Enterprise Root CA создает сертификат CodeSigning для нескольких пользователей
Возможно ли, чтобы корневой ЦС на предприятии создал сертификат CodeSigning (для использования в решении Visual Studio), который зарегистрирован более чем для одного пользователя? Теперь я единственный разработчик, который может опубликовать наше решение, потому что сертификат, подписывающий манифесты, связан с моей учетной записью.
Пожалуйста, прости меня, если это общеизвестно, но мои поиски не дали ничего полезного. Windows Server 2008 R2 и с клиентами Windows 7.
1 ответ
Не так, как вы хотите. Есть несколько вариантов:
1) выдать личный сертификат подписи каждому разработчику. Назначьте шаблон сертификата CodeSigning для CA и предоставьте разрешения для группы разработчиков.
Плюсы: у каждого разработчика есть свой подписной сертификат.
минусы: слишком много сертификатов. Может подойти только для внутренних целей (разработки и тестирования). Не подходит, когда вы поставляете подписанные двоичные файлы своим клиентам или другим третьим лицам.
2) выдать единый сертификат группам разработчиков. Экспорт в PFX и предоставление копии этого сертификата всем разработчикам.
Плюсы: для подписи используется только один сертификат. Лучше всего подходит для подписи двоичных файлов для внешних сторон.
минусы: вы не контролируете, кто подписал файл. Вы видите, что он подписан определенным сертификатом, но не можете сказать, кто именно подписал файл. Это ухудшение безопасности.
В соответствии с передовой практикой продукты для внешних сторон должны быть подписаны единым и авторизованным цифровым сертификатом, который идентифицирует компанию. Этот сертификат не должен иметь копий и должен храниться в защищенном контейнере, например, смарт-картах. Однако для внутреннего использования, и если ваша политика это позволяет, я бы выбрал вариант 1, чтобы выдавать персональные сертификаты подписи кода каждому разработчику.