来自 Comodo、Sectigo、DigiCert 和 GoGetSSL 的 OV 和 EV 代码签名证书,起价 $219/年。大多数订单在 1-7 个工作日内签发,并随附硬件令牌,或者您也可以通过云 HSM 进行签名。享有 25 天退款保证。


OV 与 EV 代码签名证书
代码签名证书分为两个验证级别,购买者的选择取决于签名主体和签名对象。
- OV(组织验证)是标准级别。CA 验证已注册企业的合法存在,并向该组织签发证书。Comodo 和 Sectigo 还向经过验证的个人签发 OV 等效证书,有时称为个人验证(IV),适用于没有注册公司的独立开发者。SSL Dragon 的 OV 选项起价 $219/年。
- EV(扩展验证)需要依据 CA/Browser Forum 的 EV 准则进行更深入的企业审查。仅限已注册的组织申请,个人不符合资格。EV 是签署 Windows 内核模式驱动程序的唯一被接受的级别,许多企业采购和审计政策也明确要求使用 EV。SSL Dragon 的 EV 选项起价 $287/年。
| OV / 个人 | EV | |
|---|---|---|
| 身份审查 | 企业或个人 | 已注册组织(不含个人) |
| SmartScreen 行为 | 按文件哈希值积累信誉 | 按文件哈希值积累信誉 |
| Windows 内核模式驱动程序签名 | 不符合资格 | 符合资格 |
| 起始价格(SSL Dragon) | $219/年 | $287/年 |
| 最适合 | 用户模式应用、脚本、预算较低 | 驱动程序签名、身份保障、采购合规 |
关于 SmartScreen 的说明:2024 年 Microsoft 可信根程序的更新改变了信誉积累的方式。SmartScreen 信誉现在按文件哈希值和下载量积累,与证书类型无关。EV 不再授予即时 SmartScreen 信任。OV 和 EV 签名的二进制文件一旦发布,信誉积累方式完全相同。
如果您签署用户模式应用程序并希望选择较低价格级别,请选择 OV。如果您签署 Windows 内核模式驱动程序、需要最高级别的身份保障,或采购要求明确指定 EV,请选择 EV。
硬件令牌、云 HSM 或自带设备
自 2023 年 6 月 1 日起,CA/Browser Forum 要求每个公开信任证书的私钥必须在符合 FIPS 140-2 Level 2 或 Common Criteria EAL 4+ 标准的硬件上生成和存储。可下载的 .pfx 文件不再签发。购买者可选择以下三种交付方式之一:
- CA 邮寄 USB 令牌。CA 将预装好的 FIPS 140-2 Level 2 USB 令牌(通常为 YubiKey)邮寄至订单上经过验证的地址。
- 自带合规设备。如果您的团队已拥有符合 FIPS 140-2 Level 2 或 Common Criteria EAL 4+ 标准的 HSM 或令牌,CA 可根据该设备的证明文件签发证书。
- 云 HSM 签名服务。私钥在 CA 管理的云 HSM 中生成和保存,例如 DigiCert KeyLocker、Sectigo 云签名或 SSL.com eSigner。无需邮寄实体令牌,签名流程可无缝集成到 CI/CD 流水线中。
USB 令牌最适合偶尔手动签名;云签名更适合自动化构建。三种方式共享相同的公钥基础设施(PKI):证书将您经过验证的身份与公钥绑定,硬件保护私钥,生成的数字签名由 Windows 进行验证。
设置步骤请参阅我们的代码签名教程。
新的 460 天有效期限制(2026 年 3 月起生效)
自 2026 年 3 月 1 日起,公开信任证书的最长有效期为 460 天(约 15 个月),低于此前 39 个月的最长期限。此变更源自 CA/Browser Forum Ballot CSC-31。多年期订单仍可购买,但证书本身将在购买期限内重新签发,而非跨越整个期限。
在订单层面,这意味着:
- 单张新证书的有效期上限约为 15 个月
- 2 年和 3 年期订单仍可购买,期间需重新签发证书
- 已安装 HSM 的订单可覆盖完整购买期限,但需每年重新签发
- 2026 年 3 月 1 日之前签发的证书在原到期日前继续有效
经过正确时间戳处理的代码在证书到期后仍受信任,因此您已签名并发布的软件不受影响。变化的只是续期频率。
按 CA 和价格比较代码签名证书
SSL Dragon 提供来自四家证书颁发机构的选项。以下是 OV 和 EV 选项在起始价格、硬件交付方式和签发时间方面的对比。
| 证书 | 验证级别 | 起始价格 | 硬件交付方式 | 签发时间 |
|---|---|---|---|---|
| Comodo Code Signing | OV / 个人 | $219/年 | USB 令牌或 HSM | 1-7 天 |
| Sectigo Code Signing SSL | OV / 个人 | $219/年 | USB 令牌或 HSM | 1-7 天 |
| GoGetSSL Code Signing SSL | OV / 个人 | $289/年 | USB 令牌或 HSM | 1-7 天 |
| DigiCert Code Signing | OV | $400/年 | USB 令牌、HSM 或 KeyLocker 云 | 1-7 天 |
| Comodo EV Code Signing | EV | $287/年 | USB 令牌或 HSM | 1-7 天 |
| Sectigo EV Code Signing | EV | $287/年 | USB 令牌或 HSM | 1-7 天 |
| GoGetSSL Code Signing EV SSL | EV | $369/年 | USB 令牌或 HSM | 1-7 天 |
| DigiCert EV Code Signing | EV | $685/年 | USB 令牌、HSM 或 KeyLocker 云 | 1-7 天 |
Comodo 和 Sectigo OV 均起价 $219/年,是本页面上最便宜的公开信任选项。DigiCert 处于高端价位,OV 为 $400,EV 为 $685,通常由合同或合规框架中明确指定 DigiCert 的买家选择。GoGetSSL 是 EV 级别的性价比之选,起价 $369/年。四家 CA 均提供硬件令牌,DigiCert 还额外提供 KeyLocker 云签名,适合无需 HSM 的工作流程。
为什么免费代码签名并不现实
截至 2026 年,没有任何公开信任的证书颁发机构提供免费代码签名。
两项实际成本使其无法实现:
- CA 必须验证发布者的身份(组织或个人)
- 自 2023 年 6 月起,私钥必须存储在符合 FIPS 标准的硬件上,而这需要有人承担费用
自签名证书可以使用 OpenSSL 生成且无需任何费用,但 Windows、macOS 和浏览器不信任它们,因此”未知发布者”警告依然存在。如果价格是决定性因素,Comodo Code Signing 和 Sectigo Code Signing OV(或面向独立开发者的个人验证)是入门级 SKU,起价 $219/年。
代码签名证书可以签署哪些内容
SSL Dragon 提供的任意 CA 证书均可签署:
- Windows 二进制文件和安装程序:通过 Microsoft Authenticode 签名的 .exe、.dll、.cab、.ocx、.msi 和 .xap 文件
- Windows 驱动程序:用户模式驱动程序(OV 或 EV)和内核模式驱动程序(仅限 EV)
- Java 应用程序:使用 jarsigner 签名的 .jar 文件
- 脚本和宏:PowerShell 脚本、VBScript 以及 Microsoft Office VBA 宏
- 其他格式:Adobe AIR 包、Mozilla 对象文件和 Microsoft Silverlight(旧版但仍有效)
- 固件和 IoT 软件
- 容器和软件包
同一张证书可覆盖上述大多数场景;内核模式驱动程序是唯一强制要求 EV 级别的情况。
代码签名证书与 SSL/TLS 证书的区别
SSL/TLS 证书用于加密浏览器与网站之间的连接。代码签名证书对软件进行数字签名,使操作系统能够验证发布者身份以及文件是否未被篡改。
两者不可互换:一个用于保护域名,另一个用于证明可执行文件的来源。两者都是由证书颁发机构签发的 X.509 证书,这也是它们容易被混淆的原因。
常见问题
这是一种 X.509 证书,允许发布者为软件附加可验证的数字签名。与 CSR(仅提交给 CA 的订单请求)不同,已颁发的证书将经过审核的身份与公钥绑定,操作系统使用该公钥来确认文件的来源。
复制链接
EV 审核通常比 OV 多需要 3-5 个工作日,且只有 EV 才符合内核模式驱动程序签名的资格。有关定价、身份验证以及 SmartScreen 行为比较的详细信息,请参阅上方的 OV 与 EV 对比部分。
复制链接
硬件令牌是三个选项之一。DigiCert KeyLocker 和 SSL.com eSigner 等云端签名服务完全跳过了物理令牌:密钥存储在 CA 管理的 HSM 中,您通过 API 进行签名,非常适合 CI/CD 流程。请参阅上方的硬件交付部分。
复制链接
根据当前规则,每次签发的最长有效期为 460 天。请务必使用时间戳机构(DigiCert 的 tsa.digicert.com 或 Sectigo 的 timestamp.sectigo.com)进行签名,以确保二进制文件在证书到期后仍受信任。详细内容请参阅上方的”460 天有效期”部分。
复制链接
没有任何公开信任的 CA 会颁发此类证书。完整的原因说明以及最便宜的付费替代方案,请参阅上方”为什么免费代码签名不切实际”部分。
复制链接
任何 EV 代码签名证书。Microsoft 的 WHQL 门户和认证签名流程都会直接拒绝非 EV 证书。
复制链接
根据 CA 和验证级别,通常需要 1-7 个工作日。EV 的审核流程比 OV 更为严格,因此所需时间通常更长。如果发布截止日期较紧,请预留充足的时间。
复制链接
是的,适用于跨平台二进制文件的通用签名,包括 .jar 文件和许多容器格式。macOS App Store 分发需要单独的 Apple Developer ID 计划;Linux 签名的标准化程度较低,但大多数软件包格式均支持。
复制链接
不知道您需要什么?
使用我们的 SSL Wizard 选择适合您的选项,我们将帮助您找到合适的 SSL 证书。
不知道您需要什么?

