1. घर
  2. सवाल और जवाब
  3. क्या होता है जब कोई कोड हस्ताक्षर प्रमाणपत्र समाप्त हो जाता है?

क्या होता है जब कोई कोड हस्ताक्षर प्रमाणपत्र समाप्त हो जाता है?

2008-11-30 14 views
41

मैं एक एक्सबीएपी पर हस्ताक्षर करने के लिए वेरीसाइन या थॉवे से कोड हस्ताक्षर प्रमाणपत्र खरीदने पर विचार कर रहा हूं। मेरा सवाल यह है: जब प्रमाणपत्र समाप्त हो जाता है तो क्या होता है? $ 29 9 और $ 59 9 1 साल/2-वर्षीय प्रमाणपत्रों के लिए बहुत भारी कीमतें हैं, और यदि मेरा प्रमाणपत्र समाप्त होने पर मुझे अपने ग्राहकों को एक नया हस्ताक्षरित बिल्ड देना होगा, तो मैं केवल अपना प्रमाणपत्र बनाने के लिए परेशानी का सामना करूंगा अभी व।क्या होता है जब कोई कोड हस्ताक्षर प्रमाणपत्र समाप्त हो जाता है?

मुझे अपना खुद का प्रमाणपत्र बनाने के बारे में क्या पसंद नहीं है, यह उन सभी क्लाइंट मशीनों को वितरित करने में कठिनाई है जो मेरे एक्सबीएपी का उपयोग करेंगे। मेरा एप्लिकेशन केवल एक लैन पर उपयोग किया जाएगा, इसलिए मुझे लगता है कि मैं हमेशा अपने होम ब्रूड सर्टिफिकेट को स्थापित करने के लिए विंडोज इंस्टालर का उपयोग कर सकता हूं (हालांकि मुझे यह कैसे करना है इस पर अनिश्चितता है - किसी के पास कोई विचार है?)।

अगर मैं आंशिक ट्रस्ट एप्लिकेशन प्रदान कर रहा था तो यह वास्तव में कोई समस्या नहीं होगी - लेकिन मेरे आवेदन को वेब अनुमतियों की आवश्यकता है, क्योंकि यह डब्ल्यूसीएफ सेवाओं से बात करेगा, इसलिए यह आंशिक विश्वास और पूर्ण विश्वास के बीच उस ग्रे क्षेत्र में है , और प्रमाण पत्र के बिना, मुझे लगता है कि जब मैं अपने एक्सबीएपी को लोड करने का प्रयास करता हूं तो मुझे उस मजेदार ओले ट्रस्ट को संदेश नहीं मिला है।

कोई विचार?

स्रोत

2008-11-30 Rob Ringham

+1

अन्य प्रमाणपत्र प्रदाता हैं जो बहुत सस्ता हैं। –

+0

धन्यवाद टोड - आप किससे सुझाव दे सकते हैं कि मैं देखता हूं? –

+2

www.CACert.org एक गैर-लाभकारी संगठन है जो विश्वसनीय व्यक्तियों को निःशुल्क कोड-हस्ताक्षर प्रमाणपत्र प्रदान करता है। – cjakeman

उत्तर

8

यदि आप इसे बंद (लैन) वातावरण में उपयोग करने की योजना बना रहे हैं तो आपको क्या करना चाहिए, अपना स्वयं का सीए सेट करना है। विंडोज सर्वर संस्करणों में प्रमाणन प्राधिकरण का उपयोग करना आसान है, लेकिन openssl द्वारा प्रदान किए गए डेमोका के माध्यम से न्यूनतम सीए सेट करना भी आसान है, जिसमें कई स्क्रिप्ट शामिल हैं। आप Windows12 या natively पर Cygwin में openssl demoCA चला सकते हैं। इस डेमोका में कई perl/bash स्क्रिप्ट शामिल हैं जो अनुरोध उत्पन्न करने के लिए openssl कमांड को कॉल करते हैं, प्रमाण पत्र/क्रॉल आदि पर हस्ताक्षर करते हैं।

जब आपके पास अपना स्वयं का सीए है जो आपको स्थापित करने की आवश्यकता है तो आपका सीए रूट प्रमाणपत्र है इसलिए अब और नहीं होगा सीए प्रमाणपत्र प्रमाणित होने के बाद से उपयोगकर्ता प्रमाणपत्र अपडेट करने में परेशानी होगी। आम तौर पर एक सीए प्रमाणपत्र 5-10 साल तक चलना चाहिए, लेकिन आप जितना चाहें उतना कॉन्फ़िगर कर सकते हैं (याद रखें कि यह आपका स्वयं का सीए है)।

सीए प्रमाणपत्र प्रत्येक ग्राहक मशीन पर स्थापित किया जाएगा। यदि आपका एप्लिकेशन विंडोज सिस्टम सुरक्षा पर भरोसा करता है तो इसे IExplorer प्रमाणपत्र प्राधिकरण कीस्टोर पर स्थापित किया जाना चाहिए। यदि आप जावा एप्लिकेशन का उपयोग करते हैं तो आपको जावा कुंजीस्टोर के अंदर सीए प्रमाणपत्र वितरित करना चाहिए।

स्रोत

2008-11-30 22:22:36

+0

धन्यवाद फर्नांडो - मैं थोड़ी उलझन में हूं, हालांकि - प्रत्येक ग्राहक मशीन पर सीए प्रमाणपत्र कैसे स्थापित किया जाता है? क्या इसे मैन्युअल रूप से किया जाना है? –

+0

हां। सबसे प्रत्यक्ष दृष्टिकोण इसे मैन्युअल रूप से करना है। बस अपने प्रमाणपत्र को ".cer" या ".der" एक्सटेंशन से सहेजें। इसे डबल क्लिक करें और विंडोज़ आपको आयात करने के लिए एक विज़ार्ड पेश करेगा। –

+20

सभी अच्छी जानकारी, लेकिन "क्या होता है जब कोई कोड हस्ताक्षर प्रमाणपत्र समाप्त हो जाता है?" – Bratch

9

यदि आप बाइनरी पर हस्ताक्षर करते समय टाइम स्टैंप जोड़ना सुनिश्चित करते हैं, तो प्रमाणपत्र समाप्त होने पर आपको उन्हें फिर से साइन इन नहीं करना होगा। सिग्नलोल की कमांड लाइन में बस "/ t http://timestamp.verisign.com/scripts/timstamp.dll" जोड़ें और डिजिटल हस्ताक्षर हमेशा वैध के रूप में चिह्नित किया जाएगा जब तक कि प्रमाणपत्र निरस्त नहीं किया जाता है और सीए विश्वसनीय है।

कारण कोड हस्ताक्षर प्रमाणपत्र इतने महंगे हैं कि किसी को यह सत्यापित करना होगा कि आप कौन हैं जो आप कह रहे हैं। मेरे मामले में उन्होंने पता और फोन नंबर सत्यापित किया, और मुझे फोन किया। हालांकि कमोडो के प्रमाण पत्र थोड़ा सस्ता दिखते हैं।

स्रोत

2010-08-04 22:03:58 BCran

+0

क्या कोई पुष्टि कर सकता है कि ऊपर प्रदान किए गए वेरीसाइन टाइमस्टैम्प यूआरएल केवल वेरिसाइन प्रमाण पत्र के लिए मान्य है? यह मेरी धारणा है। –

+2

होगा: नहीं, यह किसी भी विक्रेता से प्रमाण पत्र के लिए काम करेगा। मैंने इसे अपने ग्लोबसाइन प्रमाण के साथ उपयोग किया है। – BCran

58

यदि आप प्रमाण पत्र मान्य करते समय अपने कोड को टाइमस्टैम्प करें प्रभाव यह है कि आपका समय समाप्त हो गया प्रमाणपत्र अच्छा है।

Thawte Code Signing Certificate FAQs से:

कब तक मैं एक कोड के लिए प्रमाणपत्र हस्ताक्षर का उपयोग कर सकते हैं?

  • कोड हस्ताक्षर प्रमाण पत्र 1 या 2 वर्षों के लिए मान्य हैं, इस पर निर्भर करता है कि आप प्रमाणपत्र खरीदने पर चुनने वाले जीवन चक्र के आधार पर कौन सा जीवन चक्र चुनते हैं।कृपया ध्यान दें: माइक्रोसॉफ्ट® प्रामाणिकोड® (बहुउद्देश्यीय) के लिए, आपको अपने हस्ताक्षर कोड को टाइमस्टैम्प भी करना चाहिए ताकि आपका प्रमाणपत्र समाप्त होने पर आपके कोड की समयसीमा समाप्त हो सके।

कोड हस्ताक्षर प्रमाणपत्र समाप्त होने के बाद वैध टाइम कोड मुद्रित है?

  • माइक्रोसॉफ़्ट® Authenticode® (बहुउद्देश्यीय) आपको अपने हस्ताक्षरित कोड को टाइमस्टैम्प करने की अनुमति देता है। टाइमस्टैम्पिंग सुनिश्चित करता है कि प्रमाणपत्र समाप्त होने पर कोड समाप्त नहीं होगा क्योंकि ब्राउज़र टाइमस्टैम्प को मान्य करता है। टाइमस्टैम्पिंग सेवा को वेरीसाइन की सौजन्य प्रदान की जाती है। यदि आप कोड पर हस्ताक्षर करते समय टाइमस्टैम्पिंग सेवा का उपयोग करते हैं, तो आपके कोड का एक हैश आपके कोड के लिए टाइमस्टैम्प रिकॉर्ड करने के लिए वेरीसिगन के सर्वर पर भेजा जाता है। एक उपयोगकर्ता का सॉफ़्टवेयर एक समय-समय पर समाप्त होने वाले प्रमाणपत्र के साथ हस्ताक्षरित कोड के बीच अंतर कर सकता है जिसे भरोसा नहीं किया जाना चाहिए और उस कोड पर हस्ताक्षर किए गए कोड पर हस्ताक्षर किए गए कोड पर हस्ताक्षर किए गए थे, लेकिन बाद में समाप्त हो गया था।

स्रोत

2010-08-06 23:01:51

+1

यह सही जवाब है।आपको एक विश्वसनीय सहकर्मी और डिजिटल टाइमस्टैम्पिंग का उपयोग करने की आवश्यकता है ताकि आपके ऐप पर हस्ताक्षर किए जाने के बाद वैध विज्ञापन विटाम रहता है। – Gui13

22

WTD_LIFETIME_SIGNING_FLAG सेट के साथ प्रमाण पत्र के लिए ध्यान दें: इसका मतलब है (के बावजूद आप क्या नाम से मान मन) है कि एक कार्यक्रम प्रमाणपत्र द्वारा हस्ताक्षरित अमान्य है प्रमाण पत्र की समय सीमा समाप्त होने के बाद, फिर भी कार्यक्रम नहीं बदला है , और प्रमाण पत्र वैध होने पर मान्य था।

यह अपडेट को भी प्रभावित करता है, भले ही ग्राहक आपकी कंपनी के सभी कार्यक्रमों पर भरोसा करने के लिए बॉक्स को चेक करता है, यदि आपका अपडेट प्रोग्राम उसी प्रमाणपत्र (या वह प्रमाण समाप्त हो जाता है) पर हस्ताक्षर नहीं किया जाता है तो ट्रस्ट विफल हो जाता है।

से: http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/Authenticode_PE.docx

लाइफटाइम हस्ताक्षर शब्दार्थ के साथ समय-चिह्न प्रसंस्करण

आवेदन या प्रमाणीकरण अधिकारियों कि टाइमस्टैंप हस्ताक्षर समय की एक अनिश्चित अवधि के लिए सफलतापूर्वक सत्यापित करने के लिए नहीं करना चाहते हैं दो विकल्प हैं:

• प्रकाशक के हस्ताक्षर प्रमाणपत्र में आजीवन हस्ताक्षरकर्ता ओआईडी सेट करें।

यदि प्रकाशक के हस्ताक्षर प्रमाणपत्र में पीकेक्स कोड हस्ताक्षर ओआईडी के अतिरिक्त जीवनकाल हस्ताक्षरकर्ता ओआईडी शामिल है, तो प्रकाशक का हस्ताक्षर प्रमाणपत्र समाप्त होने पर हस्ताक्षर अमान्य हो जाता है, भले ही हस्ताक्षर समयबद्ध हो। जीवन हस्ताक्षरकर्ता OID इस प्रकार परिभाषित किया गया है:

szOID_KP_LIFETIME_SIGNING 1.3.6.1.4.1.311.10.3.13

• जब WinVerifyTrust बुला WINTRUST_DATA संरचना में WTD_LIFETIME_SIGNING_FLAG सेट करें।

यदि WinVerifyTrust कॉलर WINTRUST_DATA संरचना में WTD_LIFETIME_SIGNING_FLAG सेट करता है और प्रकाशक का हस्ताक्षर प्रमाणपत्र समाप्त हो गया है, तो WinVerifyTrust हस्ताक्षर को अस्थायी रूप से रिपोर्ट करता है भले ही हस्ताक्षर टाइमस्टैम्प हो।

एक प्रकाशक एक कोड हस्ताक्षर प्रमाणपत्र जीवन हस्ताक्षरकर्ता OID या एक WinVerifyTrust फोन करने वाले WINTRUST_DATA संरचना में WTD_LIFETIME_SIGNING_FLAG सेट शामिल रद्द कर रहे हैं, तो WinVerifyTrust हस्ताक्षर के रूप में मान्य की रिपोर्ट करने पर निम्न स्थितियों के दोनों मिले हैं:

• निरस्तीकरण तिथि से पहले हस्ताक्षर समयबद्ध किया गया था।

• हस्ताक्षर प्रमाणपत्र अभी भी इसकी वैधता अवधि के भीतर है।वैधता अवधि समाप्त होने के बाद, हस्ताक्षर अमान्य हो जाता है।

उदाहरण के लिए: https://forum.startcom.org/viewtopic.php?f=15&t=2215&p=6827&hilit=lifetime+signing#p6827

StartSSL प्रमाण पत्र के साथ एक गंभीर समस्या है कि। यह मुझे आश्चर्य नहीं करता है कि प्रमाण पत्र में ऐसी सीमाएं हैं जो बहुत कम लागत वाली हैं, लेकिन इस सीमा को ठीक प्रिंट में या पुराने विवरण पोस्ट में उत्पाद विवरण में स्पष्ट करने के बजाय खराब व्यापार है। वे इसे भविष्य में ठीक कर सकते हैं, और अन्यों के पास एक ही सीमा हो सकती है या नहीं, इसलिए आपके द्वारा खर्च किए जाने से पहले जांचने के लिए एक ईमेल बुद्धिमान हो सकता है।

मान लीजिए कि किससे पूछना नहीं था? एलओएल ... ओह ठीक है, जीते और सीखो।

स्रोत

2011-03-16 23:28:51

+0

स्टार्टॉम फोरम लिंक मर चुका है। यहां संग्रहीत संस्करण है: http://web.archive.org/web/20160405182742/https://forum.startcom.org/viewtopic.php?f=15&hilit=lifetime+signing&p=6827&t=2215 –

-2

कोड हस्ताक्षर करने वाले कॉल "प्रबंधित" नहीं हैं जिसका अर्थ है कि वे स्वयं को अपडेट नहीं करते हैं ... संभावना है कि आपको समाप्त होने के बाद एक नया खरीदना होगा।

आप एक विंडोज-आधारित सीए के साथ एक प्रमाणन प्राधिकरण (सीए) - छड़ी सेट कर सकते हैं यदि आप केवल विंडोज़ की दुकान हैं लेकिन अन्यथा मैं DogTag Certificate System जैसे कुछ के साथ लिनक्स की सिफारिश करता हूं।

ध्यान दें कि यदि आप अपना स्वयं का सीए बनाते हैं, तो आपको सार्वजनिक सीए प्रमाण निर्यात करना होगा और किसी भी सर्वर पर स्थापित करना होगा (इसलिए यह रूट सीए के रूप में भरोसा है) जो कोड-हस्ताक्षर प्रमाण पत्र द्वारा हस्ताक्षरित कोड/स्क्रिप्ट चलाएगा उस सीए द्वारा जारी यह हर एक्स वर्षों में एक प्रमाण पत्र के भुगतान के मुकाबले कहीं ज्यादा, सस्ता (मुफ्त?) है - अन्य कारणों का उल्लेख न करें जिन्हें आप विभिन्न कारणों/उपयोगों के लिए जारी कर सकते हैं!

स्रोत

2013-04-30 16:48:25 static

-2

आपको प्रमाणपत्र की वैधता के भीतर हस्ताक्षर प्रक्रिया या टाइमस्टैम्प को समयबद्ध करने से बचना चाहिए। Sign PE जैसे अन्य उपकरण और अन्य आपको इन पैरामीटरों पर नियंत्रण करने की अनुमति देता है

स्रोत

2015-12-04 19:17:20

संबंधित मुद्दे

 संबंधित मुद्दे