Hầu hết các CA đang bán chứng chỉ ký mã trong "sản phẩm" khác nhau, như Verisign hoặc Certum:Sự khác biệt giữa Authenticode, SPC và Java CodeSign?
Microsoft Authenticode - "Cho phép bạn đăng ký EXE, OCX, DLL, bla ..."
Java codesign - "cho phép bạn đăng nhập mã Java"
Giấy chứng nhận xuất bản phần mềm - "cho phép bạn đăng ký phần mềm"
Vâng, tôi thực sự bối rối về điều này. Sự khác biệt giữa tất cả các sản phẩm này - ngoại trừ PRICE là gì? Tôi hỏi Verisign và các CA khác một vài lần kể từ khi tôi tò mò, nhưng không có câu trả lời.
Tôi đã nhận được chứng chỉ Authenticode từ Certum CA. Tôi đã đăng ký nó trong Internet Explorer, xuất nó dưới dạng PKCS # 12 PFX và có thể ký EXE, DLL, ... như đã hứa.
Bây giờ ... Tôi đã cố gắng nhập PFX này vào Java bằng công cụ khóa, sau đó tôi đã cố gắng ký một JAR. Va no đa hoạt động!
Và sau đó có "chứng chỉ Nhà xuất bản phần mềm" bí ẩn làm sản phẩm. Tôi không biết những gì tôi có thể/nên ký với điều đó ... Mac? Linux? Không phải là "Microsoft Authenticode" cũng là chứng chỉ nhà xuất bản phần mềm phải không? Không phải là một phần mềm "EXE"? Điều đó thực sự làm tôi bối rối.
Vì vậy, câu hỏi của tôi bây giờ là: Khi tôi đã đặt mua chứng chỉ Microsoft Authenticode, sau đó có bất hợp pháp để sử dụng nó để ký, ví dụ: Tệp JAR hoặc nếu có thể có bất kỳ nội dung nào khác? Dường như không có sự khác biệt về mặt kỹ thuật giữa các chứng chỉ này. Tất cả những sản phẩm này phải có cùng mã vạch EKU-OID "1.3.6.1.5.5.7.3.3", không tạo ra bất kỳ sự khác biệt nào giữa EXE, JAR, Adobe Air và những gì địa ngục cũng tồn tại xung quanh đó. Vì vậy, nếu tất cả các chứng chỉ "CodeSigning" là bằng nhau về mặt kỹ thuật, tại sao tôi phải quyết định sau đó nếu tôi muốn trở thành "Nhà phát triển Java" hoặc "Nhà phát triển Windows" hoặc "Nhà phát triển phần mềm"?
Có thể vẫn còn những khác biệt trong chứng chỉ? Có lẽ tôi không có đủ quyền trong các JAR khi tôi sử dụng Authenticode-certs để ký?
(PS: Tôi không sử dụng phần mềm của mình về mặt thương mại!)
Bạn biết đấy, đối phó với chứng chỉ chặt chẽ (chúng tôi phát triển và bán thư viện PKI), tôi có cùng câu hỏi và không có phản hồi. Điều này dường như tiếp thị BS, gây ra khi bạn nhận thấy chính xác, sử dụng chính là như nhau và từ quan điểm kỹ thuật của các chứng chỉ là như nhau. Có thể họ cố gắng đánh lừa một số người dùng mua nhiều chứng chỉ khác nhau hoặc phát hành chúng trực tiếp ở định dạng có thể áp dụng (PKCS # 7/PKCS # 8, JKS, PKCS # 12). –
Cảm ơn bạn đã bình luận. Vậy bạn nghĩ sao? Có thể một CA thu hồi chứng chỉ của tôi nếu họ phát hiện ra rằng tôi cũng ký phần mềm JAR?Tôi rất không chắc chắn nếu nó là theo điều khoản pháp lý của họ, vì có những "sản phẩm". –
Xin lỗi vì không trả lời trước - câu hỏi của bạn không được chú ý. Tôi đang điều tra câu hỏi này một lần nữa và cho GlobalSign CA không có dấu hiệu trong tài liệu của họ rõ ràng cấm sử dụng chứng chỉ Authenticode nói cho Adobe AIR. Tuy nhiên, điều này có thể xảy ra, rằng họ coi nó là vi phạm Thỏa thuận người đăng ký (mặc dù không có giới hạn nào được đặt ở đó). Vì vậy, tôi có vấn đề này bản thân mình bây giờ (cố gắng để quyết định nếu tôi cần phải mua một giấy chứng nhận cho các loại ký khác nhau) và không có giải pháp. –