代码签名证书常见问题汇总(第二篇)

1.代码签名证书是如何工作的?

代码或者内容的签署基于公钥加密体系。开发者或软件的发布者使用私钥给一段代码或者内容加上一个数字签名。软件平台或者应用程序平台在这些代码或者 内容下 载过程中使用公钥来解密这个签名,同时比较下载下来的程序的哈希值和程序被签署的时候的哈希值是否一致。通过可信的来源签署过的代码可能会被自动接受,也 可能提示用户一个安全警告,让用户决定是否相信并接受这个代码。

2.数字签名的有效期是多长时间?

您购买的每张代码签名证书都会被指定一个有效期。您可以在证书有效期内使用您的代码签名证书反复签署您的代码。您的数字证书过期后,所有基于此数字 证书的 数字签名也都会过期,除非签名中包含时间戳。时间戳选项显示代码是何时被签署的,这可以让用户去验证这个数字签名是在代码签名证书有效的时候被签署的。

3.什么是代码签名证书?为什么需要代码签名证书?

代码签名为代码或内容创建一个数字化的“热缩膜包装”,这个“包装”可以向用户证明为这些代码或内容负责的公司的身份,并且确认这些代码或内容自被 签名起 从未被修改过。在传统的软件销售中,用户可以通过检查产品的包装来确认其所购买的程序的来源和完整性。逐渐地,用户越来越多的在线下载软件,安装插件,使 用各种基于Web的应用程序。在这过程中,恶意代码或者不完善的代码使得用户面临着极大的安全风险。VeriSign代码签名通过数字签名使您的软件可以 被识别,同时难以被伪造和篡改,从而保护您的品牌和您的知识产权。

4.我需要几张代码签名证书?

基于安全性和可管理性考虑,VeriSign 建议开发者另外购买,而不是共享代码签名证书。如果一张代码签名证书被泄露,这张证书必须被撤销,同时所有用这张证书签署的程序都会失效。为方便使用起 见,VeriSign 建议为每个开发平台购买一张代码签名证书。您可以用一个平台的代码签名证书签署其他平台的代码。然而,不同平台的数字证书格式是不一样的。要跨平台使用代 码签名证书需要使用另外的工具来转换证书格式。