Здравствуйте, wellwell, Вы писали:
W>Может кто сталкивался. Есть сертификат от GlobalSign которым подписывается приложение.
W>В Windows 7 при первом запуске этого приложения, система уходит в себя секунд на 20-30 начиная проверять цепочку сертификатов через интернет.
Попробовал запустить у себя на "семерке", качнул пару дистрибутивов с сайта, но все оказались неподписанными. Сертификат только купили?
"dreamcharger" <54491@users.rsdn.ru> wrote in message news:4639618@news.rsdn.ru... > Попробовал запустить у себя на "семерке", качнул пару дистрибутивов с сайта, но все оказались неподписанными. Сертификат только купили?
Не совсем, раньше только подписывал драйвера для работы на 64-битных системах, а вот счас решил попробовать еще и дистрибутивы.
Проверил, только не сразу запустил, а взял свойства файла. Заняло несколько секунд, после этого стало показываться мгновенно. Вообще подобная тема всплывала совсем недавно http://www.rsdn.ru/forum/shareware/4587612.flat.aspx
, сошлись на том, что, скорее всего, Windows может просто не имееть корневых сертификатов для не мейнстримовых издателей, из-за чего и вынуждена лезить в инет. Жаль я сразу не посмотрел, перед тем как брать свойства файла, имеются ли в системе установленные сертификаты от GlobalSign и какие.
Здравствуйте, wellwell, Вы писали:
W>Может кто сталкивался. Есть сертификат от GlobalSign которым подписывается приложение.
W>В Windows 7 при первом запуске этого приложения, система уходит в себя секунд на 20-30 начиная проверять цепочку сертификатов через интернет.
W>Почему так происходит и можно ли ускорить процесс, может чего-то не хватает в certificate chain?
На "голых" Vista и Windows 7 отсутствуют многие популярные сертификаты, GlobalSign в том числе.
Я буквально пару месяцев назад проводил эксперименты на только что установленных системах, не
имеющих выхода в интернет, причем изучались все системы, от XP до Win8 Dev Preview.
Для таких цифровых подписей Windows не может сразу найти и проверить корневой сертификат,
потому что его нет в Root-хранилище. Поэтому задействуется служба обновления корневых
сертификатов — нужный сертификат скачивается с интернета, ставится в нужное хранилище и
проверка завершается успешно. Вы можете включить нужные корневые или промежуточные
сертификаты в дистрибутив программы.
Здравствуйте, grosborn, Вы писали:
>> Вы можете включить нужные корневые или промежуточные >> сертификаты в дистрибутив программы.
G>Какой в этом смысл?
Чтобы Windows не лезла в инет за сертификатом, когда потребуется проверить его.
Это может произойти в неподходящий момент, да и интернет не всегда доступен.
>>> Вы можете включить нужные корневые или промежуточные >>> сертификаты в дистрибутив программы. > > G>Какой в этом смысл? > > Чтобы Windows не лезла в инет за сертификатом, когда потребуется проверить его. > Это может произойти в неподходящий момент, да и интернет не всегда доступен.
В каком случае нам нужно подписанное приложение установленное неподписанным инсталятором? Иожет проще само приложение не подписывать?
"grosborn" <34906@users.rsdn.ru> wrote in message news:4639847@news.rsdn.ru... > В каком случае нам нужно подписанное приложение установленное неподписанным инсталятором? Иожет проще само приложение не подписывать?
Наверное, имелось в виду включить промежуточные сертификаты в подпись.
Поиграл немного с signtool, пробовал включать все сертификаты вплоть до корневного в подпись (с помощью ключа /ac).
Если на компе нету интернета, свойства сертификаты открываются мгновенно. Подпись верна.
Если же интернет есть, уходит в себя секунд на 10, потом опять же открываются свойства и подпись верна.
Здравствуйте, wellwell, Вы писали:
W>Может кто сталкивался. Есть сертификат от GlobalSign которым подписывается приложение.
W>В Windows 7 при первом запуске этого приложения, система уходит в себя секунд на 20-30 начиная проверять цепочку сертификатов через интернет.
W>Почему так происходит и можно ли ускорить процесс, может чего-то не хватает в certificate chain? Путь выглядит так:
W>
Попробуй включить в подпись все сертификаты, включая корневой.
Я делаю это с помощью signtool в режиме мастера
запускаешь из командной строки так
signtool signwizard
выбираешь свой файл, потом на следующем шаге выбираешь тип подписи "особая" ну и дальше все делаешь по шагам и он по умолчанию предолжит тебе включить в подпись весь путь сертификатов вплоть до корневого.
Еще я думаю имеет значение какой сервер timestamp участвует в подписи. Если у твоего поставщика сертификата нет своего сервера timestamp то лучше использовать URL верисайна http://timestamp.verisign.com/scripts/timestamp.dll
его сертификат точно в системе есть, иначе полезет в инет чтобы скачать сертификат которым timestamp проверить
Здравствуйте, grosborn, Вы писали:
G>В каком случае нам нужно подписанное приложение установленное неподписанным инсталятором? Иожет проще само приложение не подписывать?
Например, драйвер для x64 на Vista и выше. Цифровая подпись обязательна.
Если только цепочка доверия не ведет к VeriSign, который есть по умолчанию на всех системах,
надежнее будет поставить корневой сертификат еще на стадии установки программы, чтобы в
момент ее запуска не возникло проблем, особенно если доступа в интернет не будет.
А особого смысла подписывать инсталлятор сертификатом, который изъят из корневого хранилища
почти всех современных версий Windows, я тоже не вижу. Как бы палка о двух концах — одна
часть пользователей будет видеть сообщения о доверенном издателе, зато вторая получит страшные
предупреждения системы безопасности. Неподписанный инсталлер в этом отношении нейтральнее. IMHO.
O>А особого смысла подписывать инсталлятор сертификатом, который изъят из корневого хранилища O>почти всех современных версий Windows, я тоже не вижу. Как бы палка о двух концах — одна O>часть пользователей будет видеть сообщения о доверенном издателе, зато вторая получит страшные O>предупреждения системы безопасности. Неподписанный инсталлер в этом отношении нейтральнее. IMHO.
Разве включение в подпись всего пути сертификатов вплоть до корневого не помогает?
Словов много ответа пока не увидел, зато узнаю много удивительных вещей, что шароварщеги пишущие свои x64 драйвера и при этом задают вопросы про сертификаты
Так, задаю вопрос еще раз. Никаких драйверов. Приложение.
Что нам дает инсталяция сертификатов инсталятором приложения? В каком случае это может потребоваться? Если инсталятор подписан, то сертификаты уже установлены при его старте, если инсталятор не подписан, то мы получаем те же проблемы, но на стадии запуска инсталятора. Ты больше с инсталяторами работал, можешь все-таки внятно написать, что это нам дает?
Здравствуйте, CRT, Вы писали:
CRT>Разве включение в подпись всего пути сертификатов вплоть до корневого не помогает?
Тогда смысл цифровых подписей вообще потерялся бы.
Потому что любой желающий мог бы сгенерить свой самопальный серт, а также свою
цепочку доверия, ведущую к своему самопальному root-сертификату, и включить это
все в цифровую подпись. А такая подпись не должна считаться валидной.
Здравствуйте, okman, Вы писали:
O>Тогда смысл цифровых подписей вообще потерялся бы. O>Потому что любой желающий мог бы сгенерить свой самопальный серт, а также свою O>цепочку доверия, ведущую к своему самопальному root-сертификату, и включить это O>все в цифровую подпись. А такая подпись не должна считаться валидной.
Почему к самопальному
Я мею в виду включить в подпись все вот эти сертификаты
Тот который наверху, ему же виндос доверяет, вот типа из-за этого проблем и не должно быть
И попутно виндос всех их установит в систему
Здравствуйте, grosborn, Вы писали:
G>Словов много ответа пока не увидел, зато узнаю много удивительных вещей, что шароварщеги пишущие свои x64 драйвера и при этом задают вопросы про сертификаты
Я не задаю вопросы, а отвечаю на них.
G>Так, задаю вопрос еще раз. Никаких драйверов. Приложение. G>Что нам дает инсталяция сертификатов инсталятором приложения? В каком случае это может потребоваться? Если инсталятор подписан, то сертификаты уже установлены при его старте...
Это не так. Может быть, что инсталлятор подписан, а корневой сертификат подписи отсутствует в
соответствующем хранилище сертификатов Windows. И если на момент проверки у юзера не будет инета,
он получит не очень приятное сообщение. А еще антивирус может очень сильно ругнуться.
Сам по себе, вдруг, сертификат не поставится.
G>...если инсталятор не подписан, то мы получаем те же проблемы, но на стадии запуска инсталятора.
Это два разных случая — отсутствие цифровой подписи и цифровая подпись, которую не удается проверить.
И система безопасности (я имею в виду и антивирусы тоже) на такие вещи реагировать может по-разному.
G>Ты больше с инсталяторами работал, можешь все-таки внятно написать, что это нам дает?
Если сертификат нигде, кроме подписи инсталлятора, не используется, то это ничего не дает.
Здравствуйте, CRT, Вы писали:
CRT>Я мею в виду включить в подпись все вот эти сертификаты CRT>
CRT>Тот который наверху, ему же виндос доверяет, вот типа из-за этого проблем и не должно быть CRT>И попутно виндос всех их установит в систему
А если Windows корневому сертификату GlobalSign не доверяет, что тогда ?
Никак не могу понять о чем ты пишешь.
Вот варианты:
Типовые варианты
1. Не подписан инсталятор, не подписано приложение, тормозов нет но сообщение "Неизвестный издатель". Приложение ставится и потом работает без вопросов.
2. Подписываем как это положено — тормоза и "проверить не удалось" если нет интернета, но установить можно. Приложение ставится и потом работает без вопросов.
Твой вариант
3. Инсталятор не подписан, сертификаты ставятся инсталятором, приложение подписано. — тормоза и "проверить не удалось" если нет интернета (на этапе инсталяции продукта), но установить можно. Приложение ставится и потом работает без вопросов.
> Твой вариант > 3. Инсталятор не подписан, сертификаты ставятся инсталятором, приложение подписано. — тормоза и "проверить не удалось" если нет интернета (на этапе инсталяции продукта), но установить можно. Приложение ставится и потом работает без вопросов.
Тьфу, запутал меня Так:
Твой вариант > 3. Инсталятор не подписан, сертификаты ставятся инсталятором, приложение подписано. — тормозов нет, но сообщение "Неизвестный издатель" на этапе инсталяции продукта, но установить можно. Приложение ставится и потом работает без вопросов.
Здравствуйте, grosborn, Вы писали:
G>Твой вариант >> 3. Инсталятор не подписан, сертификаты ставятся инсталятором, приложение подписано. — тормозов нет, но сообщение "Неизвестный издатель" на этапе инсталяции продукта, но установить можно. Приложение ставится и потом работает без вопросов.
Да, все правильно.
Вариант именно для тех случаев, когда сертификат не сильно распостранен, но для
нормальной работы приложения обязателен.
