Microsoft Clickonce 应用程序的代码签名证书消失

Posted 2023-03-11

【中文标题】Microsoft Clickonce 应用程序的代码签名证书消失

【英文标题】：Code signing cert disappearing for Microsoft Clickonce app

【发布时间】：2017-01-23 18:39:29

【问题描述】：

我们有一个按计划部署的 clickonce 应用。该应用程序使用 appbuilder 帐户的个人商店中的代码签名证书。证书在看似随机的时间从存储中退出，导致计划部署失败。当构建失败时，我们可以进去，再次添加证书，按预期运行构建和部署。到下一次计划部署发生时，证书已丢失且部署失败。

证书未过期，并且由我们设置的本地 CA 签名。同一家商店中还有 5 个其他证书，这些证书一直存在。我在事件日志中找不到任何提及，我们不知道根本原因。任何得到解决的指针表示赞赏。

【问题讨论】：

如果证书有问题，它可能会被自动注册触发器隐藏。

@Crypt32 我相信你是对的，在任务计划程序中，Microsoft\Windows\CertificateServicesClient\UserTask 在每次登录时运行 8 小时，这对应于证书删除的时间。现在来确定为什么...

很可能，它没有通过有效性/撤销检查。您可以将证书导出到 .cer 文件并针对您的证书运行以下命令：certutil -verify -urlfetch path\exportedcertfile.cer

@Crypt32 似乎证书已被吊销。请求者不再受雇于公司，并且她作为请求者的所有证书已被吊销。是否可以使用“证书保留”重新撤销并取消撤销？还在考虑删除证书或创建新证书...

我强烈建议撤销它们并提供新证书。如果前员工有他们的密钥副本，可能会出现安全问题（直至诉讼）。

【参考方案1】：

在 CA 服务器中审查了证书。我的问题的根本原因是与证书关联的用户不再是员工，因此他们的凭据被停用。反过来，他们创建的所有证书都失效了。

不要在员工帐户下创建 SSL，将服务帐户用于可能超过您的任期的任何事情。