微软代码签名证书申请和使用指南

当用户在安装软件时，那个“未知发布者”的警告成为阻碍产品到达用户桌面的最大障碍，微软为了构建安全的软件生态，早已将代码签名设为强制性要求，正确获取和使用微软代码签名证书，既是消除信任障碍的技术过程，也是保障产品合规上市的关键。

　一、微软代码签名证书选择

1、OV代码签名证书为常规软件提供身份验证，消除“未知发布者”警告，可显示已验证的企业名称，适合常规桌面应用（.exe，.msi）、工具软件、企业内部程序等；

2、EV代码签名证书用于内核驱动程序签名及通过微软WHQL认证的强制性前提，可立即获得微软SmartScreen信誉，快速消除所有拦截警告。

　二、微软代码证书申请流程

第一步：准备申请材料

无论是OV还是EV证书，核心的企业身份证明材料是一致的，主要包括企业营业执照副本（需加盖公章）、法人身份证正反面照片、经办人（联系人）的身份信息和企业电话（用于接收验证电话）。

第二步：提交申请与身份核验

通过所选CA机构的授权服务商（如安信证书）提交申请，CA会通过政府数据库交叉核验企业信息，并拨打企业电话进行人工确认。EV证书的审核更为严格，可能包含额外步骤。

第三步：接收并安装证书

OV证书：你需要将私钥导入自己准备的硬件安全模块（HSM）或安全USB令牌中。

EV证书：CA会直接向你邮寄一个已预装私钥的专用硬件令牌（USB Key），首次使用需安装配套驱动并设置强密码。

第四步：使用SignTool为代码签名

签名操作主要在命令行中完成，核心工具是微软官方提供的`SignTool.exe`，它通常包含在Windows SDK中。

一个包含关键参数的基础签名命令如下：

signtool sign/fd SHA256/f”证书文件.pfx”/p”私钥密码”/tr”http://timestamp.digicert.com””你的软件.exe”

第五步：验证签名

签名后务必验证，有两种简单方法：

1、右键点击已签名的文件→“属性”→“数字签名”选项卡，查看签名详情。

2、在命令行中运行`signtool verify/pa“你的软件.exe”`。

上文为大家介绍了微软代码签名证书的申请和使用方法，如果产品是硬件驱动，需要通过Windows Update分发则必须要进行WHQL认证，则需要选择EV代码签名证书才能满足。

相关推荐：《微软代码签名需要哪些证书》