是否可以让企业中的根 CA 创建 CodeSigning 证书(用于 Visual Studio 解决方案)并注册给多个用户?现在的情况是,我是唯一可以发布解决方案的开发人员,因为签署清单的证书与我的帐户相关联。
如果这是常识,请原谅我,但我的搜索没有找到任何有用的信息。Windows Server 2008 R2 和 Windows 7 客户端。
答案1
不是你想要的方式。有以下几种选择:
1)为每个开发者颁发个人签名证书。将CodeSigning证书模板分配给CA,并授予dev组权限。
优点:每个开发人员都有自己的签名证书。
缺点:证书太多。仅用于内部(开发和测试)目的可能没问题。当您向客户或其他第三方提供签名的二进制文件时,不适用。
2)向开发者团体颁发单一证书。导出为 PFX 并向所有开发者提供此证书的副本。
优点:仅使用一个证书进行签名。最适合为外部方签名二进制文件。
缺点:您无法控制谁签署了文件。您看到它是由特定证书签名的,但无法确定究竟是谁签署了该文件。这是安全性下降。
根据最佳实践,外部方的产品应由可识别公司的单一授权数字证书签名。此证书不得有副本,并应存储在安全容器中,例如智能卡。但是,对于内部使用,如果您的政策允许,我会选择选项 1,为每个开发人员颁发个性化的代码签名证书。