使用自托管证书签署Windows可执行文件

Question

已经询问并回答了有关如何“签署”Windows可执行文件的问题;但是，答案需要持续支付托管证书的费用。

我的公司已经有了一个用于WWW，电子邮件和版本控制的VPS，所以在我看来我们可以托管我们自己的证书，尽管信任度较低，但仍然足以满足我们的客户。

我们已经主持了顾问系统管理员为我们的电子邮件（IMAP4）托管设置的PEM证书;我们是否可以使用它，以及“签署”可执行文件和托管证书的过程是什么？据推测，托管证书的URL将被嵌入到附件（'签名'）的可执行文件中。

Answer 1

这里是a question on ServerFault that provides some good details on what specifically you can do with PEM（这里有比我认为复制/粘贴更谨慎的东西）。

至于自我签名，是的，这是你可以做的事情，尽管并不平凡。除了设置它的工作之外，还有一些持续的维护可能是一个真正的痛苦，特别是如果你不知道自己做得很好的话。这个问题实际上是两个方面：

1. 你的客户端必须安装您的VPS的根CA证书，或者您必须安装它他们。这有点侵入性，需要管理员。此外，如果您的根CA发生更改（至少应该过期），您必须重新更新所有机器。
2. 您承担系统安全性的重大责任。如果您的VPS以某种方式受到攻击，它是否被利用/侵入/欺骗都是一样的，攻击者可以将您的可执行文件模仿给客户端。如你所想，这可能会造成灾难性的后果。

自签名一般不建议在生产环境中，特别是与外部客户。有太多的知道和太多的方法搞砸了。

如果成本是一个问题，你应该检查出Comodo's code signing certificate offerings。他们通常是最好的价格和相当可靠的。 They were hacked a copule years ago，但是从该事件中学到了很多安全领域，IMO并不是Comodo的错。