我可以创建自签名证书,但我不太喜欢这个选项。或者我可以支付Verisign一些黄金来获取仅有效期几年的证书。我也不喜欢这个选项,因为我的财政很重要。
那么,还有其他选择吗?例如,提供支持开源项目的服务商,可以以降低价格提供证书?它不必是免费的,只需要比Verisign便宜得多就可以了...
(该项目是使用Visual Studio 2008创建的C#项目。还有一个在ASP.NET中使用SSL的附加项目。)
要为自己作为个人获得来自Certum / Unizeto的免费代码签名证书,请按照以下步骤操作。使用Internet Explorer或Safari,因为它们支持密钥交换机制。
浏览到测试ID和开源代码签名证书,并提交表单。
证书将出现在激活证书下。点击激活。
通过激活向导。对于组织输入开源开发人员。对于组织单位,请输入软件发布。
您将收到一封电子邮件要求提供身份证明。回复一个指向开源项目的链接和您的驾驶执照图像(或另一份被接受的文件)。为了保护您的隐私,您应该加密回复。*加密方式因电子邮件客户端而异。对于Outlook,请确保您拥有电子邮件证书(可免费获得),并打开加密。
一天左右后,您应该会收到一封含有收集证书链接的电子邮件。您必须从启动该过程的同一台计算机和浏览器打开链接。
ccp@certum.pl
,但Certum也接受发送到回复地址info@certum.pl
的证明,您可以向该地址发送加密电子邮件。2016年更新:StartCom已被WoSign收购在质疑的情况下。我不会信任StartCom/WoSign。请将以下文本视为关于StartCom 曾经直到2015年初表现如何的历史记录。
# Create key and CSR (key must be at least 2048 bit, per Policy Statement)
openssl req -nodes -newkey rsa:2048 -keyout codesigning.key -out codesigning.csr
# Add pass phrase to key (optional, but highly recommended)
openssl rsa -in codesigning.key -des3 -out codesigning2.key && \
mv codesigning2.key codesigning.key
通过网页界面提交申请,您将很快获得一张有效期为两年的新证书(我在一小时内获得了我的证书)。
StartCom的2级证书设置了终身签名OID。由于这个位,签名代码的签名将在证书过期后失效,即使它有时间戳也是如此。
当我询问StartCom的COO/CTO Eddy Nigg关于这个OID的原因时,他回答:
这要求我们在证书过期后保持CRL运行长达20年。这对于EV级别的证书来说是可以做到的(更低的数量,不同的付款条件),但会因此增加Class 2的价格(其中代码签名只是该级别选项中的一部分)。
因此,时间戳仅在扩展验证(EV)之后提供,而只有合法成立的组织才能获得,并且需要支付199.90美元。因此,个人开发者无法使用StartCom的代码签名证书进行时间戳。
很长一段时间,我认为这个限制是一个大问题。最近,我改变了我的想法:这只会发生一次,每两年一次,注重安全的用户可能更倾向于获取我的软件的最新版本,旧版本的软件仍将工作(对于那些想要使用它的人;尽管没有经过验证的签名)。
注意:即使设置了终身签名标志,请始终为您的代码添加时间戳!带有时间戳的签名将保持有效,直到证书的到期日期,即使证书已被吊销(显然,前提是在证书被吊销之前创建了该签名)。
在StartCom,您只需要支付验证费用。身份验证有效期为350天,在此期间,您可以免费请求代码签名证书。您只能拥有一个有效的代码签名证书,并且可以用于签署任何代码(MSI、DLL、XPI等),但不能用于驱动程序代码(这需要EV)。
要更改证书上的属性,必须吊销先前的证书并请求新证书。吊销证书的费用为29.90美元。不过,当我在获得代码签名证书后的第二天更改了我的电子邮件时,他们特别免费吊销了我的证书(我感到非常惊喜)!
当您的证书即将过期(近两年后),您将收到通知(提前两周)。 如果您的已验证身份仍然有效(请记住,验证在350天后过期;然后您必须再次确认您的身份,费用为59.90美元),则可以无需吊销先前的证书请求新证书。不要忘记发布使用此新代码签名证书签名的软件的新版本,因为以前的版本很快将显示“(未经验证)”或类似的内容。
当我收到我的证书时,我签署了我的Firefox插件。但是,它仍然显示“(作者未经验证)”,尽管我的XPI文件已正确签名。原来Firefox在查询StartCom的OCSP服务器以获取我的新证书的吊销状态时没有获得当前的证书状态。可能相关的论坛主题
您需要购买代码签名证书。最便宜的证书来自Comodo。我已经发布了源代码和二进制文件,就像您计划的那样,并对这些二进制文件进行了签名。请参见照片和其他文件的日期和时间批量更改器。