作为给软件,应用等程序代码加数字签名的代码签名证书,是软件开发商或者发布商不可或缺的工具。代码签名证书需要由权威可信的 CA 机构签发,目前全球大大小小的占有一定市场份额的代码签名证书签发机构(CA)大概有十多个。

这些代码签名证书在中国主要通过环度网信等这样的合作伙伴来提供售前售后服务,我们以环度网信上正在提供的几个主流代码签名证书品牌为例,主要有 DigiCert,GlobalSign,Sectigo,Entrust,Certum 这几个品牌。他们共同的特点是都是微软认可的可信证书品牌,都能满足对 exe 等程序的签名要求。

打开网易新闻 查看精彩图片

主流的代码签名证书优缺点分析

审核方式:这几款代码签名证书都具备中文审核的能力。其中,GlobalSign 在中国设置有本地化审核团队,其他几个品牌的审核都设置在国外,但提供中文服务,因此,申请证书期间,看到有国外打进来的电话,不要盲目挂断,很可能是鉴证组正在联系您核实证书细节。当然环度网信也会提前告知您相关细节。

功能:DigiCert 等几个品牌提供 KeyLocker 云签名以及 DigiCert Software Trust Manager 解决方案,如果您不想使用在电脑上插 USB Token 的方式来签名,那么可以跟 环度了解云签名的方式。

这几款代码签名证书都支持创建 WHQL 账号(提交驱动获取微软签名的必备条件),但现在所有代码签名证书都不能直接给内核驱动直接进行签名,取而代之的是要将驱动提交给微软认证来获取数字签名,详见环度网信官网。

申请资格:正常的企业等组织机构均可申请,如果单位组织成立未满三年,需要提供的材料则更多一点。如果您是个体户,那么建议您在环度上申请 GlobalSign 代码签名证书,如果您完全是个人用户,则 Certum 有一款个人开源版。

签发形式:Sectigo 需要的签发时间目前是这几个 CA 中最长的,因为您在 ihuandu 上申请之后,其证书是从国外快递过来,一般需要15 天以上您才可以拿到证书,而且一旦存贮证书的 Token 丢失,那么补发证书会产生更多的费用。其他几款证书则可以直接从 ihuandu 直接给您发 Token,补发也相对简单,针对一个公司需要多人使用证书的场景则能更好的满足。

使用成本:目前这几款证书的使用成本 Sectigo 和 Certum 可能略低。

以上为几款证书的粗略对比,更多细节可以在 ihuandu.com 上进行了解。