【发布时间】:2012-04-29 11:04:03
【问题描述】:
我正在为我的开源项目获得代码签名证书。我有几个关于他们的问题:
- 作为开发开源项目的未注册公司,有没有办法通过验证流程?
- 如果我以个人名义注册代码签名证书,是否存在任何风险(例如,身份被盗和跟踪)?
【问题讨论】:
标签: open-source certificate code-signing authenticode
【发布时间】:2012-04-29 11:04:03
【问题描述】:
Certum (http://www.certum.pl) 为开源项目提供免费的代码证书。我知道 TortoiseSVN 和 AnkhSVN 项目使用它们的证书进行分发。
当证书过期时签名过期的问题并不特定于证书提供者,而是与您签署证书的方式有关。为了保持签名有效,您还应该签署时间戳。请参阅您的证书提供商的常见问题解答。
【讨论】:
-
我已经尝试注册 Certum,但仍然没有收到回复。太糟糕了,我已经签署了我的软件,因为我没有添加时间戳。我想我可以重新发布该软件,但工作量很大......
-
您应该能够重新签署您现有的软件。至少对于我使用的 MSI-s,这是一个相对简单的操作。我不使用此证书签署我的 .Net 代码本身。
-
过去几年我有一个certum 证书。 (必须在接下来的两周内更新)
-
看起来 Certum 不再免费。我收到通知说我的证书即将过期,我现在被发送到购买页面。美国转换后价格低于 20 美元,但他们的产品页面也没有说明证书的有效期。价格可能合适,但如果我要开始为一个宠物项目掏钱,我想更清楚地知道我得到了什么。
-
“生命周期签名”是一个扩展密钥使用 OID,它将签名限制在证书的生命周期内——时间戳不会改变这一点。
您可以作为个人获得证书。有关发行人,请参阅Code signing certificate for open-source projects?。
当您以个人身份获得代码签名证书时,您必须证明您的身份。这涉及向发行公司提供识别信息,例如驾驶执照或护照。但是,被放入证书(因此在您发布使用该证书签名的应用程序时公开)的唯一识别信息是您的姓名和电子邮件地址。
【讨论】: