#certificate #digital-signature #code-signing #msix
#сертификат #цифровая подпись #подписание кода #msix
Вопрос:
Взгляните на прикрепленное изображение. Это appx, подписанный корпорацией Майкрософт. Подпись имеет отметку времени. Но теперь это «ненадежное приложение».
Только что это произошло с моим программным обеспечением. Я не могу отказаться от старых пакетов приложений (Appx, MSIX, Appxbundle или MSIXBundle) с моим новым сертификатом.
С точки зрения бизнеса это ужасно.
Есть ли способ подписать пакет Appx или MSIX, не внося его в список ненадежных в будущем?
Редактировать:
Честно говоря, я не уверен, что это касается только моих систем. Я надеюсь, что это просто моя сеть или что-то в этомроде. Но я хотел бы разобраться в этом. Кажется очень важным.
Некоторые обновления:
- Не нашел ничего ценного в журнале событий.
- Я надеюсь, что моя система повреждена, потому что, если это новая норма, это плохо для бизнеса.
- Вот подписанное приложение Microsoft с меткой времени. Если кто-то другой может проверить, является ли это надежным, ненадежным или «Доверенным приложением Microsoft Store», пожалуйста, напишите здесь.
Я предполагаю, что вопросы:
- Становятся ли подписанные пакеты Appx / MSIX с меткой времени «ненадежными» после истечения срока действия сертификата?
- Если нет, то что вызывает это в моей системе?
- Если да, то что такое «Доверенное приложение Microsoft Store» и защищено ли оно от этого эффекта?
- Также, если да, то почему? Чему мы вообще доверяем? Работает ли authenticode или нет? Какие полномочия и с помощью какого механизма обеспечивает доверие?
Приветствия!
Комментарии:
1. Вы могли бы подписать свой пакет с помощью инструмента подписи. Вы могли бы проверить: Подписать пакет приложения с помощью SignTool
2. Можете ли вы проверить журналы просмотра событий (AppX logs)? Возможно, это может дать нам более подробную информацию о том, почему оно помечает приложение как ненадежное? Кажется немного странным делать это только потому, что срок действия сертификата истек, поскольку у нас есть временная метка. Кроме того, вы можете задать этот вопрос сообществу MSIX MS, возможно, они знают об этом больше … techcommunity.microsoft.com/t5/msix/ct-p/MSIX
3. Вы использовали «пожизненную подпись» при подписании пакета? Это флаг, используемый для тестирования, который делает подпись недействительной по истечении срока действия сертификата.
4. Я проверил здесь — я получаю ту же ошибку «Ненадежное приложение», даже если подпись кажется действительной. Я посмотрю, есть ли у кого-нибудь идеи.
5. (Разница между «Доверенным приложением» и «Доверенным приложением MS Store» заключается в том, исходит ли подпись из MS Store или от стороннего доверенного корня. Разница должна иметь значение, только если вы включите «Хранить только» приложения в настройках).
Ответ №1:
Это известная ошибка в UX AppInstaller; файл подписан правильно, и его можно установить с помощью PowerShell (или, конечно, из хранилища, если пакет был в хранилище). Хотя я не могу назвать дату, когда это будет исправлено, хорошей новостью является то, что AppInstaller сам по себе является приложением, поэтому он будет обновляться для всех пользователей довольно быстро после выпуска исправления (вам не нужно ждать обновления Windows).
Чтобы ответить на ваш другой вопрос: «Доверенное приложение Microsoft Store» — это приложение с подписью, которая поступает из Microsoft Store, и, следовательно, его всегда можно установить. Если вы подписываете пакет любым другим доверенным сертификатом, это просто «Доверенное приложение», и его можно установить, только если пользователь выбрал какую-либо версию «разрешить приложениям из любого места» в Настройках -> Приложения и функции.