Подписание исполняемых файлов Windows с самодостаточным сертификатом

Question

Вопрос уже задан и дан ответ о том, как можно «подписать» исполняемый файл Windows; однако для ответа требуется постоянный расход размещенного сертификата.

У моей компании уже есть VPS, который мы используем для управления WWW, электронной почтой и версией, поэтому мне кажется, что мы можем разместить наш собственный сертификат, хотя и с меньшей надежностью, но все еще достаточный для наших клиентов.

У нас уже есть сертификат PEM, который администратор sysadmin настроен для нашего хостинга электронной почты (IMAP4); можем ли мы это использовать и какова процедура «подписания» исполняемого файла и размещения сертификата? Предположительно, где-то URL-адрес размещенного сертификата будет встроен в прикрепленное («подписанное») к исполняемому файлу.

Answer 1

Это a question on ServerFault that provides some good details on what specifically you can do with PEM (есть немного больше, чем я думаю, было бы разумно скопировать/вставить).

Что касается самоподписывания, да, это то, что вы можете сделать, хотя и не тривиально. В дополнение к настройке работы там будет некоторое текущее обслуживание, которое может стать настоящей болью, особенно если вы не знаете, что делаете очень хорошо. Проблема действительно двоякая:

1. Ваши клиенты должны установить корневой сертификат CA вашего VPS или вам необходимо установить его для них. Это несколько инвазивно и требует администратора. Кроме того, если ваш корневой ЦС когда-либо изменится (что должно быть как минимум столько же, сколько и истечет), вы должны обновить все машины снова.
2. Вы берете на себя существенную ответственность за безопасность системы. Если ваш VPS каким-то образом скомпрометирован, независимо от того, эксплуатируется ли он/проникает/обманывается, все равно, злоумышленник может олицетворять ваш исполняемый файл клиенту. Как вы можете себе представить, это может иметь катастрофические последствия.

Самоподписывание обычно не рекомендуется для производственных условий, особенно с внешними клиентами. Слишком много, чтобы знать и слишком много способов испортить это.

Если стоимость вопроса, вы должны проверить Comodo's code signing certificate offerings. Они, как правило, лучшие по цене и вполне надежны. They were hacked a copule years ago, но из этого инцидента было обнаружено поле безопасности, и ИМО это не было ошибкой Комодо.