问使用osslsigncode的代码签名-发行者未知

EN

这花了我好几个小时的时间，但我想我现在明白了.

• Windows有其可信证书的内部数据库。这些包括根证书(由Windows安装和更新)和其他中间CA证书，这些证书是它在不同时间看到的(由根证书或其他可信证书签名)。
• 当Windows/UAC在启动时检查可执行签名时，它会在本地数据库中查找已对嵌入在可执行签名中的证书的根进行签名的受信任证书。
• 如果Windows找不到可信的签名证书(可能是因为嵌入的证书是用中间证书(而不是根证书)签名的，中间证书不在本地数据库中)，则会导致未知发布服务器。
• 如果您查看可执行属性的“数字签名”选项卡，Windows将更进一步，并自动尝试下载和安装任何由其本地证书之一信任的有效中间证书。一旦将此中间证书添加到Windows的本地证书存储中，可执行启动时的签名检查也将开始传递(即显示正确的发布服务器)。(这个MSDN回答解释了逻辑，尽管它们描述的根本原因--根证书还没有更新--是不同的。

解决方案是将中间证书与主证书一起传递给osslsigncode。(H/T to Tor项目确认这一点.)

• 找到正确的中间CA证书。可以通过openssl x509 -text -in cert.pem完成，然后查找“授权信息访问-> "CA颁发机构”URI“。证书标识符(序列号等)也可以在”数字证书“选项卡->”查看证书“”->“证书路径下找到。 (提示:不要总是相信CA的支持页面有正确的信息来下载中间证书，在从CA的网页下载错误的中间证书之后，我浪费了很多时间。)
• 将所有证书转换为PEM格式，如果有必要，可以使用openssl x509 -in my_intermediate_ca.crt -inform der -outform pem -out my_intermediate_ca.pem或类似的格式。
• 将整个CA链放入一个PEM文件中，首先使用代码签名证书：cat mycert.pem my_intermediate_ca.pem > certchain.pem (如果代码签名证书不是链中的第一个，Windows将看到一个由中间证书“签名”的无效签名。)
• 运行osslsigncode -certs certchain.pem ... (注意:我也通过了-h sha256和-ts http://timestamp.digicert.com，尽管我认为所有的东西都可以与其他选项的组合一起工作。)