【发布时间】:2015-06-06 19:35:10
【问题描述】:
目前,我们公司使用 Versign/Symtanec 的数字证书对我们的软件进行代码签名。
我们公司有人试图说服我们使用自签名证书,而不是从 Verisign/Symantec 购买的证书。部分是作为“降低成本”的程序(即使它们对于 2-3 年的更新来说非常便宜),部分是为了在修补意义上使事情变得更容易,因为我们的软件运行的系统(工业机器)有安装了具有非 Windows 证书存储的软件,我们的证书也需要在其中进行管理。显然,他们想使用 Windows 根 CA 来生成我们的证书,这样我们就不必不断修补新证书,只要 Windows 根 CA 有效,我们的证书基本上就会持续存在......
我一直在寻找的所有地方,我发现有些人使用自签名证书来进行网络上的网站身份验证等事情,但是在代码签名上下文中使用时,有很多证书示例一代和人们说你可以在更接近生产环境的环境中使用它们进行测试(我过去做过),但我找不到任何理由来解释为什么不使用自签名证书用于代码签名生产软件。
自从我不得不查看证书方面已经有一段时间了,但这感觉不对。
可能只是我在证书方面的经验不足,无法理解为什么这是一个好主意。有没有人有任何意见可以帮助我理解这一切的全部含义?
【问题讨论】:
标签: certificate code-signing self-signed code-signing-certificate