你如何签署你的 Firefox 扩展？

Question

我已经为 Firefox 开发了几个扩展程序，但我很恼火的是很难为扩展程序签名。当扩展程序未签名时，它会在安装时显示“作者未验证”，对我来说这看起来是错误的。

我有一个简单的构建脚本，可以从源代码构建我的 .xpi 文件，并且我有 PKZip 的许可副本（根据许多教程，构建 Firefox 所需的签名 xpi 文件需要它），但我没有'没有找到一种方法来获得真正有效的免费/便宜的证书或一组可以解决问题的说明。

由于我的扩展是免费的，我不想花 400 美元购买商业证书，但我不介意花 50 美元左右来完成它。我有 Linux 和 Windows 机器，虽然我的构建脚本目前使用的是 Windows，而且使用起来最方便。

你是怎么解决这个问题的？我需要做什么才能在构建扩展程序时自动且安全地对其进行签名？

编辑：我很欣赏 Google 的点击，但他们提供的步骤对于如何真正获得有效的证书还不够完整。我得到的感觉让我想起了这个经典：

Answer 1

如果您有开源项目，您可以从 Unizeto 获得免费的代码签名证书。

自己获取证书的步骤详细描述here。

获得证书后，请执行以下操作：

• 从您的浏览器中获取私钥（例如，从您的钥匙串中将其下载为 .p12 - 不要设置密码）并通过 openssl pkcs12 -in key.p12 -nodes -out private.key -nocerts 将其转换为 PEM 格式

• 打开您从 Unicert 下载的 .pem 文件，在其下方添加您的私钥，并在私钥下方添加来自 here 的 Public Key of Certum Level III CA，如下所示：

  -----BEGIN CERTIFICATE----- [your certificate from Certum] -----END CERTIFICATE----- -----BEGIN RSA PRIVATE KEY----- [the private key you just converted from the .p12 file from your keychain] -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- [the Certum Level III CA public key you just downloaded] -----END CERTIFICATE-----

• 将此文件另存为cert_with_key_and_ca.pem
• 安装xpisign.py 和pip install https://github.com/nmaier/xpisign.py/zipball/master
• 运行xpisign -k cert_with_key_and_ca.pem unsigned.xpi signed.xpi
• 将 signed.xpi 拖放到 Firefox 中，您应该会在扩展名旁边看到 （作者未验证） 消息之前看到作者姓名。

Answer 2

我已使用 comodo 证书签署 XPI。这是当时最便宜的选择。

我在XPI Format 上写了几篇文章，并使用java 命令行工具为signing 写了一个howto。

我的工具XPISigner 大大简化了流程，并且可以集成到构建系统中。

我已删除该工具，因为它不再适用于 FF4 或更高版本。如果有人想修复，请在http://code.google.com/p/xpisigner/ 上找到源代码。

Answer 3

避免使用 GoDaddy 代码签名证书，因为必要的中间 CA 证书默认情况下不在 Firefox 中。 C=US,ST=Arizona,L=Scottsdale,O=GoDaddy.com\,Inc.,OU=http://certificates.godaddy.com/repository,CN=GoDaddy Secure Certification Authority,SERIALNUMBER=07969287'

如果您使用它签名，您的用户将会收到签名错误。

例如

无法验证签名。 -260

Answer 4

Tucows 以每年 75 美元的价格出售 Comodo 代码签名证书，据我所知，这是最便宜的（https://author.tucows.com/，“代码签名证书”部分）。这对我来说仍然太多钱，所以我没有尝试它是如何工作的。不是我可以尝试，据我所知，您需要成为注册组织才能购买 Comodo 证书。

对于 Ascertia，获得证书很容易 (http://www.ascertia.com/onlineCA/Issuer/CerIssue.aspx) - 但这样的证书与自发证书一样毫无价值，因为您需要导入他们的根证书才能看到效果。

Answer 5

是的，不幸的是，XPI 签名非常重要。我建议搜索/发布到 mozilla 新闻组（dev-extensions、项目所有者@mozdev、irc.mozilla.org），并尝试与让它工作的人取得联系。

Answer 6

我在 Google 中发现的是：http://www.mercille.org/snippets/xpiSigning.php，其中指出：

如果您不想要广告 证书或买不起， Ascertia可以免费为您提供 证书，但把它变成一个 代码签名证书需要一些 额外的工作，我已经详细说明了 another page.

我不能说我已经尝试过了。 在http://developer.mozilla.org/en/Signing_a_XPI 上面写着：

最便宜的普遍支持 （Mozilla、Java、Microsoft）证书 似乎是 Comodo Instant-SSL 提供。你可以免费获得 开源开发者证书 来自 Unizeto Certum，但他们的根源 证书仅存在于 Mozilla Firefox 和 Opera（不是 Java 或 微软）。