10
¿Es diferente de cualquier otro certificado que pueda generar a través de makecert o comprar de alguna autoridad?¿Qué tiene de especial un certificado de firma de código?
A
Respuesta
2
Depende de lo que esté haciendo con él. Si desea que el certificado sea aceptado por un navegador en una comunicación SSL, debe tener un certificado raíz instalado en el navegador. Los certificados generados por las autoridades ya tienen sus certificaciones de raíz instaladas en los navegadores.
Si está utilizando el certificado solo para firmar un ensamblaje, entonces no lo necesita. Depende de quién esté verificando el certificado y si les importa si la raíz es una autoridad conocida.
Más aquí:
3
El certificado que se utiliza para firmar el software es el mismo certificado que se utiliza para firmar cualquier documento. Lo que es diferente sobre la firma de software es donde finalmente reside la firma. En una firma de documentos típica, la firma acaba de anexarse al documento original. No se puede agregar una firma a la mayoría de los tipos de software por razones obvias (algunos lenguajes interpretados lo permiten, pero no sé si se hace en la práctica).
Las soluciones al problema de la firma varían según el entorno de ejecución. Para un binario ejecutable, la firma a menudo se almacena en un archivo separado. En Java, puede tener una firma incrustada en un archivo JAR ejecutable.
Microsoft tiene una buena referencia para introduction to the signing process.
1
También agregaría que un ensamblado .NET tiene que tener un nombre fuerte (lo que requiere que se firme) para poder ser agregado al GAC.
Hay diferentes tipos de CERT ... de la CA que se incluye en el servidor 2003 del triunfo, se puede solicitar:
- autenticación del cliente
- Protección del correo electrónico
- autenticación del servidor
- Código firma
- firma de sello de tiempo
- IPSec
- Otro
+1
Esto no es estrictamente cierto. Puede instalar ensamblajes sin signo o de firma de prueba en el GAC utilizando sn -Vr (que desactivará la verificación del nombre seguro para el ensamblaje). – Wedge
+0
Ah ... No sabía eso ... ¡gracias! –
2
Que yo sepa, los certificados tienen un atributo de "uso de tecla" que describe para qué sirve el certificado: servidor SSL, firma de código, firma de correo electrónico, etc. Creo que depende del SO, o navegador web, o cliente de correo electrónico, para verificar estos bits.
2
Cuando se ejecuta una certificación, la función que pretende realizar es tan importante como la identificación. No se trata solo de identidad, sino también de autorización de roles. Un certificado de protección de correo electrónico no debería poder realizar la autenticación del servidor. Las preocupaciones de seguridad dictan una restricción necesaria en la potencia otorgada a través de un solo certificado. La API subyacente debe hacer cumplir el uso correcto, ya sea a través del sistema operativo o una abstracción como .NET Framework.
Existen diferentes tipos de certificados porque hay roles muy diferentes en autenticación y autorización que los necesitarían. Permitir diferentes tipos de certificados y jerarquías permite un modelo de cadenas de certificados, como se encuentra en la "Ruta de certificación" en un certificado.Un certificado de autenticación de servidor necesitará tener un certificado de CA de nivel superior en algún lugar de los certificados raíz de confianza ... o ser parte de un árbol de certificados familiares que finalmente lo haga. Las Autoridades de Certificación de terceros, estoy seguro, les dan un precio en una escala de funcionalidad y confianza.
bota a la cabeza es correcto ... no es un atributo Uso mejorado de clave que proporciona una descripción de lo que el CERT afirma el papel de ser (por ejemplo, autenticación de servidor, o en el caso de mi certificado de CA: Digital Firma, firma de certificado, firma de CRL fuera de línea, firma de CRL). Mira los detalles en las propiedades de un certificado y lo encontrarás.
5
Como se ha mencionado por Milla L y de arranque a la cabeza el uso de clave extendida es lo que determina el propósito de que la clave se puede utilizar para.
La mayoría de las autoridades de certificación comercial (Verisign et al) expiden certificados para fines únicos o para el mínimo posible.
Utilizan este estrechamiento de la puropse para tallar diferentes mercados para los certificados y luego los precios en consecuencia.
Los ve vender diferentes certificaciones de Firma de Objetos para Windows Assemblies/Java/Office/Adobe Air, etc. cuando (en la mayoría de los casos) el certificado resultante es el mismo.
Por ejemplo, el certificado Comodo codesigning emitido aquí puede firmar applets de Java, aplicaciones de WebStart, extensiones de Firefox e incluso ensambles de Windows.
Cuestiones relacionadas
- 1. Certificado de firma de código
- 2. ¿Qué sucede cuando un certificado de firma de código caduca?
- 3. snk vs. certificado de firma de código
- 4. ¿Qué tiene de especial Generic.xaml?
- 5. Certificado SSL igual que certificado de firma?
- 6. en C++, ¿qué tiene de especial "_MOVE_H"?
- 7. ¿Qué tiene de especial los cierres?
- 8. ¿Qué tiene de especial/dev/tty?
- 9. ¿Por qué la identidad de firma de código no incluye mi certificado?
- 10. firma automática de código "seguro"
- 11. Firma de código (Microsoft Authenticode)
- 12. ¿Cuánto cuesta obtener un certificado de firma de código de Apple?
- 13. ¿Cómo obtener el algoritmo de firma de un certificado?
- 14. Firma de código con múltiples desarrolladores
- 15. Certificado de distribución de iOS, firma de otro desarrollador
- 16. ¿Cómo me registro exes y dlls con mi certificado de firma de código
- 17. ¿Jackson JSON tiene un escape especial?
- 18. Cómo obtener una solicitud de firma de certificado
- 19. Lectura de una solicitud de firma de certificado con C#
- 20. identidad de firma de código <name> no coincide con ningún certificado de firma de código válido y no caducado
- 21. Certificado de ClickOnce caducado: no firma el manifiesto
- 22. Dónde puedo obtener el certificado de firma de documento
- 23. Generación de solicitud de firma de certificado en Keychain Access: ¿qué clave privada se usa?
- 24. Xcode 4.1 Problema de firma de código
- 25. Derechos de firma de código no válido
- 26. ¿Qué tiene de especial CardLayout frente a la adición/eliminación manual de JPanels?
- 27. ¿Qué tiene de especial el descriptor de archivo 3 en Linux?
- 28. xcode 4.2, firma de código para su distribución
- 29. ¿Terminan los métodos con _! tiene un significado especial en Scala?
- 30. ¿se puede copiar la firma del certificado digital? (ssl)
También tenga en cuenta el contenido de la comunidad al final del artículo. Hay un archivo de muestra por lotes para llamar a SignTool.exe, incluida la opción de marca de tiempo. – Bratch
Observe también que la página no tiene referencia de lo que es un PFX hasta que el contenido de la comunidad publique código de línea de comandos de muestra. –