Visual Studio 签名错误：此证书在此 PC 上不受信任

Question

我正在尝试签署 UWP 应用程序，无论是调试版还是发布版，以便在其他一些设备上进行测试。我的证书似乎无效。

这是我的步骤：

• 我右键单击我的 UWP 项目，选择“发布”，然后选择“创建应用程序包”。
• 在弹出窗口中，我选择“sideloading”。
• 然后我会询问我是否要签署包裹。
• 我想选择“是”。我有一个证书，其中 subject 与清单中的 publisher 匹配。但是，就在下方，它显示一条消息“此证书在此 PC 上不受信任”。

如果我继续，VS 将创建一个包含一些安装文件的文件夹。如果我单击“...x64.msixbundle”，它会显示一个对话框，上面写着“更新...？”，并带有注释“不受信任的应用程序”和“此应用程序包未使用受信任的证书签名”下方的消息。 ..”（或者，我可以在 powershell 中运行 Install.ps1 脚本，得到相同的结果。）我不能再进一步了。而且，这是在我正在开发的同一台 PC 上。

我已尝试按照Create a certificate for package signing 和一些相邻页面上的说明进行操作。他们推断使用 VS 向导应该很简单。

附：我以前从未签署过 Windows 应用程序。也许我应该以完全不同的方式来做这件事？

Answer 1

主题与发布者匹配的证书需要被信任。

那该怎么办：

a) 证书是自签名的（颁发者与主题相同）

• 运行 certlm.msc（用于机器范围的信任）或 certmgr.msc 用于当前用户信任。
• 将证书导入Trusted Root Certificate Authorities

b) 证书不是自签名的（颁发者与主体不同）

如果您购买了真正的代码签名证书，您应该不需要做任何事情，因为您支付的正是我们正在建立的信任......

• 获取根/颁发者证书
  • *有一个.cer？
    • 双击cer文件
    • 点击Certificate Path 标签。
    • 双击树中的第一个证书 - 如果只有一个，请询问您从哪里获得证书！
    • 在新打开的窗口中点击Details 标签
    • 点击Copy to file按钮保存根证书。
  • 有一个 *.pfx 导入它
    • 运行certmgr.msc
    • 右击Personal并选择Advanced Tasks | Import导入pfx文件。
    • 识别导入的证书并导出根证书（请参阅拥有 *.cer）
• 运行 certlm.msc（用于机器范围的信任）或 certmgr.msc 用于当前用户信任。
• 将根证书导入Trusted Root Certificate Authorities

对于包签名，证书有额外的要求：

您用于签署应用包的证书必须满足以下条件：

• 证书的主题名称必须与存储在包中的 AppxManifest.xml 文件的 Identity 元素中包含的 Publisher 属性相匹配。发布者名称是打包的 Windows 应用程序标识的一部分，因此您必须使证书的主题名称与应用程序的发布者名称匹配。这允许根据数字签名检查签名包的身份。有关使用 SignTool 对应用程序包进行签名时可能出现的签名错误的信息，请参阅 How to create an app package signing certificate 的备注部分。
• 证书必须对代码签名有效。这意味着这两项都必须为真：
  • 证书的扩展密钥用法 (EKU) 字段必须未设置或包含代码签名的 EKU 值 (1.3.6.1.5.5.7.3.3)。
  • 证书的密钥使用 (KU) 字段必须未设置或包含数字签名的使用位 (0x80)。
• 证书包含私钥。
• 证书有效。它处于活动状态、尚未过期且未被撤销。

来源：https://docs.microsoft.com/en-us/windows/win32/appxpkg/how-to-sign-a-package-using-signtool

Answer 2

将 VS 配置为使用签署您要使用的证书的客户 CA（证书颁发机构）。

此 CA 应该是根 CA，因此任何中间 CA 也将受到信任。

此问题的一般原因是缺少根 CA 并且无法完成信任链，这意味着您可能只安装了中间 CA。