Windows 不信任 VeriSign Class 3 证书？

Posted 2023-02-24

【中文标题】Windows 不信任 VeriSign Class 3 证书？

【英文标题】：VeriSign Class 3 certificate not trusted by Windows?

【发布时间】：2012-11-04 06:27:26

【问题描述】：

我分发了一个 Windows 桌面应用程序，该应用程序的所有可执行文件都由 Verisign Class 3 代码签名证书进行数字签名。对于绝大多数用户来说，这似乎工作正常。

但是少数用户报告证书无效。他们说它会出现消息“已处理证书链，但终止于信任提供者不信任的根证书”。这对应于错误代码CERT_E_UNTRUSTEDROOT (0x800B0109)。这也已在完全更新的 Windows 7 机器上报告。所以大概我的证书没问题，但 Windows 有时不信任 VeriSign 证书。

为什么 Windows 有时不信任 VeriSign？有什么我可以添加到我的安装程序（也已签名）中来告诉 Windows 信任证书的吗？

【问题讨论】：

我建议联系威瑞信支持 - 他们应该更清楚原因可能是什么。关于您的问题 - 您无法采取任何措施来解决问题（除了联系支持人员并尽可能详细地报告问题）。

我生命中的一周都在 G5 病毒上：knowledge.verisign.com/support/code-signing-support/…

【参考方案1】：

微软通过 Windows 更新推出的根证书经常更新，但这些更新被标记为“可选更新”。因此，并非所有用户都安装了它们，并且可能需要手动安装它们。这也适用于“完全更新”的机器，因为自动安装通常设置为仅安装“重要更新”，而根证书更新则不是。

根据桌面应用程序的类型，您在签名时也可能必须遵守某些规则。例如，与 Windows 安全中心交互的应用程序需要与驱动程序基本相同的签名方法。也就是说，证书链与签名一起嵌入（/ac 切换到signtool）。您可以获得适用于威瑞信证书的MSCV-VSClass3.cerhere。

这个过程通常被称为交叉签名，这似乎是用词不当。虽然这是让您的驱动程序二进制文件或目录交叉签名的一个步骤，但至关重要的一步是 Microsoft 对驱动程序（或者现在更常见的是目录文件）进行签名，这是实际的交叉签名。