气隙 .NET 代码签名应用程序不会 install/run
Air-gapped .NET code-signed application will not install/run
我们最近更新了我们的应用程序以使用带有新证书的 SHA-256 代码签名。程序集是使用 Visual Studio 2015 中的 Sign the assembly 选项签名的强名称。 Visual Studio 运行 中的 post 构建事件两个 signtool.exe 进程在 SHA-256 和旧版 SHA-1 证书中签名:
call "C:\Program Files (x86)\Windows Kits\bin\x86\signtool.exe"
sign /f "<mystrongName.pfx>" /p "<password>" /t
<timestampURL> "$(TargetPath)"
call "C:\Program Files (x86)\Windows Kits\bin\x86\signtool.exe"
sign /f "<mystrongName.pfx>" /p "<password>" /fd sha256 /tr
<timestampURL> /td sha256 /as /v "$(TargetPath)"
最后,我们使用 Advanced Installer 作为安装打包程序,并且根据 .exe 签名使用证书和时间戳在 Digital Signature 页面上进行了代码签名。
最终安装文件安装并 运行s 在连接互联网的 Windows 机器上如您所料。您可以通过 setup.exe 和 运行 安装时间的属性看到证书已分配且有效,以及证书链。此外,Windows 将应用程序识别为来自受信任的来源,并显示适当的经过验证的发布者详细信息。
我们的客户群主要是全球 100 家公司,大部分部署将发生在气隙网络中。在我们在此环境中的第一个更新部署中,无法验证证书以阻止安装程序完成。
这是有道理的,因为 Windows(2012 服务器 R2)机器与 Internet 隔离,并且根据公司政策,Turn off Automatic Root Certificates 设置为 Enabled。此设置可以在 MMC 应用程序的 Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication Settings 文件夹中找到(您需要安装证书插件)。
在我们的本地测试台上进行测试时,如果上述注册表设置为默认设置 (Disabled),即使未连接到 Internet 的计算机也会从安装实用程序安装证书。我们可以通过更改策略设置以匹配客户的 (Enabled).
来重现该问题
作为解决方法,我们手动下载了证书颁发机构根证书并将其安装为受信任的根证书,安装将正常进行。
当我们向客户提供此解决方法时,尽管计算机的受信任根证书中存在证书颁发机构根证书,但安装仍然失败。
证书颁发机构客户服务团队建议我们从签名过程中删除时间戳以允许安装继续 - 这是他们提供的唯一帮助(这是另一回事)。但是,这意味着一旦代码签名证书过期,应用程序将停止 运行 或显示未经验证的发布者错误。
我也不完全相信这也能解决问题,因为当我们在本地测试时,安装程序仍能找到证书,并允许在手动安装证书颁发机构根证书时继续安装。
我无法做的是复制客户环境以准确重现问题(这无济于事)。就好像 Windows 正在绕过本地机器的受信任的根证书存储。我假设如果这是可能的,那么 Windows 可以针对中央根证书存储进行验证。
这甚至可以在 Windows 中设置吗?如果是这样,我在哪里可以找到这方面的文档或这是如何完成的?
我是否遗漏了代码签名步骤或我对安装机器检查证书时应该发生什么的理解?
我不知道该怎么做才能让这个安装程序正常工作。我不能做的是继续回到客户那里让他们继续测试我们的安装。首先,这确实不是调试的正确流程,作为供应商,这不是客户要解决的问题,但更重要的是,我需要我们的团队了解导致这种情况的原因以及如何正确补救。
理想情况下,如果不需要,我不会删除时间戳,因为如果软件在证书到期前没有升级,这将导致新问题。
非常感谢任何帮助。
我认为无法在气隙环境中验证证书的原因之一可能是无法验证吊销。您可能知道,证书可以被吊销,有两种不同的协议可以检查它是否被吊销,CRL 和 OCSP。两者都需要对颁发证书的 CA 进行网络访问。
是否实际检查吊销是由here所述的政策管理的,这可能会导致您的问题。
我们最近更新了我们的应用程序以使用带有新证书的 SHA-256 代码签名。程序集是使用 Visual Studio 2015 中的 Sign the assembly 选项签名的强名称。 Visual Studio 运行 中的 post 构建事件两个 signtool.exe 进程在 SHA-256 和旧版 SHA-1 证书中签名:
call "C:\Program Files (x86)\Windows Kits\bin\x86\signtool.exe"
sign /f "<mystrongName.pfx>" /p "<password>" /t
<timestampURL> "$(TargetPath)"
call "C:\Program Files (x86)\Windows Kits\bin\x86\signtool.exe"
sign /f "<mystrongName.pfx>" /p "<password>" /fd sha256 /tr
<timestampURL> /td sha256 /as /v "$(TargetPath)"
最后,我们使用 Advanced Installer 作为安装打包程序,并且根据 .exe 签名使用证书和时间戳在 Digital Signature 页面上进行了代码签名。
最终安装文件安装并 运行s 在连接互联网的 Windows 机器上如您所料。您可以通过 setup.exe 和 运行 安装时间的属性看到证书已分配且有效,以及证书链。此外,Windows 将应用程序识别为来自受信任的来源,并显示适当的经过验证的发布者详细信息。
我们的客户群主要是全球 100 家公司,大部分部署将发生在气隙网络中。在我们在此环境中的第一个更新部署中,无法验证证书以阻止安装程序完成。
这是有道理的,因为 Windows(2012 服务器 R2)机器与 Internet 隔离,并且根据公司政策,Turn off Automatic Root Certificates 设置为 Enabled。此设置可以在 MMC 应用程序的 Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication Settings 文件夹中找到(您需要安装证书插件)。
在我们的本地测试台上进行测试时,如果上述注册表设置为默认设置 (Disabled),即使未连接到 Internet 的计算机也会从安装实用程序安装证书。我们可以通过更改策略设置以匹配客户的 (Enabled).
作为解决方法,我们手动下载了证书颁发机构根证书并将其安装为受信任的根证书,安装将正常进行。
当我们向客户提供此解决方法时,尽管计算机的受信任根证书中存在证书颁发机构根证书,但安装仍然失败。
证书颁发机构客户服务团队建议我们从签名过程中删除时间戳以允许安装继续 - 这是他们提供的唯一帮助(这是另一回事)。但是,这意味着一旦代码签名证书过期,应用程序将停止 运行 或显示未经验证的发布者错误。
我也不完全相信这也能解决问题,因为当我们在本地测试时,安装程序仍能找到证书,并允许在手动安装证书颁发机构根证书时继续安装。
我无法做的是复制客户环境以准确重现问题(这无济于事)。就好像 Windows 正在绕过本地机器的受信任的根证书存储。我假设如果这是可能的,那么 Windows 可以针对中央根证书存储进行验证。
这甚至可以在 Windows 中设置吗?如果是这样,我在哪里可以找到这方面的文档或这是如何完成的?
我是否遗漏了代码签名步骤或我对安装机器检查证书时应该发生什么的理解?
我不知道该怎么做才能让这个安装程序正常工作。我不能做的是继续回到客户那里让他们继续测试我们的安装。首先,这确实不是调试的正确流程,作为供应商,这不是客户要解决的问题,但更重要的是,我需要我们的团队了解导致这种情况的原因以及如何正确补救。
理想情况下,如果不需要,我不会删除时间戳,因为如果软件在证书到期前没有升级,这将导致新问题。
非常感谢任何帮助。
我认为无法在气隙环境中验证证书的原因之一可能是无法验证吊销。您可能知道,证书可以被吊销,有两种不同的协议可以检查它是否被吊销,CRL 和 OCSP。两者都需要对颁发证书的 CA 进行网络访问。
是否实际检查吊销是由here所述的政策管理的,这可能会导致您的问题。