如何通过对Win8的智能屏幕安装已签名的应用程序时？(How to pass the smart s

2019-06-18 01:07发布

站内文章 / 前端开发

60 0

女痞

女 | 书童

私信

我们是开发商，我们有一个数字签名的应用程序安装程序。当我们安装此应用程序，它弹出式菜单从智能屏幕，这会影响安装体验。它说

Windows保护您的PC
窗户的SmartScreen阻止无法识别的应用程序无法启动，运行此程序可能使你的电脑处于危险之中。

我认为微软有一些策略，以验证除了数字签名应用。有没有人有这个问题的经验和请给我一些线索来解决这个问题？

Answer 1:

如果您有来自CA的购买证书签名的安装程序，你应该联系CA用于解释为什么他们未能与微软合作，以摆脱这一警告的。

如果证书从CA，但自签署证书，你将不得不诉诸CA.

微软已经公布了其Windows团队博客已经大部分信息，

https://blogs.msdn.microsoft.com/ie/2012/08/14/microsoft-smartscreen-extended-validation-ev-code-signing-certificates/

最佳实践
开发者仍然应该遵循我们在过去的博客文章建议的最佳实践。我们已经添加到该指导通分发Windows应用商店和EV代码签名的选项的应用程序的附加选项：
通过Windows应用商店发布应用

Windows 8的应用程序都必须通过Windows应用商店开发人员的入职和申请审查过程。 Windows 8的应用程序不在范围在Windows 8的SmartScreen应用程序信誉检查或警告。

数字签名的程序（标准或EV代码签名）

信誉是企业生成并分配给数字证书和具体的文件。数字证书允许将数据汇总并分配给单个证书而不是许多单独的程序。虽然不是必需的，由EV代码签名证书签名的程序可立即建立与即使存在该文件或发行商以前没有信誉的SmartScreen信誉服务的声誉。 EV代码签名证书也有一个唯一的标识符，这使得它更容易保持整个证书更新，声誉。只有将CA是在Windows根证书计划的成员可以打响知名度发出验证码证书。

这时，赛门铁克和DigiCert都提供EV代码签名证书。

不要签署或散布恶意代码

分发检测为恶意代码将删除一个文件，也从相关数字证书的声望名誉 - 即使与EV代码签名证书签名。

申请Windows徽标或Windows 8桌面应用程序认证

了解更多有关这些项目的位置：Windows 8桌面应用程序认证（对于Windows应用商店提交必需的）Windows徽标计划

Answer 2:

我们刚刚经历了从旧的验证码证书移动到一个新的（不是EV证书，只是可以在我们的自动构建过程中使用的普通证书）的全过程去。

微软不再提供从现有证书转移口碑一个新的任何手段。所以，不要试图打电话给他们的支持。你只是浪费了大量的时间和精力。他们将无法提供帮助。

微软声称，如果旧的和新的证书具有相同的文字内容，名誉被建立更快。更具体地讲，这里是我从SmartScreen®筛选器的应用程序信誉功能的支持团队得到的回答是：

请注意，当你恢复与已知的信誉证书，你可能会看到在与续订的证书签名的文件的初始下载一些警告。然而，重新证书美誉之比在一个新的证书通常会建立更为迅速。虽然重新建立证书声誉，用户仍然可以通过点击运行或保存下载。要做到这一点，他们选择操作| 更多选项| 从下载管理器如果想运行。

保证的SmartScreen不会提醒用户，最好的方法是运行Windows应用程序认证工具包（WACK）应包含在Windows SDK下载：

运行测试后，WACK介绍了如何进行：

上传全成申请认证的XML结果https://sysdev.microsoft.com 。几天后，将的SmartScreen知道用于认证程序的数字签名，将不再警告用户在下载时。

注意：我们无法证明我们在Windows 8.1的最新更新应用程序，我们必须使用全新安装的Windows 8.1，以获得WACK成功验证我们所有的计划。

Answer 3:

我一直在寻找了一段时间，所以我会分享我发现迄今。

我还没有发现有关在Windows 8微软此功能的任何文档，但我可能只是在找错了地方。

最让我读讨论SmartScreen筛选器的工作原理如下的文章：

运行安装程序或已下载可执行文件之前，Windows 8的咨询与数据库。
该数据库可以报告程序是否已经经过了：
- 报告为恶意/钓鱼，（以及由微软员工证实）。
- 使用/很多人跑。

如果有足够多的人已经运行安装程序，不报告为恶意，最终该方案将被标记为安全的，而其他用户将不会收到烦人的消息。

一些消息来源：（这里）（在这里）

发送到当用户安装一个程序微软的信息包括IP地址，安装程序和数字签名，以及可能的应用程序的文件名的哈希值。（见这里）

微软员工不得不直接访问数据库中添加和安全标志所有Microsoft应用程序。

或许微软已经成立了一个办法预认证与他们的安装程序，如果不是你可能只是需要等到足够多的人运行安装程序。（但不知道有多少，这将是）。

Answer 4:

我只是通过这个过程去了，我会添加信息的一些花絮到这一点。

1）获取的EV。这很值得。下次你升级你的证书，升级到EV证书。价格是每一年约$ 100。 EV证书被认为更安全，因为他们更难偷。当印发给你们，硬件令牌设备将发给你完成注册。不幸的是，最终签不符合自动构建兼容。

它并不像听起来那么可怕。他们会为您提供这仍然与自动化兼容的第二证书签署您的可执行文件（安装程序内）。在安装程序的签名必须与硬件令牌一起签署。

2）如果你不想得到一个EV证书，您需要的声誉。如果您正在升级，微软将声誉从旧证书传送到新的一个。您必须联系MSDN技术支持，并在一个星期左右，它会做。我提交了新旧安装程序 - 与新老证书 - 他们固定它。

3）如果这是你的第一个证书，你坚持的SmartScreen，直到你的声誉。你应该让你的应用程序通过sysdev.microsoft.com认证。但是，这不是真正知道你有多少下载需要你赚与微软积极的声誉了。

这是我的经验。

Answer 5:

由于Windows 8.1已经出来了。

微软停用，当你通过互联网下载到你的电脑，并试图安装它们，但如果你通过USB或CD-ROM分发应用程序标准代码签名证书的应用程序工作的所有标准代码签名证书被信任。
不要使用signtool.exe验证（ signtool.exe verify /pa mysetup.exe会显示成功，但它会失败当其他用户下载并尝试安装的SmartScreen弹出将继续显示出来）

使用Windows应用程序认证工具包（WACK）

该标准代码签名证书都死了。也就是说，如果您有标准的代码签名证书，它不会工作了可靠就像是在过去，即使Windows应用程序认证工具包（WACK）显示PASS与警告，并不意味着它100％验证成功

你必须购买EV证书（ https://www.globalsign.com/en/code-signing/ ）

所以，为了100次％的成功，按照勺子饲料：

第1步：去https://sysdev.microsoft.com和登录

a）创建公司帐户>未来

B）下载winqual.exe文件，该文件是由微软提供的zip文件，现在用你的标准证书或EV证书签署winqual.exe，然后点击旁边的上传验证文件。

在我的情况下，它失败了，因为我有标准证书，微软停止允许了。所以，大家现在要做的就是买否则你拧EV许可证，并可以用你的一生，没有任何线索，解决这个问题。

Answer 6:

我已经测试了EV证书解决方案，它的工作。

可悲的是，我还提到，EV证书是与TeamBuild，其执行服务的环境下签订不兼容。 EV证书需要与由SafeNet的，公司提供了一种用于与所有授权证书EV供应商（VeriSign和DigiCert）加密服务提供者接口硬件令牌。

当签约时由SafeNet公司的司机会提示输入密码是与服务的上下文中执行一定程度上是不相容的。此外，SafeNet公司提供了防止从任何东西，但实际的控制台签署保护。你甚至不能从远程桌面会话内签署。所以，从内Teambuild签约是有问题的最好，而不是可能在最坏的情况。

我已经与微软合作，他们一直没能为签名或任何其他的方式来实现的SmartScreen下瞬间名声提供一种解决方法。

Answer 7:

不幸的是，我没有足够的代表简单地对上述答案的一个评论。但是，如果您发布的应用指定部分信任（我选择了上网区），并有一个代码到位签名证书，则不会显示屏幕智能警示（在Win10选中）。

Answer 8:

我以自动方式在令牌（GlobalSign的），使用的EV证书签名我的申请。使用.bat文件。在“蝙蝠”的文件，类型Ex：（对于SHA1）

SignTool.exe sign /n "Exact Enterprise name in the cert - token" /t "http://timestamp.globalsign.com/scripts/timstamp.dll" "c:\Patch_to_file\Filename.exe"

在“在证书确切企业的名字 - 令牌”应该是证书中的确切名称（标记）