自签名证书到验证码证书？

Question

我们通过 ClickOnce 和我们创建的自签名者证书部署了一个 Windows 应用程序。 我们现在正在寻求从 VeriSign 等证书颁发机构获取 Authenticode 证书。

当我们开始使用新证书签署 ClickOnce 清单时，我们的用户是否必须重新安装该应用程序？

是否有任何已知的迁移路径可以处理我们的场景？

谢谢

Answer 1

是的，您可以做到这一点，而无需用户重新安装，但这很棘手。 关键是要认识到应用程序清单具有 Authenticode 签名（用于识别发布者）和强名称签名（用于防止篡改）。 诀窍是使用旧证书作为强名称签名，使用新证书作为 Authenticode 签名。

VS2005/Mage 或 .NET Framework SDK 中的签名工具 (signtool.exe) 都不支持这种签名。 但是 Windows Server 2003 R2 平台SDK 包含较新版本的signtool.exe，带有新的开关“/manifest”以及使用不同密钥进行签名的选项。 使用此工具，您可以使用两个签名的不同密钥对 ClickOnce 清单进行签名。

您可以此处找到更多详细信息。