コード署名（Microsoft Authenticode）

Question

私は常にスーパーコンピュータに精通しているわけではない多くの人が使用するプログラムを持っています。私の実行可能ファイルに、自分が署名したと言っているのは未知の作成者からのものであると言わせるのではなく、確認したいのです。

私の知る限り、これはMicrosoft Authenticodeで実行できます。これを行うには証明書が必要であることを理解し、手頃な価格で証明書を探していました。私はこのページを偶然見つけました Microsoft Authenticode Certificates 。

GlobalSign には必要なものがすべて揃っているようです。それらからの証明書の経験は何ですか、またはより良い会社がありますか？初めてこれを行う人のための良いチュートリアルはありますか？

user333306 · Accepted Answer

私は Thawte を何年も使用していましたが、現在は Comodo （最も安いUS $ 179.95）を使用しています。証明書を購入するときは、秘密鍵を保存することを忘れないでください。チュートリアルが必要です 開発者向けコード署名-Authenticodeハウツー 。

Oleg · Answer

コモド は、最も安価なコード署名証明書を見つけるための良い出発点ですが、最高の価格を受け取りますリセラーから。

https://author.tucows.com/ の価格を確認しました。彼らです：

コモドコード署名証明書-1年：US $ 75
コモドコード署名証明書-2年：140米ドル
Comodoコード署名証明書-3年間：195米ドル

追加条件は

最も費用効果の高い、完全に検証され、完全にサポートされたSSL証明書が利用可能
Verisign および Thawte と同等の信頼性、ただし価格の一部
99％ブラウザの遍在性
業界標準の128ビット
検証プロセスはVerisignと同じくらい強力で、 GeoTrust よりはるかに強力です。
30日間の返金保証
30日間の無料交換および再発行ポリシー
特定のサイトのニーズに応じたさまざまなレベルの保証
無料のSecuritySpaceセキュリティ監査
すべてのInstantSSL ProおよびPremiumSSL証明書付きの無料のTrustLogo（119ドル相当）

価格を受け取る唯一のトリック：author.tucows.comで無料で登録する必要があります。

もう一つの備考。価格の質問とは無関係に、time-stampingが必要な理由を正しく理解できるように、重要な情報を1つ追加したいと思います。コード署名証明書を使用してファイルに署名する場合、timestamp.verisign.comなどの任意のタイムスタンプサーバーからの無料のタイムスタンプに使用できます（ SignTool.exe ユーティリティの/ Tパラメータを参照）。タイムスタンプの実用的な利点は次のとおりです。たとえば、2010年の終わりまで合法であるコード署名証明書を使用する場合、ファイルの署名は2010年の終わり後もそのままです。タイムスタンプを使用しないと、新しい証明書を含むファイル。タイムスタンプサーバーは、署名の日付を確認するだけです。あなたの証明書は日付で大丈夫だったので、後で問題はありません。したがって、ソフトウェアを1回だけ販売するために証明書が必要な場合は、最短期間（1年間）の証明書を取得できます。タイムスタンプの詳細については、 SSL Certificate Authority and Digital IDs および Trusted timestamping を参照してください。 =。

質問の別のサブ質問について：証明書を取得したら、 SignTool.exe ユーティリティを使用することをお勧めします。シンプルで、無料で簡単に使用できます。 SignTool.exe の使用例は、 SignToolを使用してファイルに署名する および アセンブリ署名の例 または単にSignTool.exe sign -?。

Stefan · Answer

プロジェクトに Certum の証明書を使用しています。価格はリーズナブルで、サポートは他のいくつかの会社に比べて速く、実際にはかなり良いです。

また、オープンソースプロジェクトで使用する場合は、証明書を無料で提供します。しかし、あなたはそれを要求する必要があります、彼らは彼らのウェブサイトでそれを宣伝しません（または私はそれを見つけませんでした）。

Steffen Opel · Answer

証明書に関しては、SSL およびのすべてのコード署名のニーズに対して StartSSL.com に完全に切り替えました。これは、（私の知る限り）まだ一意であるためです。検証と証明書へのアプローチにより、大幅な低価格（2年間で約50米ドル、無制限の証明書）と大幅な柔軟性の向上が可能になります。一般的なアプローチに関するいくつかの長所と短所については Pro Webmastersに関する私の回答を参照してください。特にSSL証明書。

かなり長い間、Authenticodeで使用するためのコード署名証明書も提供していますが、 beta というラベルが付いていますが、これらの証明書はClickOnceでデプロイされたアプリケーションで、いくつかの顧客サイトで正常に使用されています。問題。間違いなく beta の品質であると思われるのは、それでも time stamping server ですが、常に応答しませんが、単に1つに置き換えます。別のベンダーのベンダーはこれまで完璧に機能していました。ドキュメントのSSLは問題ありませんが、コード署名用のものは間違いなく very まだ弱い（存在しないに近い）ため、フォーラムまたは一般的なアドバイスからほとんどの情報を掘り出す必要がありました。他の場所。

証明書の価格設定と柔軟性が主な懸念事項である場合、それらの製品を試して後悔しないと思います。一方、特にコード署名のための完全なドキュメントと確立されたプロセスと顧客ベースがあなたにとってより重要である場合、この比較的小さくて異なるベンダーはあなたのニーズを満たすことができません（私は個人的にそれぞれの製品に満足していませんただし、より規模の大きい、および/またはより高価なベンダー）。

更新：

Kate Gregoryによってリンクされた関連の質問にはすでに回答を推奨するStartSSL も含まれているので、このスレッド内の前述のトピックを実際に確認することができます。

Andrew · Answer

私の組織では Verisign および Comodo を使用しています（Windowsエラー報告サービスはComodo証明書を受け付けないため、前者を使用しています。それほど多くはありません- SignTool.exe を使用できます。NET SDK の一部です（他のツールがあるかもしれませんが、これは特に簡単に利用できます） Visual Studioをお持ちの場合）。

以下を実行するスクリプトがあります（％_...％変数はスクリプト内で設定され、％1は署名するファイルです）

signtool.exe sign /f %_PFXFILE% /p %_PASSWORD% /v /t http://timestamp.verisign.com/scripts/timstamp.dll /d %_DESCRIPTION% /du %_URL% %1