在 MSI 中解压、修改和重新打包文件？

Question

我正在尝试找出在我的一个项目中对二进制文件进行 Authenticode 签名的最简单、最安全的方法。

我能看到的最简单的方法是获取编译结果——一个包含所有二进制文件的完整安装包——从中提取程序集，对它们进行签名，然后将这些签名的程序集重新打包到 MSI 中，然后再对其进行签名。

有很多关于从 MSI 解包文件的信息，但没有关于重新打包它们的信息。我该怎么做呢？

Answer 1

编辑我的原始回复...

如果您想将签名嵌入到无人值守的构建过程中，您只需使用 MSBuild SignFile 任务即可，该任务包装了authenticode 签名 API http://msdn.microsoft.com/en-us/library/ms164304.aspx

或者，只需调用 SignTool.exe。

您需要使用 certmgr.exe 或证书 mmc 管理单元将软件发布证书安装到计算机上。一旦将其安装到本地证书存储中，您只需使用 SHA 指纹来引用它，您可以在证书属性中找到该指纹，或者只需在 certmgr.exe 中列出证书即可。

我们必须定期更新我们的证书，因此我们在构建中需要执行额外的步骤，以便在构建开始时在本地重新导入证书，并提取证书哈希。我建议不要将哈希存储在源代码管理中，以防您必须返回并构建旧版本 - 它应该是您的环境配置的一部分，例如环境变量或其他可以与源代码分离的东西。

另外，不要忘记给签名文件加上时间戳，这样可以保证签名的有效性。我还建议您将签名与时间戳分离。时间戳是一种偶尔会出错的网络操作，因此能够区分签名失败和时间戳失败非常有用，因为时间戳失败只是可能公开发布的黄金版本的问题。

Answer 2

您没有说明您的构建系统是什么，但我的项目经历的（过于简化的）流程如下（我对几乎所有内容都使用 nant 任务，从 CruiseControl.net 触发）

1. 从源代码控制中获取所有内容
2. 构建干净的项目
3. 抓取未签名的文件
4. 使用 signtool.exe 对所有相关文件（例如 exe、dll、ocx）进行签名
5. 构建 MSI（使用 WiX）
6. 在 MSI 上执行一些自定义构建后任务 对
7. MSI 进行数字签名
8. （取决于构建参数） ) 使用引导程序压缩 MSI 对
9. 引导程序进行签名
10. 上传到暂存区域 向
11. 开发 + QA 团队发送电子邮件，构建已准备好进行测试。

如果在此过程中任何地方失败，只需向开发团队发送电子邮件即可。

您应该能够使用 MSBuild、Nant 或各种其他工具来完成此操作。它可能会在某些地方涉及一些自定义工作，但最终结果是一个可靠的构建系统，需要与构建进行零人工交互（除非有人想要“强制”构建，即使是这样只需单击网页上的按钮或其他内容）