare le vostre certs firma del codice con una durata maggiore rispetto a quello predefinito, consentendo in tal modo di aspettare più a lungo prima di dover dimettersi nulla. Il rovescio della medaglia è, naturalmente, avere un altro servizio o un server (la CA) da affrontare.
