我应该签署捆绑包和/或所有 MSI 文件吗?蜡

【问题标题】:Should I sign bundle and/or all MSI files? WIX我应该签署捆绑包和/或所有 MSI 文件吗?蜡
【发布时间】:2019-03-26 20:17:22
【问题描述】:

我使用 WIX 工具集生成 MSI 文件,然后将它们放在一个包中。 然后,我从包和包本身签署(wix manual) 引擎:

insignia -ib bundle.exe -o engine.exe
signtool sign /v /f test_cert.pfx /p pass1234 /t http://timestamp.globalsign.com/scripts/timstamp.dll engine.exe
insignia -ab engine.exe bundle.exe -o bundle.exe
signtool sign /v /f test_cert.pfx /p pass1234 /t http://timestamp.globalsign.com/scripts/timstamp.dll bundle.exe

我看到了一些描述该过程的帖子,其中还包括对所有 MSI 和 cabs 文件进行签名。我想知道签署引擎和捆绑包而不是 MSI 文件是否足够。后果是什么?推荐的方式是什么?

【问题讨论】:

    标签: wix windows-installer bundle digital-signature code-signing


    【解决方案1】:

    是的,只签署 Bundle 就足够了。 Bundle 包含链接包的哈希值,以确保在传输或安装过程中不会篡改包。 Bundle 的行为类似于其包含文件的目录文件。

    Our recommendation(通常)费心签署除 Bundle 之外的任何内容 - 除非您出于某些其他原因(例如基于 GPO 的部署)必须将 MSI 直接发送给客户。 p>

    【讨论】:

    • 我一直不喜欢 administrative installation 删除 MSI 文件的数字证书这一事实。 MSI 5 甚至开始使用内部 cab 缓存整个 MSI 文件,以避免破坏签名 (UAC issues)。另一个问题,但我认为这是您建议对捆绑包本身而不是嵌入 MSI 文件进行签名的原因之一? (没那么重要,只是想到了)。我想大公司应该对他们提取的 MSI 文件进行自签名。没试过。
    猜你喜欢
    • 1970-01-01
    • 2012-02-22
    • 2012-04-17
    • 2016-12-21
    • 1970-01-01
    • 2019-02-10
    • 1970-01-01
    • 2010-10-15
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode