Internet Explorer 将有效证书显示为“损坏或无效签名”答案

【问题标题】：Internet Explorer shows valid certificate as "corrupt or invalid signature"Internet Explorer 将有效证书显示为“损坏或无效签名”
【发布时间】：2013-09-24 08:15:38
【问题描述】：

我们已经使用 SignTool.exe 和 GoDaddy 证书对我们的产品安装进行了签名，并且我们的签名在 Windows 中显示为有效并使用 SignTool 的“验证”选项。但是，当文件在 Internet Explorer 9 中下载时，它会报告“签名已损坏或无效”。

我们显然不希望我们的用户在安装我们的设置时遇到问题，所以我需要帮助来修复它。奇怪，网上基本没有关于这个问题的帮助。

【问题讨论】：

一直在分发使用 GoDaddy 证书签名的安装程序 1 年没有问题，直到昨天。 3 个不同的客户打电话来解决这个问题。 IE 给出了这个错误，但 Windows 认为没问题。我们无法重现该问题，其他客户全天都没有遇到任何问题。我怀疑 Microsoft 或 GoDaddy 出现某种服务器中断或错误，但尚未找到任何信息。请分享您发现的任何内容，我也会这样做。
感谢您分享您的经验。但是，我刚刚再次尝试，仍然遇到同样的问题。希望我们能尽快找到有关它的信息。如果我学到任何新东西，我会告诉你的。
我又遇到了同样的问题，但现在是 KB3124605。还有其他人吗？
@Rik，请参阅下面的答案。

标签： internet-explorer certificate installation signature

【解决方案1】：

Microsoft 于 2016 年 1 月 12 日发布了 security update。此更新改变了 Windows enforces authenticode code signing and timestamping 的方式。

如果您的代码签名证书具有 SHA1 签名，则在 2015 年底之后使用此类证书签名的任何内容都会被标记为无效签名。因此，您需要重新颁发证书以满足新要求。

看看这篇文章：Renew your Windows code signing certificates by December 31, 2015。

【讨论】：

我在how to use Signtool to sign your file(s)上发布了答案
很好的发现。在我的情况下，问题发生在 Microsoft Edge 浏览器中，而不是像 OP 那样的 IE9。换句话说，我认为我遇到了与 OP 相同的问题，但出于不同的原因（Microsoft 放弃了对 SHA1 的支持），因此这个答案对我的问题是正确的，但可能不是对于 OP 的具体问题是正确的。

【解决方案2】：

我通过反复试验发现这是由破坏 IE 的 Windows 更新引起的：

Internet Explorer 累积安全更新 (2870699) - 2013 年 9 月 10 日发布

http://support.microsoft.com/kb/2870699

http://technet.microsoft.com/en-us/security/bulletin/ms13-069

我安装了所有最新更新并能够重现该问题。然后我卸载了这个单一的更新，它解决了这个问题。然后我重新安装了更新，它又坏了。

这很糟糕！

【讨论】：

【解决方案3】：

微软知道该错误：

http://connect.microsoft.com/IE/feedback/details/800433/kb2870699-breaks-ie-msi-signature-validation

【讨论】：

那里描述的 GoDaddy 的解决方法（使用 SHA256 而不是 SHA1 的时间戳）对我有用。

【解决方案4】：

旧消息，但如果您今天发现自己在这里，我们刚刚发布了一组有助于解决此问题的步骤（不是作为开发人员，而是作为尝试运行安装程序的用户）。详细信息是in our blog，但简而言之，您的主要选择是：

使用其他网络浏览器下载文件
选择其他下载位置
告诉 Windows SmartScreen 忽略此警告

【讨论】：