Здравствуйте, Михaил, Вы писали:
М>1) есть ли разница между EV и обычным сертификатом, если цель — убрать "Unidentified developer warning"? Или они идентичны?
EV сертфикат сходу дает программе higher reputation при SmartScreen проверке. Сообщение слегка менее страшное и это типа плюс при изначальных загрузках с интернетов.
EV требуется для подписи драйверов.
В остальном разницы особой нет.
М>2) Насколько я понимаю, CA-организации выдают криптофлешки-ключи, и эти ключи требуются во время подписи? Можно ли как-то подписать, не имея такой флешки, от имени компании-заказчика?
Железные ключи требуются только для EV. Ключ приходит пустой (его вообще можно купить отдельно) и он умеет генерить keypair. Public part идет в CA, на подпись, а private всегда сидит на ключе и вытащить её оттуда нельзя. В этом собственно и весь смысл железных ключей.
Обычные non-EV сертификаты можно получить на key pair, которая хранится в обычном файле, с опциональным пасвордом.
По идее, заказчик может поделится с вами копией из сертификата с ключами, но формально это запрещено и может привести к отзыву сертификата.
Кошерный вариант — это отдавать им бинарники после билда, чтобы они их подписывали. Ну или получать серт на себя.