certificate code-signing authenticode

certificate - Firma de código(Microsoft Authenticode)



code-signing (5)

Tengo un programa que es utilizado por un gran número de personas que no siempre son muy hábiles con las computadoras. Quiero asegurarme de que, en lugar de hacer que mi ejecutable diga que es de un autor desconocido, dice que fue firmado por mí.

Hasta donde sé, esto se puede hacer con Microsoft Authenticode. Entiendo que necesito un certificado para hacer esto y que estaba buscando uno a un precio razonable. Me tropecé con la página Certificados de Microsoft Authenticode .

Parece que GlobalSign tiene todo lo que necesito. ¿Cuál es la experiencia con certificados de ellos o hay una mejor compañía? ¿Hay buenos tutoriales para alguien que hace esto por primera vez?


En cuanto al certificado, hemos cambiado completamente a StartSSL.com por todas nuestras necesidades de SSL y de firma de código, ya que su enfoque único (hasta donde tengo conocimiento) de validación y certificados permite precios considerablemente más bajos (~ 50 USD por 2 años, certificados ilimitados) y mucha más flexibilidad: vea mi respuesta en Pro Webmasters para conocer algunos pros y contras de su enfoque en general y de los certificados SSL en particular.

Desde hace bastante tiempo ofrecen certificados de firma de código para su uso con Authenticode, aunque todavía están etiquetados como beta ; los estamos utilizando con éxito para las aplicaciones implementadas de ClickOnce en varios sitios de clientes sin ningún problema. Lo único que definitivamente parece ser la calidad beta sigue siendo su servidor de estampado de tiempo , que no responde en todo momento, pero simplemente reemplazándolo con uno de otro proveedor funcionó impecablemente hasta el momento. Si bien su documentación en cuanto a SSL es correcta, la de la firma de código definitivamente es muy débil (casi inexistente), por lo que tuvimos que extraer la mayor parte de la información de los foros o los consejos genéricos en otro lugar.

Si la fijación de precios y la flexibilidad con los certificados son sus principales preocupaciones, creo que no se arrepentirá de probar sus ofertas; si, por otro lado, la documentación completa y un proceso establecido y una base de clientes para la firma de códigos en particular son más importantes para usted, este vendedor comparativamente pequeño y distinto no satisfará sus necesidades (personalmente nunca he estado satisfecho con las respectivas ofertas de vendedores más grandes y / o más caros)

Actualizar:

Me acabo de dar cuenta de que la pregunta relacionada vinculada por Kate Gregory ya cuenta con una respuesta recomendando también StartSSL , por lo que puede verificar los temas mencionados dentro de este hilo de hecho.


Estoy usando un certificado de Certum para mis proyectos. Los precios son razonables, su soporte es rápido y bastante bueno en comparación con otras compañías.

Y proporcionan los certificados de forma gratuita si los usa para un proyecto de código abierto. Pero tienes que pedirlo, no anuncian eso en su sitio web (o simplemente no lo he encontrado).


Mi organización ha utilizado Verisign y Comodo (ahora utilizamos el primero ya que el servicio de Informes de Errores de Windows no aceptaría un certificado de Comodo, algo a tener en cuenta). No hay demasiado para eso: puede usar SignTool.exe que es parte del .NET SDK (puede haber otras herramientas, pero esta es fácilmente disponible, especialmente si tiene Visual Studio).

Tenemos un script que ejecuta lo siguiente (las variables% _...% se establecen en el script,% 1 es el archivo que está firmando)

signtool.exe sign /f %_PFXFILE% /p %_PASSWORD% /v /t http://timestamp.verisign.com/scripts/timstamp.dll /d %_DESCRIPTION% /du %_URL% %1



Comodo es un buen punto de partida para encontrar el certificado de firma de código más barato, pero uno recibe el mejor precio de un distribuidor .

Acabo de verificar los precios de https://author.tucows.com/ . Son:

  • Certificado de firma de código de Comodo - 1 año: US $ 75
  • Certificado de firma de código de Comodo - 2 años: US $ 140
  • Certificado de firma de código de Comodo - 3 años: US $ 195

Condición adicional son

  • La mayoría de los certificados SSL totalmente validados y totalmente compatibles a bajo costo disponibles
  • Tan confiable como Verisign y Thawte , pero una fracción del precio
  • 99% de ubicuidad del navegador
  • Estándar de la industria de 128 bits
  • Procesos de validación tan fuertes como Verisign y mucho más fuertes que GeoTrust
  • 30 días de garantía de devolución de dinero
  • 30 días de reemplazo gratuito y política de reemisión
  • Diversos niveles de garantía para necesidades específicas del sitio
  • Auditoría de seguridad gratuita de SecuritySpace
  • TrustLogo gratuito (por valor de $ 119) con cada certificado InstantSSL Pro y PremiumSSL

El único truco para recibir el precio: debe registrarse GRATIS en author.tucows.com.

Una observación más . Independientemente de la cuestión del precio, quiero agregar una información importante para asegurarme de que comprende correctamente por qué necesita el sello de tiempo . Si firma un archivo con un certificado de firma de código, puede usar el sello de tiempo libre desde cualquier servidor de sellado de tiempo como timestamp.verisign.com (consulte el parámetro / T de la utilidad SignTool.exe ). La ventaja práctica del sellado de tiempo es la siguiente: si utiliza un certificado de firma de código que es legal hasta finales de 2010, por ejemplo, la firma del archivo se mantendrá correcta después de finales de 2010. Sin sello de tiempo debe renunciar al archivo con el nuevo certificado. El servidor de sellado de tiempo solo confirma la fecha de firma. Debido a que su certificado estaba bien en la fecha, no tendrá problemas más adelante. Entonces, si necesita un certificado solo para vender un software una vez, puede obtener un certificado por el período mínimo: un año. Puede obtener más información sobre el sellado de tiempo en SSL Certificate Authority y Digital IDs y Trusted timestamping .

Con respecto a otra parte de su pregunta: Después de que tenga un certificado, le recomiendo que solo use la utilidad SignTool.exe . Es simple, GRATIS y fácil de usar. Puede encontrar ejemplos del uso de SignTool.exe en el uso de la SignTool.exe de inicio de sesión para firmar un archivo y el ejemplo de firma de ensamblaje o simplemente inicie el SignTool.exe sign -? .