Firme la aplicación con un certificado en implementación ClickOnce

Question

Para mi aplicación basada en Windows, me gustaría usar ClickOnce como tecnología de implementación. Mi aplicación se distribuirá a través de Internet.

En el artículo ClickOnce and Authenticode, leí que:

Para aplicaciones ClickOnce, debe tener un certificado Authenticode que es válido para la firma de código. Se puede obtener un certificado de firma de código en una de tres maneras:

1. comprar uno de un proveedor certificado.

2. Reciba uno de un grupo de su organización responsable de crear certificados digitales .

3. Genere su propio certificado con MakeCert.exe, que se incluye con el Kit de desarrollo de software de Windows (SDK).

En mi caso, el número 2 no es aplicable.

como he leído un par de filas más adelante:

Por defecto, aplicaciones ClickOnce firmados con auto-CERT y desplegado a través de Internet no pueden utilizar la implementación de aplicaciones de confianza.

(El subrayado es mío.)

no puede entender el significado de esta por defecto. ¿La opción n. ° 3 es posible o no en mi caso?

Y luego, para comprender todas las posibilidades, ¿qué implica el # 1? ("Compra uno de un proveedor certificado") ¿Qué tipo de certificado debería comprar? ¿Qué certificate authority se puede recomendar? Dependiendo de lo que debería elegir? ¿Cuánto cuesta un certificado?

Answer 1

Debe ser un "Certificado de Microsoft Authenticode". Nos permite firmar todo tipo de ejecutables y códigos de Windows, incluidos los archivos .exe, .cab, .dll, .ocx y .xpi.

No es obligatorio firmar una aplicación, pero si lo hacemos, nuestros usuarios no verán un mensaje de advertencia que indique que el autor del software es desconocido.

Los certificados de Microsoft Authenticode deben ser emitidos por una autoridad de certificación de confianza. Lamentablemente, los precios son bastante caros. Más información y algunos ejemplos están en la página Microsoft Authenticode Certificates.

ACTUALIZACIÓN Compré el certificado a través de KSoftware, que es un minorista Comodo. El precio es bastante bueno en comparación con las alternativas: $ 95/año.El proceso es más rápido de lo que esperaba: presenté la solicitud por la mañana y por la tarde mi certificado ya estaba disponible. (Para aquellos interesados, seguí this step-by-step guide.)

Answer 2

Ver my answer to Stack Overflow question How to sign a ClickOnce application.

Definitivamente recomendaría obtener un certificado de firma de código adecuado: la pantalla de instalación de la aplicación se verá mucho mejor en este caso. Personalmente, obtuve mi certificado de firma de código de http://startssl.com - y era de aproximadamente $ 100 en total (y obtienes un certificado de dominio de tarjeta salvaje para tu sitio web, así como una bonificación). Es mucho más barato que ir con VeriSign o TrustWave.