Certificat de signature automatique vers un certificat Authenticode?

Question

Nous avons déployé une application Windows via ClickOnce et un certificat de signature que nous avons créé. Nous cherchons maintenant à obtenir un certificat Authenticode d'une autorité de certification comme VeriSign.

Lorsque nous commencerons à signer nos manifestes ClickOnce avec le nouveau certificat, nos utilisateurs devront-ils réinstaller l'application?

Y a-t-il des chemins de migration connus pour gérer notre scénario?

Merci

Answer 1

Oui, vous pouvez le faire sans que les utilisateurs aient à réinstaller, mais il est délicat. La clé est de réaliser que les manifestes d'application ont une signature Authenticode (pour identifier l'éditeur) et une signature de nom forte (pour empêcher la falsification). L'astuce consiste à utiliser votre ancien certificat pour la signature de nom fort et le nouveau certificat pour la signature Authenticode.

Ni VS2005/Mage, ni l'outil de signature (signtool.exe) du SDK .NET Framework ne prennent en charge ce type de signature. Mais le Windows Server 2003 R2 Platform SDK contient une version plus récente de signtool.exe avec un nouveau commutateur "/ manifest" et avec des options pour utiliser différentes clés pour la signature. Avec cet outil, vous pouvez signer les manifestes ClickOnce avec différentes clés pour chacune des deux signatures. Vous pouvez trouver more details here.