代码签名证书
代码签名证书
EV代码签名
为了最大限度的信任
内核模式驱动程序和 Windows 硬件开发中心需要此证书。签名在证书过期后仍然有效。需要提供组织实体信息。
个体经营者电动汽车代码签名
个人电动汽车信托
享受所有电动汽车权益,支持内核模式驱动程序签名、带时间戳的签名,并以个人身份进行验证。无需注册商业实体。
OV代码签名
对于组织
组织名称已验证并显示。在所有 Windows 版本上均受信任。最适合面向最终用户分发软件的软件公司和独立软件开发商 (ISV)。
IV 代码签名
对于个人开发者
每个安装程序上都印有个人姓名。无需提供商业文件。最适合独立开发者、开源维护者和自由职业者。
SSL.com 提供 IV 代码签名 对于个人开发者而言, OV代码签名 对于组织而言, 个体经营者电动汽车代码签名 对于需要企业级信任的个人和个体经营者而言, EV代码签名 适用于需要内核模式驱动程序签名的组织。所有驱动程序在 Windows 上均受信任,并可通过 eSigner 使用云端 HSM 支持的签名功能。
比较代码签名证书
| 特性 | IV:个人 | OV:组织 | EV SP:独资经营者 | EV:扩展验证 |
|---|---|---|---|---|
| 它是给谁的 | 独立开发者、开源维护者 | 软件公司、独立软件开发商、企业 | 需要完全电动汽车信托的个体经营者 | 企业、驱动程序发布商、CI/CD 流水线 |
| 安装程序名称 | 个人已验证姓名 | 组织机构的已验证名称 | 个人已验证姓名(EV验证) | 组织机构的已验证名称(所有验证) |
| Windows 上的受信任 | 是的:所有版本 | 是的:所有版本 | 是的:所有版本 | 是的:所有版本 |
| 发布商展示 | 在 Windows 安全提示符中显示组织名称 | 在 Windows 安全提示符中显示组织名称 | 在 Windows 安全提示符中显示组织名称 | 在 Windows 安全提示符中显示组织名称 |
| 内核模式驱动程序签名 | 没有 | 没有 | 是的:必填 | 是的:必填 |
| 需要商业实体 | 没有 | 是 | 否(单独验证) | 是 |
| 存储需求 | 硬件令牌、HSM 或电子签名器 | 硬件令牌、HSM 或电子签名器 | 硬件令牌、HSM 或电子签名器 | 硬件令牌、HSM 或电子签名器 |
| 可从任何 CI/CD 流水线进行签名:无需硬件 | 为代码添加电子签名? 用于 CI/CD 流水线的云端 HSM 签名。支持所有四种证书。无需硬件令牌。 | |||
| 立即开始 | 买静脉注射? | 购买OV? | 买入电动汽车SP? | 购买电动汽车? |
哪种证书最适合你?
共同需求
安全密钥存储
私钥无法导出。必须存储在符合 FIPS 140-2 标准的硬件令牌、eSigner 云 HSM 或受支持的云 HSM 上。
时间戳记
所有已签名的代码都应在签名时添加时间戳;时间戳可将签名的有效期延长至证书过期之后。
CA/B 论坛代码签名 BR
SSL.com 的所有代码签名证书均按照 CA/B 论坛代码签名基线要求颁发。
准备好签署你的代码了吗?
常见问题
微软 SmartScreen 是 Windows 内置的信誉系统(Defender SmartScreen),它决定下载的应用程序是否可以正常运行而不发出警告。当用户运行新下载的程序时,SmartScreen 会将文件及其签名证书与微软的信誉数据进行比对。来自信誉度低或没有信誉度的发布者的文件,即使软件签名正确,也可能触发“无法识别的应用”警告。
信誉与您的签名身份紧密相关,并随着更多用户下载并顺利运行您签名的软件而逐步建立。更高的干净下载量和一致的签名历史记录会加速这一过程。过去,EV(扩展验证)代码签名证书会立即获得 SmartScreen 信誉,而 OV 和个人证书则需要逐步积累。微软已不再采用自动即时信誉机制,因此如今所有证书类型都通过实际使用情况而非仅仅依靠验证级别来建立 SmartScreen 信誉。不过,内核模式驱动程序仍然需要 EV 签名,企业环境也通常期望使用 EV 签名。
一些实用技巧:信誉与发布者/证书的身份相关联,因此持续使用同一证书进行签名有助于积累信誉。续订证书时,信誉的重建速度通常比新实体或发布者切换到其他 CA 时快得多。更改组织名称、证书或 CA 可能会重置或减慢此过程。对每个版本(包括更新)进行签名,并使用可信时间戳以确保签名在证书过期后仍然有效,这两点都有助于维护稳定的信誉。
