代码签名 .NET 程序集还是只是设置？

Question

我的公司终于购买了代码签名证书。

我有一个 WinForms 应用程序（1 个 exe 和几个 dll），所有程序集都已使用强名称进行签名。 然后将整个应用程序打包到 msi 安装程序中。 然后我使用 NSIS 将 msi、引导程序和先决条件（框架、SQL CE...）打包到单个 setup.exe 中。

显然我的 setup.exe 需要签名，以避免“可怕的”UAC 提示。 这是否足够，或者您是否还要对其他文件（尤其是 .NET 程序集）进行签名？

属于应用程序的另一个项目是 Windows 服务。 你会签署该集会吗？

Answer 1

你不必这样做，但这不是一个坏主意。

创作经过完全验证的签名安装

您可以使用这些指南来涵盖
整个 Windows 安装程序
通过数字签名安装。

Windows Installer 的作者
安装必须遵守
以下以确保所有部分
安装被覆盖
数字签名：

• 使用内部 Cabinet 文件，或使用已签名的外部 Cabinet 文件，并且
  正确地创作
  MsiDigitalSignature 表和
  MsiDigitalCertificate 表。
• 仅使用存储在包中或随程序安装的自定义操作
  包裹。
• 对安装包进行签名。
• 在包中包含 MsiPatchCertificate 表。 启用用户帐户
  控制（UAC）修补，此表
  必须包含用于
  识别所使用的签名者证书
  对补丁进行数字签名。 联合应用中心
  修补使作者能够
  安装包识别
  数字签名的补丁可以
  将来应用
  非管理员用户。

上面的说明涵盖了您需要为安装程序本身执行的操作。 签署程序集取决于您，并且在某种程度上是一个单独的问题，并且具有单独的关注点和好处。 请阅读强名称程序集可以让您远离 DLL Hell 了解有关签名程序集的更多信息。