コンピューター(またはユーザー)に署名されたソフトウェアを信頼させる方法
私は、thawteによって発行されたコード署名証明書を使用して署名およびタイムスタンプを付け、中間権限のThawteコード署名CA-G2を持つアプリケーションを持っています。
署名は(ファイルのプロパティに表示されているように)OKであり、認証チェーンを表示できるので、すべて問題ありません。
ほとんどのPCでは、ユーザーは.exeファイルをクリックするだけで実行されますが、デフォルト設定のWindows 7では、「ファイルを開く-セキュリティ警告」が毎回ポップアップします。署名されていること、発行者が当社であること、ユーザーが確認できることを示しています。これは私たちが望んでいることではありません。ユーザーにファイルをダブルクリックして移動してもらいます。 certmgrの「信頼できる発行元」に証明書を追加してから、「信頼できるルート証明機関」に証明書を追加しました。私はすべての組み合わせを試したと思います、それは私にとって理にかなっています。それでも私は望ましい結果を得ていません。
私はグーグルをよく使いました、そして、私はそれをいじくり回してほぼ2日を過ごしました、全く進歩がありませんでした。別のファイルに署名してコンピューターに送信し、Microsoftまたは他の大企業によって開発およびリリースされた場合と同じように便利な方法で実行するにはどうすればよいですか?
WindowsファミリーVista以降のすべてのOS用の一般的なソリューションが必要です。
P.S.ファイルのブロックを解除したり、レジストリのハッキングを行ったり、セキュリティレベルを調整したりしたくありません。証明書をインストールする場所について何かが足りないと思います。必要に応じて、コードや設定をお気軽にお問い合わせください。喜んで提供させていただきます。
それらを「信頼できる発行元」および「信頼できるルート証明機関」のローカルストアに追加するだけでなく、信頼できるように、ローカルまたはドメインレベルでグループポリシーを編集する必要があります。
コード署名証明書を使用したSCUP/WSUS更新の場合、/ Administrative Templates/Windows Components/WindowsUpdateの下にあるGPOを使用して「イントラネットMicrosoft更新サービスの場所からの署名付き更新を許可する」を使用しました。
アプリケーションのインストールの場合は、別の場所に配置されます。コンピューターの構成\ Windowsの設定\セキュリティの設定\公開鍵のポリシー\証明書パス検証の設定のようです。
ご覧ください: http://technet.Microsoft.com/en-us/library/cc733026.aspx