2026-07-14

Windows 代码签名演变

Windows 代码签名演变

Windows 上的代码签名多年来经历了重大变化。在早期,你可以使用来自受信任证书颁发机构的任何证书对你的应用程序进行签名,Windows 会信任它。这个过程相对简单,但存在安全限制。任何拥有有效证书的人都可以对代码进行签名,而且对开发者身份的验证很少。

微软随着时间的推移引入了更严格的要求。第一个重大变化是要求代码签名证书使用硬件令牌(如 USB 加密狗或智能卡),而不是将私钥存储在文件中。这使得攻击者更难窃取签名密钥。下一个变化是引入了扩展验证(EV)代码签名证书,这需要对开发者的身份进行更彻底的验证。

最重要的变化来自 SmartScreen 和基于信誉的系统。即使有有效的签名,如果你的应用程序是新的并且没有信誉,Windows SmartScreen 也会向用户显示警告。这使得新开发者更难分发他们的应用程序。该系统旨在保护用户免受未知软件的侵害,但也给刚刚起步的合法开发者带来了障碍。

微软继续发展签名流程。最新的变化包括支持时间戳,这确保即使在证书过期后签名仍然有效。Windows 硬件开发人员中心和合作伙伴中心的引入简化了获取证书的过程。而最近,微软推出了 Azure Trusted Signing,通过使用基于云的签名完全消除了对硬件令牌的需求。

让我们合作吧

您需要更多信息、项目帮助或开发构想吗?

无论是简单的问题还是完整的项目,我都在这里。联系我,让我们将您的想法变为现实。

联系我

切换主题

选择一个专业主题进行探索: