【发布时间】:2019-04-15 12:45:22
【问题描述】:
我们设置了一个流程来使用 Microsoft 的 SIGNTOOL 手动签署我们的代码。我们使用 NSIS 生成安装包,是时候开始自动化代码签名过程以及 NSIS 脚本的一部分了。
我们不使用 Windows SDK 进行开发,因此不希望我们的开发人员需要这样做。我们也有一些人使用 Mac 和 Linux;任何人都可以制作安装程序,安装程序制造商有望自动签署代码。我们正在使用 PFX 文件对代码进行签名。
所以基本上我想弄清楚,“我怎样才能在不安装任何东西的情况下签署代码,除了一个小文件,这样它就可以在所有三个主要操作系统上运行”。使用 NSIS 进行自动化已得到处理,但在没有任何操作系统的 Windows SDK 的情况下执行此操作则不是。
【问题讨论】:
-
现代代码签名过程通常不涉及物理加密狗吗?
-
Mozilla 有一些使用 Mono 在 Linux/Mac 上签署 exe 的说明。我没试过这个:developer.mozilla.org/en-US/docs/Mozilla/Developer_guide/…
-
您并不想让所有开发人员都可以访问您的代码签名证书。即使您足够信任它们,也总是存在恶意软件窃取您的证书的风险。解决方案:设置一个构建服务器(例如 Jenkins),在您的版本构建后运行代码签名任务。
标签: winapi certificate nsis code-signing signtool