免费代码签名证书申请流程指南

在2026年的软件开发环境中，代码签名证书已成为验证软件身份、保护代码完整性的关键工具，它能消除Windows系统“未知发布者”的安全警告，让用户放心下载安装你的软件。然而，对于个人开发者、开源项目或内部测试场景，免费代码签名证书是否存在？又该如何获取？本文将为你详细梳理。

　一、真有免费代码签名证书申请吗

需要明确的是：市场上没有正规CA机构签发的免费代码签名证书。OV或EV代码签名证书都需要经过严格的企业身份验证，安信证书官网上，Certum代码签名证书价格为1200元/年起，网络上所谓的“免费下载”商业证书，大多是破解版或过期版，使用这类证书会带来严重的安全风险（私钥泄露）和法律风险。

那么，开发者就没有免费途径了吗？有两种真正免费的替代方案：自签名证书（适合内部测试）和Sigstore（适合开源项目）。

　二、方案一：自签名证书（适合内部测试/旧版Windows）

自签名证书由开发者自己生成，不通过任何CA机构验证。它对于开发和内部测试非常有用，但不被操作系统和浏览器信任，外部用户安装时会看到安全警告。

使用OpenSSL创建证书

1、安装OpenSSL工具（官网下载）

2、生成私钥：

openssl genpkey-algorithm RSA-out private.key

3、创建证书签名请求（CSR）：

openssl req-new-key private.key-out mycode.csr

4、使用私钥签署：

openssl x509-req-days 365-in mycode.csr-signkey private.key-out mycode.crt

5、合并证书和私钥：

cat mycode.crt private.key>mycode.pem

　三、方案二：Sigstore（适合开源/GitHub项目）

Sigstore是一个完全免费、开源的数字签名方案，无需购买证书，通过GitHub身份验证即可签名。

1、安装Sigstore：

pip install sigstore

2、生成GitHub令牌：

GitHub→Settings→Developer settings→Personal access tokens→Tokens(classic)

勾选`read:user`和`user:email`权限

复制生成的token

3、签名你的.exe文件：

export GITHUB_TOKEN=”你的令牌”

sigstore sign–bundle sigstore-bundle.json你的软件.exe

系统会打开浏览器完成GitHub OAuth授权

4、发布验证文件：

将可执行文件和生成的`sigstore-bundle.json`一同上传到GitHub Release，并附上验证说明。

用户只需：

pip install sigstore

sigstore verify github你的软件.exe–bundle sigstore-bundle.json–cert-identity https://github.com/你的用户名

验证成功即证明文件来自你的GitHub账户且未被篡改。

以上就是两种常见的免费代码签名证书申请流程，对于正式发布的商业软件，特别是需要消除Windows SmartScreen警告、通过微软WHQL认证的场景，建议通过正规渠道（如安信证书等）申请OV或EV代码签名证书。

相关推荐：《在哪可以申请免费的代码签名证书》