Comments 86
еслиб вы поведали как сделать это бесплатно, и почему мы должны платить за это деньги было бы супер =)
Бесплатно никак, ведь для содержания инфраструктуры нужны некоторые деньги. То что Verisign просит $499 в год, тоже можно понять, скорее всего MS «в доле». Так как для драйверов и получения Designed for никакой другой trusted certificate authority просто не подходит.
увы, с такими ценами кол-во подписанных бесплатных программ будет невелико…
Есть варианты, если не подписывать сомнительные программы то собравшись в некоторое сообщество freeware/open source разработчиков, можно купить один сертификат и подписывать им. Только тут нужна организованность самого сообщества и юр.лицо на которое оформить сертификат. Возможно получится оформить сертификат на некоммерческую организацию(зарегистрированную по всем правилам). Mozilla ведь подписывает. Но на самом деле от freeware/open source программ никто особо не ждёт таких вещей.
У «бесплатных» программ другая бизнес-модель.
И, да, бесплатным программам сертификаты как раз нужнее, чем платным, так как позволяют отличить бесплатную программу от трояна или программной бомбы.
И, да, бесплатным программам сертификаты как раз нужнее, чем платным, так как позволяют отличить бесплатную программу от трояна или программной бомбы.
Цены регулируются рынком. Да и вообще, странная фраза. Вот вам аналоги:
Увы, с такими ценами на компьютер — количество их пользователей будет невелико.
Увы, с такими ценами на Windows количество проданных программ будет невелико.
Увы, с такими ценами на образование, скоро никто не будет учиться.
Увы, с такими ценами на компьютер — количество их пользователей будет невелико.
Увы, с такими ценами на Windows количество проданных программ будет невелико.
Увы, с такими ценами на образование, скоро никто не будет учиться.
Я так понял, подписанный центром сертификации сертификат нужен, чтобы «в случае чего» могли «найти» тебя и твою «фирму», выпустившей некачественный продукт.
То есть сертификат ни о чём не говорит и уж конечно не гарантирует качество подтверждённого им ПО. А центры сертификации, которые торгуют дешёвыми сертификатами без аудита юридического лица, обратившегося к ним за получением сертификата, не нужно воспринимать всерьёз и усыплять бдительность с.б. организации.
То есть сертификат ни о чём не говорит и уж конечно не гарантирует качество подтверждённого им ПО. А центры сертификации, которые торгуют дешёвыми сертификатами без аудита юридического лица, обратившегося к ним за получением сертификата, не нужно воспринимать всерьёз и усыплять бдительность с.б. организации.
Насчёт найти фирму это врядли, отзовут сертификат и он перестанет быть валидным как только что-то всплывёт. Но подпись это ещё и защита от модификации программы по дороге от разработчика к клиенту. То есть грубо говоря контроль целостности, чтоб ничего лишнего не поставилось.
Качество ПО никак конечно не гарантирует. А центров которые выдают сертификаты кому попало нету. То что Comodo выдал сертификат для Mozilla без проверок и запроса документов, дорого им стоило.
Как я писал: без DUNS номера, попросят уставные докменты и 1-2 счёта(utility bill), а ещё могут и что-нибудь заверенное нотариусом с заверенным переводом на английский. DUNS номер просто так не получить вообще, они документы проверяют очень тщательно и у них в базе есть все данные о фирме, именно по этому им доверяют.
Качество ПО никак конечно не гарантирует. А центров которые выдают сертификаты кому попало нету. То что Comodo выдал сертификат для Mozilla без проверок и запроса документов, дорого им стоило.
Как я писал: без DUNS номера, попросят уставные докменты и 1-2 счёта(utility bill), а ещё могут и что-нибудь заверенное нотариусом с заверенным переводом на английский. DUNS номер просто так не получить вообще, они документы проверяют очень тщательно и у них в базе есть все данные о фирме, именно по этому им доверяют.
> отзовут сертификат и он перестанет быть валидным как только что-то всплывёт
Но программа, подписанная им, успешно продолжит свой путь по компьютерам пользователей — правильно?
И еще, подскажите, пожалуйста — сертификат стоит $499 в год у VeriSign, но это имеется в виду, что через год я просто не смогу им подписывать свои новые программы? А если я переведу часы на компьютере?
Но программа, подписанная им, успешно продолжит свой путь по компьютерам пользователей — правильно?
И еще, подскажите, пожалуйста — сертификат стоит $499 в год у VeriSign, но это имеется в виду, что через год я просто не смогу им подписывать свои новые программы? А если я переведу часы на компьютере?
долго отводил глаза сначала на первую картинку с неподписанной прогой, и потом на вторую — искал отличия.
во многих иностранных — возможно. У нас же никогда такого не встречал =)
Во многих компаниях (те что покрупнее и не очень) запуск неподписанных программ просто запрещён, защита от вирусов и прочего «добра»
во многих иностранных — возможно. У нас же никогда такого не встречал =)
Можно объяснить в двух словах, что делается при сертификации, приложение тестируется на безопасность и надежность?
Никак не тестируется, вы получаете сертификат и делаете с ним что хотите. После подписи приложения можно установить что оно подписано валидным сертификатом, выданным конкретной фирме. Ну и то что приложение не модифицировано после подписи, каким-нибудь вирусом например. Если вирус модифицирует файл, то от этого изменится контрольная сумма и валидация не пройдёт.
На частное лицо получить сертификат не получится.
У Comodo 2 недели назад я получал на частное лицо. Не без проблем, конечно, но решаемо…
Значит они опять расслабились ;)
Рисовали документы?
Нет, все честно сканировал. Пришлось даже выписку из банка брать и от моб. оператора (за отсутствием стационарного телефона).
Проблема была в том, что нужно было на копиях документов от руки написать точный перевод. Причем без исправлений. А мне очень сложно без исправлений писать, особенно когда есть такое требование — «без исправлений». Испортил целую пачку бумаги, пока, наконец, все написал :)
Проблема была в том, что нужно было на копиях документов от руки написать точный перевод. Причем без исправлений. А мне очень сложно без исправлений писать, особенно когда есть такое требование — «без исправлений». Испортил целую пачку бумаги, пока, наконец, все написал :)
а что за документы сканировали если на частное лицо сертификат?
1. Документ с фото (паспорт).
2. Выписка из банка за последние 6 мес. с указанием ФИО и адреса проживания.
3. Платежка за свет или телефон с указанием ФИО и адреса проживания.
Дополнительно могут позвонить к вам и задать пару вопросов (хотя ко мне не звонили, хотя планировали).
2. Выписка из банка за последние 6 мес. с указанием ФИО и адреса проживания.
3. Платежка за свет или телефон с указанием ФИО и адреса проживания.
Дополнительно могут позвонить к вам и задать пару вопросов (хотя ко мне не звонили, хотя планировали).
Давно взял за правило: всегда обращать внимание на подпись при установке приложения. Если есть эта возможность — почему бы не пользоваться, лишняя защита от вирусов не помешает.
Интересно, каким имено образом могут воспользоваться злоумышленники с помощью не дорогого сертификата от того же Comodo? Не рационально же платить даже $99, ведь риск что сертификат будет отозван БЫСТРО в случае проблем с ПО, велик.
Интересно, каким имено образом могут воспользоваться злоумышленники с помощью не дорогого сертификата от того же Comodo? Не рационально же платить даже $99, ведь риск что сертификат будет отозван БЫСТРО в случае проблем с ПО, велик.
Есть куча бесплатных вариантов получить сертификаты от контор типа «Рога и копыта». Будет валидная подпись, а внутри — дрянь. Первые TDSS, например, с подписями были.
Нет ни одного такого варианта. Ни одного. Для этого нужно чтобы сертификат конторы «Рога и копыта» был в списке доверенных издателей на машине клиента, а там его нет.
Можно сделать самоподписной сертификат с помощью Open SSL, но т.к. его нет в рутовом хранилище машины — он не будет распознан как доверительный. При запуске такой программы будет сообщение, что сертификат проверить не удалось.
Можно сделать самоподписной сертификат с помощью Open SSL, но т.к. его нет в рутовом хранилище машины — он не будет распознан как доверительный. При запуске такой программы будет сообщение, что сертификат проверить не удалось.
То есть вы хотите сказать, что исполняемый файл, содержащий цифровую подпись не может быть проверен на валидность без какой-то дополнительной информации?
Мы же говорим сейчас о стандартной проверке подписи в системах Windows/Mac OS.
Сертификаты всех доверительных издателей устанавливаются вместе с Windows. Чтобы Windows признал действительной подпись разработчика программы, его сертификат должен быть выдан доверительным издателем. А «Рога и копыта» в списке доверительных издателей не значатся…
Сертификаты всех доверительных издателей устанавливаются вместе с Windows. Чтобы Windows признал действительной подпись разработчика программы, его сертификат должен быть выдан доверительным издателем. А «Рога и копыта» в списке доверительных издателей не значатся…
Простите, я нигде не говорил о ДОВЕРИИ подписи, только о ее валидности. Будет ли венда делать различия между доверенными и недоверенными сертификатами в случае, если файл все-таки подписан — вот в чем вопрос. Если нет — то хватит и подписи от РиК.
расскажу про сертификат.
выдача сертификата означает, что компания, выдавшая сертификат, утверждаем, что всё, что подписано этим сертификатом, действительно происходит от лица и с ведома той компании, которая сертификат получила.
а если файл подписан сертификатом, то это значит, что его подписала та компания, которая получила сертификат и которая в этом сертификате указана.
например, вася подписал файл сертификатом. это значит, что:
— этот файл сделал вася.
— verisign уверена, что вася — это именно вася, а не петя, который назвался васей.
выдача сертификата означает, что компания, выдавшая сертификат, утверждаем, что всё, что подписано этим сертификатом, действительно происходит от лица и с ведома той компании, которая сертификат получила.
а если файл подписан сертификатом, то это значит, что его подписала та компания, которая получила сертификат и которая в этом сертификате указана.
например, вася подписал файл сертификатом. это значит, что:
— этот файл сделал вася.
— verisign уверена, что вася — это именно вася, а не петя, который назвался васей.
но возникает проблема: кто же проверит саму verisign? для этого есть корневые сертификаты, которые устанавливаются вместе с системой. они и заверяют подпись verisign под васиным сертификатом.
что касается самоподписанных сертификатов, то:
— этот файл сделал вася
— вася считает, что вася — это точно вася.
естественно, что считать эти сведения надёжными нельзя. должен обязательно существоваться путь к корневому сертификату.
что касается самоподписанных сертификатов, то:
— этот файл сделал вася
— вася считает, что вася — это точно вася.
естественно, что считать эти сведения надёжными нельзя. должен обязательно существоваться путь к корневому сертификату.
Для проверки, отозван сертификат или нет, требуется соединение с центром сертификации. Не у всех интернет-соединение постоянно активно.
я бы по другому сказал, для точной проверки валидная ли подпись требуется соединение.
Да но и вирусы БЫСТРО размножаются только через сеть. Нет инета — нет желаемого эффекта. Если делать расчет на пользователей в оффлайн, то 1) вообще не понимаю какой от них толк? (ни бот сети, ни данных своровать, разве что смс попросить отправить) 2) большое кол-во пользователей заразиться лишь по истечению времени, за которое сертификат точно будет отозван, а сейчас нет полностью оффлайн — обновления все же стараются брать у знакомых даже те у кого нет сети.
Все таки хотелось бы услышать примеры, если они есть :) Вообще может даже лучше перефразировать сам вопрос. Насколько стоит доверять дешевым сертификатам, полученным от того же Comodo? Или это все «игра брендов»?
Все таки хотелось бы услышать примеры, если они есть :) Вообще может даже лучше перефразировать сам вопрос. Насколько стоит доверять дешевым сертификатам, полученным от того же Comodo? Или это все «игра брендов»?
Подпись файлов это всё-таки не панацея от всего.
А что вы подразумеваете под доверять?
А что вы подразумеваете под доверять?
Каждый раз при установке нового приложения, если есть подпись, я устанавливаю не задумываясь (если я вообще доверяю авторам). Мне так и стоит делать? Или есть какие-то нюансы? Пусть вопрос звучит немного глупо, но человек хорошо разбирающийся в теме, думаю, увидит мои ошибки :)
Ну про доверие авторам я поспешил. При наличии подписи, я как-то автоматически доверяю и авторам :) А стоит ли? И в каких случаях я могу пожалеть о таком доверии? Вообщем как злоумышленники могут воспользоваться доверенным сертификатом для подписи приложения? Есть ли реальные случаи? Серьезная ли это проблема, или единичные случаи? Заслуживает ли доверия не дорогой сертификат от того же Comodo? Вы спрашиваете «А что вы подразумеваете под доверять?» Ну что может подразумевать простой пользователь :)
допустим даже самый дорогой и правильный сертификат можно украсть и воспользоваться в корыстных целях ;) По меньшей мере, при валидном(даже без проверки по интернету) сертификате, можно быть увереным что там нет ничего что не хотел положить туда автор. Если сертификат не украден. А вот что туда положил автор — это сертификатом не регулируется.
То есть, если есть выход в Инет, то Windows еще и втихую перед запуском делает запрос к серверу, не отозван ли сертификат?
Давно меня терзает мысль о том, что несколько компаний, которые в своё время всунули свои корневые сертификаты в WindowsXP наример, получают огромные прибыли. Причем если, например, для регистраторов доменов (тоже воздухом торгуют по большому счету) требуется поддержка серверов в течении всего срока регсрации домена, то для тех кто выдаёт подписи нужны действия только в момент выдачи подписи.
Генерация сертификатов весьма несложный процесс, который можно сделать и на своей стороне, но тогда конечному пользователю придётся явным образом импортировать сертификат.
Генерация сертификатов весьма несложный процесс, который можно сделать и на своей стороне, но тогда конечному пользователю придётся явным образом импортировать сертификат.
Недавно покупал дом — нотариусу за 1.5 часов работы пришлось дать столько денег, сколько средний человек за 3 месяца не зарабатывает. Хотя технически он только распечатал договор на фирменном бланке и пробил информацию по базе. За что такие деньги?
Кажется я знаю почему так:
1. Во первых, если бы сертификат стоил 5 баксов, то имело бы смысл получать сертификаты на поддельные документы. Отозвали сертификат — заказал новый. Расходы могут себя оправдать (бот-сеть и воровство кредиток приносит больше денег).
2. Если нотариус (издатель сертификата) будет мало получать, то будет большой соблазн войти в сговор с мошенниками. Ведь терять то особо нечего. А если дрожит за свое кресло и боится потерять доверие — такого соблазна не будет (и доверия к издателю — больше).
Да и по большому счету для страны первого (6000 у.е. средней зарплатной) мира 99 у.е. — не такая уж большая сумма. А для Индии или Украины (с 300 у.е. средней зарплатой) — конечно много. Для Украины нужна стоимость в 4.50 у.е. (т.е. в 20 раз меньше, как и зарплата). Кстати, наши государственные цифровые сертификаты столько и стоят — 50 грн. для ИП.
Кажется я знаю почему так:
1. Во первых, если бы сертификат стоил 5 баксов, то имело бы смысл получать сертификаты на поддельные документы. Отозвали сертификат — заказал новый. Расходы могут себя оправдать (бот-сеть и воровство кредиток приносит больше денег).
2. Если нотариус (издатель сертификата) будет мало получать, то будет большой соблазн войти в сговор с мошенниками. Ведь терять то особо нечего. А если дрожит за свое кресло и боится потерять доверие — такого соблазна не будет (и доверия к издателю — больше).
Да и по большому счету для страны первого (6000 у.е. средней зарплатной) мира 99 у.е. — не такая уж большая сумма. А для Индии или Украины (с 300 у.е. средней зарплатой) — конечно много. Для Украины нужна стоимость в 4.50 у.е. (т.е. в 20 раз меньше, как и зарплата). Кстати, наши государственные цифровые сертификаты столько и стоят — 50 грн. для ИП.
спасибо
А к нашим государственным цифровым сертификатам в Windows есть корневой сертификат, или будет опознаваться как самописный?
Нет, конечно :) Разве наше государство способно договориться с кем-нибудь кроме себя?
Пока эти сертификаты Windows не сможет проверить, даже если самому добавить корневой сертификат основного сертификационного центра. Вся проблема в нашем уникальном алгоритме цифровой подписи. Может когда-нибудь добавят этот стандарт в Windows CAPI, хотя надежды мало.
Пока эти сертификаты Windows не сможет проверить, даже если самому добавить корневой сертификат основного сертификационного центра. Вся проблема в нашем уникальном алгоритме цифровой подписи. Может когда-нибудь добавят этот стандарт в Windows CAPI, хотя надежды мало.
Плюсую. Серьезный софт без подписей — это маразм. Особенно маразматична ситуация, когда банк-клиенты ее не имеют!
>>промо код: THEDEAL99
Эх, где вы были две недели назад… Уже уплочено :(
Эх, где вы были две недели назад… Уже уплочено :(
Как получить сертификат на ИП, но с именем dba?
Надо обязательно зарегистрироваться в DnB. При регистрации в полное название компании вписывается: Предприниматель ФИО
В следующем поле (краткое название/торговая марка) пишите ваш dba.
После получения DUNS номера, заполняйте форму на сертификат с dba именем и прикладывайте ваш DUNS номер в качестве докозательства.
В следующем поле (краткое название/торговая марка) пишите ваш dba.
После получения DUNS номера, заполняйте форму на сертификат с dba именем и прикладывайте ваш DUNS номер в качестве докозательства.
То есть обычным независимым разработчикам с опенсорсными программами вообще не светит получение этого сертификата? Ну круто, чё
ну почему-же вот: habrahabr.ru/blogs/development/83008/#comment_2470644
только документы придётся рисовать, и в общем это не очень правильно.
только документы придётся рисовать, и в общем это не очень правильно.
Если можно, то опишите более детально процесс «вживления» сертификата в инсталляторы (я так понимаю что это диалоговое окно появляется только если файл скачан из интернета, ну и это обычно exe инсталлера) и программы.
Думаю всем будет полезно.
P.S. Спасибо за промо код на Verisign.com
Думаю всем будет полезно.
P.S. Спасибо за промо код на Verisign.com
Для этого есть специальная программулина из Windows SDK, называется SignTool. Запустить нужно с директивой signwizard.
Еще очень важно добавить метку времени timestamp.verisign.com/scripts/timstamp.dll Без нее подпись будет признана невалидной после окончания действия сертификата.
Еще очень важно добавить метку времени timestamp.verisign.com/scripts/timstamp.dll Без нее подпись будет признана невалидной после окончания действия сертификата.
У меня в последнем SDK signcode.exe (C:\Program Files (x86)\Microsoft.NET\SDK\v1.1\Bin) .NET SDK
Просто запускаете, а там далее мастер.
Впрочем, вот, тем, кто не видел =) Только у нас личные сертификаты на подпись кода (+авторизацию)
Просто запускаете, а там далее мастер.
Впрочем, вот, тем, кто не видел =) Только у нас личные сертификаты на подпись кода (+авторизацию)
Спасибо. Не думал этим пока заниматься, но благодаря посту и детальной информации, сертификат уже в процессе оформления. :)
Если хотите просто протестировать, есть с десяток тестовых сертификатов от нашего ЦС (чтобы поучится, самое то)
Спасибо. Я уже протестировал используя персональный сертификат своего компьютера, правда только без TimeStamp :)
Чтобы поучиться, можно самому себе выдать тестовый сертификат и выполнить команду из SDK (забыл какую, если честно), доверять своему тестовому сертификату. Это поможет понять правильно ли всё подписывается. а дальше можно уже и более «правильные» сертификаты использовать.
Это я так, для уточнения :)
Это я так, для уточнения :)
Да, после скачивания файл помечается что он из внешних источников.
Когда сертификат уже в системе, для подписи потребуется вот эта утилита SignTool.exe
msdn.microsoft.com/en-us/library/8s9b9yaz(VS.80).aspx
Сам процесс подписи таков (в случае Comodo, у Verisign другой timestamp server ):
signtool.exe sign /a /t timestamp.comodoca.com/authenticode ваша-программа.exe
Нужно быть онлайн, чтобы signtool.exe связался с сервером и выставил правильный timestamp.
Кстати последние версии инсталятора InnoSetup позволяют подписывать и анинсталлер. И вообще лучше подписывать всё что подписывается, все второстепенные .exe и .dll.
Когда сертификат уже в системе, для подписи потребуется вот эта утилита SignTool.exe
msdn.microsoft.com/en-us/library/8s9b9yaz(VS.80).aspx
Сам процесс подписи таков (в случае Comodo, у Verisign другой timestamp server ):
signtool.exe sign /a /t timestamp.comodoca.com/authenticode ваша-программа.exe
Нужно быть онлайн, чтобы signtool.exe связался с сервером и выставил правильный timestamp.
Кстати последние версии инсталятора InnoSetup позволяют подписывать и анинсталлер. И вообще лучше подписывать всё что подписывается, все второстепенные .exe и .dll.
Кстати, timestamp-сервер от Verisign можно использовать с любым сертификатом. А адрес комодовского сервера я и не знал…
А кстати, не подскажете, где именно он помечается внешним?
В альтернативном потоке NTFS. Этим занимается Attachment Execution Service
technet.microsoft.com/en-us/library/dd277349.aspx
technet.microsoft.com/en-us/library/dd277349.aspx
Спасибо за полезную информацию. Расскажите по процессе подписания софта, если не затруднит.
Чуть выше описал. Более детально: здесь.
А где хранятся сведения о том, что файл подписан? В альтернативном потоке ntfs? Тогда получается при переносе файла на fat32\ext3 я потеряю подпись?
В отдельной секции файла. При переносе в другую FS всё сохранится.
Спасибо, а то некоторые комменты меня смутили )
Если я правильно понял, то там говориться что он внешний, то есть скачан с инета.
Там стоит Zone.ID
Проверить можно так:
notepad < «файл.exe:Zone.Identifier»
Если нет потока то notepad предложит создать новый файл, если файл загружен из интернета с помощью IE то там будет:
[ZoneTransfer]
ZoneId=3
Вот тут подробнее
Проверить можно так:
notepad < «файл.exe:Zone.Identifier»
Если нет потока то notepad предложит создать новый файл, если файл загружен из интернета с помощью IE то там будет:
[ZoneTransfer]
ZoneId=3
Вот тут подробнее
А расскажите, пожалуйста, про создание собственных сертификатов — как ими можно подписать софт? И, что в этом случае будет отображаться у пользователя, какие дополнительные предупреждения?
Ну, тут есть несколько сценариев:
1. Будет предупреждение что сертификат не удалось проверить, это будет из-за того, что в системе не установлен корневой сертификат ЦС(Центра Сертификации), в общем, будет считаться невалидным, это же верно и для SSL, Mail сертификатов. Пожалуй исключение, это сертификаты для шифрования. (Data Encipherment)
2. Если вы дадите пользователю .p12 с иерархией сертификатов, начиная от корневого, то он сможет сам установить их у себя в системе, тогда проверка, в случае правильности сертификатов, пройдет. Но насчет SSL, Mail — то еще придется поставить сертификат в эти агенты, браузеры.
Вот, например, если у вас FF/Opera, можете попробовать поставить сертификат: здесь
В случае с ИЕ и в целом виндой надо уже другого формата файл (для удобства, чтобы не объяснять простому пользователю, в какое хранилище помещать этот сертификат)
3. Сделать инсталлятор для сертификатов, который сделает это сам, тоже вариант.
По поводу того, как их создавать, то для этого я использую пакет OpenSSL и свою программу, для организации иерархии + OCSP, TSA, CRL. Но вроде в комплекте есть перл скрипт для создания небольшого ЦС.
Второй вариант, это Windows Server, там есть ЦС, там будет это по нагляднее я думаю, но сам не работал.
А так в общем, как вариант, вы можете предлагать пользователям скачать этот .p12 (.pfx), после чего качать ваш софт, тогда они смогут однозначно определить авторство. — строго, но полностью бесплатно.
А так, если есть вопросы, помогу, чем смогу.
1. Будет предупреждение что сертификат не удалось проверить, это будет из-за того, что в системе не установлен корневой сертификат ЦС(Центра Сертификации), в общем, будет считаться невалидным, это же верно и для SSL, Mail сертификатов. Пожалуй исключение, это сертификаты для шифрования. (Data Encipherment)
2. Если вы дадите пользователю .p12 с иерархией сертификатов, начиная от корневого, то он сможет сам установить их у себя в системе, тогда проверка, в случае правильности сертификатов, пройдет. Но насчет SSL, Mail — то еще придется поставить сертификат в эти агенты, браузеры.
Вот, например, если у вас FF/Opera, можете попробовать поставить сертификат: здесь
В случае с ИЕ и в целом виндой надо уже другого формата файл (для удобства, чтобы не объяснять простому пользователю, в какое хранилище помещать этот сертификат)
3. Сделать инсталлятор для сертификатов, который сделает это сам, тоже вариант.
По поводу того, как их создавать, то для этого я использую пакет OpenSSL и свою программу, для организации иерархии + OCSP, TSA, CRL. Но вроде в комплекте есть перл скрипт для создания небольшого ЦС.
Второй вариант, это Windows Server, там есть ЦС, там будет это по нагляднее я думаю, но сам не работал.
А так в общем, как вариант, вы можете предлагать пользователям скачать этот .p12 (.pfx), после чего качать ваш софт, тогда они смогут однозначно определить авторство. — строго, но полностью бесплатно.
А так, если есть вопросы, помогу, чем смогу.
А вот интересно, если самому скачать, например, mail.ru agent, но при запуске, в окне выбрать «Never install...», на этот комп больше никогда не станет ничего подписанного mail.ru?
Sign up to leave a comment.
Code Signing в Windows, просто и недорого