Здравствуйте, Михaил, Вы писали:

М>1) есть ли разница между EV и обычным сертификатом, если цель — убрать "Unidentified developer warning"? Или они идентичны?

EV сертфикат сходу дает программе higher reputation при SmartScreen проверке. Сообщение слегка менее страшное и это типа плюс при изначальных загрузках с интернетов.

EV требуется для подписи драйверов.

В остальном разницы особой нет.

М>2) Насколько я понимаю, CA-организации выдают криптофлешки-ключи, и эти ключи требуются во время подписи? Можно ли как-то подписать, не имея такой флешки, от имени компании-заказчика?

Железные ключи требуются только для EV. Ключ приходит пустой (его вообще можно купить отдельно) и он умеет генерить keypair. Public part идет в CA, на подпись, а private всегда сидит на ключе и вытащить её оттуда нельзя. В этом собственно и весь смысл железных ключей.

Обычные non-EV сертификаты можно получить на key pair, которая хранится в обычном файле, с опциональным пасвордом.

По идее, заказчик может поделится с вами копией из сертификата с ключами, но формально это запрещено и может привести к отзыву сертификата.

Кошерный вариант — это отдавать им бинарники после билда, чтобы они их подписывали. Ну или получать серт на себя.