代码签名证书的全流程避坑指南来了。从 2023 年 6 月开始,OV 和 EV 证书必须要给它们找个安全的地方存放了,以前那种直接拖 pfx 文件进签名工具的做法彻底没了用武之地。其实路还挺宽的:把证书锁进 USB Key 随身带,或者使用云签名服务,这就不怕多台电脑、离线环境或合规审计了。 交付证书的时候可得小心了,空白 Token 比那些“成品 Token”安全多了。如果直接收到已经装好证书的硬件,那就相当于对方先一步拿到了私钥,安全隐患肯定是有的。最好的办法就是收到一个空硬件,再让经销商发个提取链接或验证码给你自己导入。 本地 Token 看着简单,但它有个硬伤——密码输错几次就锁死了。拿到设备后赶紧改密码或者记在本子上很重要,否则万一锁死了只能再买一个新的 Token,钱和时间的成本都得搭进去。 内核驱动想进微软商店或者通过 Windows Hardening 检测光有 EV 证书还不够,还得去 WHQL(Windows Hardware Quality Labs)测试一下拿到微软的数字签名才行。简单说就是得“双签”——先 EV 再 WHQL,少了哪个都不行。 证书其实不是“杀毒软件通行证”,别以为签了名就能避免被误报了。要是合规软件被误报了还能找杀软厂商申诉一下;但如果软件本身带病毒被发现了签名有问题,CA 可就会吊销证书甚至报警了。签名只是给用户一个提示罢了。 代码签名证书没有试用版这么一说,流程一步都不能省。CA 得确认公司真实存在、申请人员有授权才能签发证书。有时候服务商会支持签发后 7 到 30 天内无理由退款,但手续费还是得你出——证书不像超市里的东西买了就能退。 把这六步都搞明白了,代码签名就不会踩坑了。让每一次发布都安心点吧。