bg-tutorials

# 如何验证 Sectigo/Comodo 代码签名证书 在将代码签名证书应用于您的应用程序之前,验证证书对于确保其真实性和有效性至关重要。本指南将逐步指导您完成验证 Sectigo 或 Comodo 代码签名证书的过程。 ## 什么是代码签名证书验证? 代码签名证书验证是确保您获得的证书来自真正的证书颁发机构(CA)并且未被篡改的过程。这涉及检查证书的链、签名和其他属性,以确保其完整性和真实性。 ## 为什么验证代码签名证书很重要? 验证代码签名证书很重要,原因如下: – **真实性**:确保证书由受信任的 CA(如 Sectigo 或 Comodo)颁发 – **安全性**:检测任何可能的篡改或伪造证书 – **可信度**:当用户看到由有效证书签名的代码时,他们对您的应用程序有更多信心 – **合规性**:某些应用程序或平台可能要求代码签名证书来发布应用程序 ## 验证代码签名证书的步骤 ### 步骤 1:获取证书文件 首先,确保您拥有代码签名证书文件。这通常以以下格式之一提供: – **.pfx** 或 **.p12** – 包含证书和私钥 – **.cer** 或 **.crt** – 仅包含证书(公钥) – **.pem** – 以 PEM 格式编码的证书 ### 步骤 2:检查证书链 代码签名证书应链接到受信任的根 CA。要验证链: 1. 打开证书查看器(操作系统特定步骤见下文) 2. 查看”Certification Path”或”Chain”标签 3. 确认链中的每个证书都来自受信任的发行者 4. 对于 Sectigo 或 Comodo 证书,根应该是 USERTrust RSA 或类似的受信任根 ### 步骤 3:在 Windows 上验证 在 Windows 操作系统上验证代码签名证书: 1. **查找证书文件**并右键单击它 2. **选择”Open”**或**”View”**(取决于文件类型) 3. **在证书信息窗口中**,验证以下内容: – **Issued By**:应显示 Sectigo 或 Comodo – **Issued To**:应显示您或您的组织名称 – **Valid From/To**:确保证书未过期 – **Certification Path**:验证完整的信任链 4. **点击”View Certificate”**以查看详细信息 5. **检查”General”标签**以确认它是代码签名证书 ### 步骤 4:在 macOS 上验证 在 macOS 上验证代码签名证书: 1. **打开 Keychain Access** 应用程序 2. **选择”Certificates”**类别 3. **找到您的代码签名证书** 4. **检查以下内容**: – **Common Name (CN)**:应与您的组织或开发者名称匹配 – **Expiration Date**:确保它仍然有效 – **Trust Settings**:应显示为受信任 5. **点击信息按钮(i)**以查看完整详情 ### 步骤 5:验证签名链 要验证代码签名证书的签名链: 1. **打开命令提示符或终端** 2. **运行以下命令**(具体命令取决于您的操作系统和文件类型): 对于 PEM 格式的证书: “` openssl x509 -in certificate.pem -text -noout “` 对于 PFX 格式的证书: “` openssl pkcs12 -in certificate.pfx -text -password pass:yourpassword “` 3. **检查输出中的以下内容**: – **Issuer**:应显示 Sectigo、Comodo 或受信任的 CA – **Subject**:应显示组织或个人名称 – **Validity**:检查 Not Before 和 Not After 日期 – **Public Key Size**:应至少为 2048 位(对于 RSA)或 256 位(对于 ECC) ### 步骤 6:验证签名工作 为确保证书可用于签名代码,请执行测试签名: **在 Windows 上**: “` signtool sign /f certificate.pfx /p password /t http://timestamp.sectigo.com /fd SHA256 applicationfile.exe “` **在 macOS 上**: “` codesign -s “Developer Name” applicationfile.app “` 成功的签名验证确认证书已正确安装并可以使用。 ## 常见验证问题 ### 问题:证书链不完整 **解决方案**: – 确保您已安装中间证书 – 从 Sectigo 或 Comodo 下载完整的证书链 – 在签名工具中包含链证书 ### 问题:证书过期 **解决方案**: – 检查证书的有效期 – 从 Sectigo 或 Comodo 续订证书 – 用新证书重新签名代码 ### 问题:不受信任的发行者 **解决方案**: – 验证根证书是否在系统的受信任存储中 – 手动添加根证书到受信任存储 – 联系 Sectigo 或 Comodo 支持获取帮助 ### 问题:签名验证失败 **解决方案**: – 确保使用正确的密码访问 PFX 文件 – 检查文件是否未损坏 – 尝试重新导出证书 ## 最佳实践 验证代码签名证书时,请遵循这些最佳实践: – **定期验证**:在部署代码更新前定期验证证书 – **安全存储**:将证书和私钥安全存储在受保护的位置 – **使用时间戳**:在签署代码时始终使用时间戳服务器,以延长签名的有效期 – **备份**:保留证书的备份副本,以防丢失 – **监控过期**:跟踪证书到期日期并提前续订 – **文档**:记录验证过程和结果以供审计之用 ## 结论 验证您的 Sectigo 或 Comodo 代码签名证书是确保代码安全性和用户信任的重要步骤。通过遵循本指南中概述的步骤,您可以确认您的证书是真实的、有效的,并准备好用于签署您的应用程序。 如果您在验证过程中遇到任何问题,请联系 Sectigo 或 Comodo 支持或咨询 SSL Dragon 获取额外帮助。

Sectigo/Comodo 代码签名证书遵循相同的审核流程。根据您请求的验证级别,您必须提交必要的文件,如政府签发的身份证件和官方注册文件,以迅速验证您的组织身份和存在。

Sectigo/Comodo 代码签名证书的有效期为一年,并存储在安全硬件上。您可以选择 Sectigo 提供的令牌,或在您自己支持的硬件设备(HSM)上安装证书。

多年期计划(最长三年)仅在使用您自己的硬件设备时才可用。

本指南涵盖代码签名证书的组织验证、扩展验证和个人验证。使用下面的锚点链接在各部分之间导航。

组织验证 (OV)

组织验证 (OV) 验证申请代码签名证书的公司或组织的合法性和真实性。它确保申请人在公认的司法管辖区合法注册并运营。

证书颁发机构 (CA) 通过查阅官方数据库和文件来确认申请人的状态,以验证组织的名称、地址和法律存在。

通过验证组织,代码签名证书向用户保证他们下载或执行的软件来自信誉良好且经过验证的来源,防止”未知发布者“警告,降低恶意软件或未授权篡改的风险。

通过代码签名证书的组织验证需要满足以下要求:

  • 身份认证
  • 组织认证
  • 地点存在验证
  • 电话验证
  • 最终验证通话

以下是完成每个步骤的方法:

1. 身份认证

Sectigo(同样适用于 Comodo 代码签名证书)实施身份验证,以确保申请人声称的身份是合法的。它要求向 Sectigo 提交政府颁发的带照片的身份证件,如护照、驾驶执照、个人身份证或军人证件,以供彻底审查。

要继续进行身份验证,请向 Sectigo 提交工单,并附上带有订单号的照片身份证件以供验证。

2. 组织认证

确保您的组织的合法性和活跃状态是获得组织验证代码签名证书的主要要求。这个过程被称为组织认证,涉及证书颁发机构 (CA) 验证您的公司在其指定位置是合法注册的实体。

在大多数情况下,CA 将尝试使用在线政府数据库验证您的公司状态。他们将交叉参考您提供的信息与您当地市政府、州政府或国家政府的官方网站,该网站显示商业实体的注册详情。

政府数据库中列出的信息必须与您提交给 CA 的详情相同,以避免证书签发延迟。如果在线政府数据库不可用或缺少最新记录,CA 将使用以下替代方法之一:

官方注册文件

您可以提交证明您的组织合法存在的官方注册文件。这些文件可能包括公司章程、特许许可证或您当地政府颁发的 DBA(以…名义营业)声明。

邓白氏 (Dun & Bradstreet)

另一种方法是通过邓白氏 (Dun & Bradstreet),这是一家专门提供组织财务报告的公司。CA 可以接受全面的 DUNS 信用报告来验证与您的公司相关的具体详情,从而满足组织认证要求。

法律意见信

您也可以选择获得法律意见信。此文件涉及律师或会计师为您的组织的真实性和合法性担保。虽然获取法律意见信可能需要一些努力,但在某些情况下,这是唯一证明身份的方式。Sectigo 提供法律意见信样本以加快流程(点击下面的链接将示例表格下载到您的默认下载文件夹):

如果您提供准确和最新的详情,组织认证是直接的。如果使用在线政府数据库的尝试失败,替代方法可涵盖 CA 运营的任何司法管辖区。

3. 地点存在验证

获得组织验证代码签名证书的另一个要求是证明地点存在。它确认您的公司在其注册位置有实际存在。

什么是地点存在验证?

地点存在验证允许证书颁发机构 (CA) 验证您的法人实体(组织)在其注册国家或州内确实存在。CA 确认您地址中提及的地点(城市、州、省等),而不是具体的街道地址。

通常,CA 通过查阅在线政府数据库并检查您地址中的城市/州等注册详情,将其与您在申请过程中提供的信息进行比对,来执行此验证。如果详情匹配,您已成功满足此要求。

与组织认证类似,如果在线政府数据库不是一个选项或提供的信息存在差异,有几种替代方法可用:

官方注册文件

您可以向 CA 提交来自当地政府的文件。这些文件,如公司章程、特许许可证或 DBA 声明,作为您提供的信息的官方验证。

邓白氏 (Dun & Bradstreet)

邓白氏提供关于公司的财务报告。CA 认为其报告中包含的信息具有高度可靠性。通过提交全面的 DUNS 信用报告,您允许 CA 验证与您的组织相关联的物理地址。

法律意见信

法律意见信,有时也称为专业意见信或 POL,是律师或会计师为您的业务合法性担保的文件。虽然获取此类信函可能很具有挑战性和可能性成本很高,但它们作为您物理地址的有效证明。

如果 CA 通过在线政府数据库验证地点存在的尝试不成功,任何替代方法都将有效。

4. 电话验证

电话验证需要一个与您的组织相关联的活跃且已列出的电话号码。

什么是电话验证?

证书颁发机构 (CA) 必须确保您拥有一个在可接受的电话目录中可验证的电话号码。它应与您在注册期间提供的信息相匹配,包括已验证的商业名称和物理地址。CA 可以通过以下方法验证您的电话:

官方注册文件

为了验证这一点,CA 首先检查您当地市政府、州政府或国家政府的在线政府数据库。他们确认列出的电话号码是否与相关的名称和地址相匹配。如果一切都准确无误,您已成功满足此要求。

但是,由于大多数政府数据库不显示电话号码,可以使用替代方法与 CA 验证此信息。

第三方目录

CA 接受其他目录来验证您的电话号码。通常,CA 参考声誉良好的来源,如邓白氏信用报告,但某些列表可能不符合条件。

如果 Sectigo 告诉您您的 DUNS 列表不包含电话号码,那么您需要联系邓白氏,要求他们”将您的公司电话号码添加到他们的商业目录和报告中”。

法律意见信

如果上述两个选项对您都不起作用,那么验证您电话号码的第三个也是最后一个选项是要求 CPA(注册公共会计师)、拉丁公证员或律师(律师)写一封信、签署并将其寄送给 Sectigo,其中他们确认您的公司名称、地址和电话号码。

5. 最终验证通话

组织验证过程的最后一步很直接。证书颁发机构 (CA) 将与您或指定的申请人(通常是网站管理员)进行验证通话,以验证订单详情。

最终验证通话确认订单信息并加快您的证书签发。为了完成此操作,CA 将使用与您的组织相关的已验证电话号码与您或指定的申请人联系。请放心,过程很简单。确保您可用,因为通话应该只需几分钟。

如果指定的电话号码不能直接连接到您的办公桌,CA 将采用替代方法与您联系。

替代方法

  1. 交互式语音应答 (IVR) 系统:CA 将尝试通过 IVR 与您联系。请放心,电话线的另一端将是一个真实的人。如果您的分机已列出或您已提供,或者您的电话可以通过 IVR 访问,那么您已准备好。
  2. 转接或替代号码:在没有分机或 IVR 的情况下,CA 可以要求接线员(或接听您公司电话的个人)转接通话或向他们提供您的直接号码。任何一种方法都足够,并将使 CA 能够与您或指定的申请人联系。

一旦接通,回答他们的问题,您将完成最终验证步骤。
现在,剩下的就是 CA 签发您的代码签名证书。您将通过电子邮件收到进一步的说明,包括发货追踪信息和设置证书令牌所需的任何其他步骤。


扩展验证 (EV)

祝贺您获得扩展验证代码签名证书!虽然该过程看起来可能令人生畏,但它是直接的。我们在每个步骤都支持您,确保批准过程顺利和迅速。

现在,让我们讨论获得扩展验证 (EV) 证书的要求。这些要求在不同的证书颁发机构中是一致的,这要感谢 CA/B 论坛 – 一个由证书颁发机构和主要网络浏览器公司组成的监管机构。他们已建立以下基准要求,申请人必须满足这些要求才能获得有效的 EV 证书:

  1. 注册表格:您需要填写证书申请的必要表格。
  2. 组织认证:您的组织的合法性将被验证,以确保它是真实的业务实体。
  3. 运营存在:您必须证明您的组织已注册并积极运营至少三年。
  4. 物理地址:需要提供物理商务地址用于验证目的。
  5. 电话验证:您的组织的联系号码将通过当地政府或第三方公共数据库进行验证。
  6. 最终验证通话:CA 将致电您以确认详情并验证您的组织。

这些要求旨在区分合法企业与其他企业,并维护 EV 证书系统的完整性。如果您是一家拥有实体办公室、电话线路和其他商务必需品的真实企业,您将轻松通过扩展验证。

1. 注册表格

要开始与 Sectigo 的 EV 代码签名流程,您需要提交两份注册文件:EV 证书请求表 EV 订阅者协议

这些表格确认您有权代表您的组织请求证书。Sectigo 在您提交验证支持工单后提供这些表格。

以下是操作方法:

  1. 打开 Sectigo 的支持工单页面。
  2. “请选择案例类型?”下拉菜单中选择验证支持
  3. 从”请选择案例原因”下拉菜单中选择 EV 代码签名证书
  4. 输入您的详情,包括公司名称和订单号(您将从供应商处获得)。
  5. 提交工单。

之后,Sectigo 将根据您的订单发送正确的表格。您需要打印它们手签(不允许数字签名)然后扫描并通过工单系统上传它们

上传后,您将获得一个案例 ID – 如果您需要后续跟进或稍后参考您的请求,请保存此信息。

组织联系人

在整个扩展验证过程中,您将被称为组织联系人。这只是意味着您是公司在认证过程中的联系点。

EV 代码签名证书使您的软件能够绕过安全警告并在安装期间消除不必要的提示,从而获得更流畅和无缝的用户体验。注册表格是验证您作为组织联系人有权代表您的组织行动的第一步。

虽然这听起来可能很严格,但最终是为了您的公司的利益。只要您是授权员工,就无需担心。此措施可防止个人冒充员工并寻求欺骗性软件的证书。您的组织和证书颁发机构都希望避免此类事件。

注册表格中应包含什么信息?

注册表格重点关注收集关于您的组织和组织联系人的详情。您需要提供组织的名称、组织联系人的全名、其官方职务以及手写签名以及签署的日期和地点。

  • 您的组织名称
  • 您的组织联系人的官方职务
  • 您的组织联系人的全名
  • 组织联系人的签名
  • 签署的日期和地点
  • 您的组织的人力资源联系详情,用于验证申请购买 EV 代码签名证书的人是公司内的全职员工

2. 组织认证

组织认证的目标是验证您的公司的法律注册。如果您的业务以商品名、假名或 DBA(以…名义营业)运营,请确保所有信息准确和最新。

通常,CA 依靠在线政府数据库来认证您的组织。他们将检查您所在国家或州的官方网站,该网站显示商业实体的注册状态。这些数据库中列出的详情必须与您在注册表格中提供的信息相匹配。任何不一致可能会导致证书签发延迟。

但是,如果在线资源不足以进行组织认证,有替代方法可用:

  1. 官方注册文件:您可以向 CA 提供由当地政府颁发的官方注册文件。这些包括公司章程、特许执照或 DBA 声明。此类文件可证明您的组织是真实且获得认可的商业实体。
  2. 法律意见信 (POL):另一个选项是获取法律意见信,也称为专业意见信。如果您的公司拥有内部法律专业人士,这种方法特别便捷。由持证律师或专业会计师出具的 POL,证实您公司的合法性,并满足除注册表格外的所有 EV 证书要求。有关更多信息和 POL 样本,请查看 Sectigo 的指南。

避免常见陷阱,如过期或失效的注册详情、多个业务名称列表不准确,或证书或注册表单上信息不完整,以确保流程顺畅和快速。

3. 营业存在证明

证明营业存在可确保您的公司已运营至少三年。如果您的公司尚未达到三年运营期限,可用替代方法来验证您的营业存在。

认证机构 (CA) 可通过检查可靠的在线政府数据库(显示成立日期)来验证已建立公司的存在。如果您当地的市政部门、州或国家维护全面的记录,您将无需任何文件即可满足此要求。

但是,如果您的公司在在线记录有限的地点运营,或成立时间不足三年,请使用以下四种替代方式之一来证明您公司的营业存在:

  1. 官方注册文件:如果您的公司已运营三年以上,您可以提交由当地政府颁发的各类文件,如公司章程、特许执照或 DBA 声明。
  2. 邓白氏 (Dun & Bradstreet):邓白氏是提供信用报告的信誉良好的公司。无论您公司的成立时间如何,如果有邓白氏信用报告可用,CA 可利用它来验证您的营业存在。
  3. 银行确认信:在当地金融机构拥有活跃的支票账户足以证明营业存在,无论您的公司运营多久。您可以从银行获取验证此信息的信函并将其提交给 CA。
  4. 专业意见信 (POL):由律师或会计师出具的公证信函,证实您公司的合法性,称为专业意见信,可作为营业存在的证据。

通过使用以上任何选项,您可以满足营业存在要求,从而更接近获得扩展验证代码签名证书。

4. 物理地址

认证机构 (CA) 通过各种方法验证您公司的街道地址、城市、州和国家。最初,CA 检查在线政府数据库中您公司的公开列出地址,匹配您的证书和注册表单上的详情。不接受 PO 信箱和离岸注册。但是,如果政府数据库不包含所需信息,存在以下替代验证方法:

  1. 官方注册文件:您可以提交由当地政府颁发的官方注册文件,如公司章程、特许执照或 DBA 声明。
  2. 邓白氏:第三方信用报告(如邓白氏)也可接受,用于验证您公司的物理地址。CA 认为 DUNS 报告在审核组织时高度可靠。
  3. 法律意见信 (POL):从律师或会计师处获取署名的法律意见信,也称为专业意见信。尽管在没有内部法律或会计支持的情况下获取 POL 可能需要更多努力,但它满足扩展验证代码签名流程中除注册表格外的每项要求。

如果 CA 的在线政府数据库搜索失败,任何替代方法都可以证明您公司的物理地址,并便利您的扩展验证代码签名证书的签发。

5. 电话验证

您的组织必须在可接受的目录中拥有活跃电话号码,与您的证书和注册表单上的信息相匹配。

最初,CA 尝试使用在线政府数据库验证电话号码,如果不成功,您可以使用两种替代方法来验证您的电话号码:

  1. 邓白氏:邓白氏信用报告可接受。CA 认为在扩展验证审核过程中由邓白氏编制的信息可靠。DUNS 信用报告也可用于验证物理地址和营业存在。
  2. 法律意见信 (POL):如果您公司的电话号码未公开列出,可使用法律意见信,也称为专业意见信 (POL)。此文件由律师或会计师签署,确认您公司的合法性。POL 满足除注册表格外的所有要求。

通过采用这些替代方法,即使在线政府数据库不包含所需信息,您也可以完成扩展验证代码签名证书的电话验证流程。

6. 最终验证电话

现在,剩下的只是一个简短的交谈来验证所提供的信息。虽然验证电话通常不会带来麻烦,但可能会出现一些潜在挑战。

例如,您公司的验证电话号码可能无法直接连接到您的办公桌,因为它通常用于一般咨询。不用担心;CA 可以通过输入您的分机号或利用交互式语音应答 (IVR) 系统轻松联系到您。

此外,CA 可能会寻求您公司的电话接待员或总机的协助,以将电话转接到您的线路。CA 甚至可能联系您的同事获取您的联系方式,并使用验证的电话号码启动通话。

它会尽一切努力与您联系,确保流程顺利进行。您所要做的就是及时接听电话,避免让它转到语音信箱。延迟验证电话只会延长您的 EV 代码签名证书的签发时间,我们理解这不是任何人希望看到的情况。

提供准确信息并及时参加验证电话,您就会离获得 EV 代码签名证书更近一步。

下一步是什么?

完成扩展验证流程中的所有步骤后,CA 将处理您的订单并将 USB 设备运送到您的商业地址。当其发货时,您会收到一封发货确认电子邮件。


个人验证 (IV)

个人验证与组织验证的不同之处在于它验证单个开发者的身份,而非公司。若要以个人身份获得代码签名证书,您必须向认证机构提供身份证明。您可以通过两种方式进行:

照片身份证

对于此选项,您需要向认证机构提供两份文件:

  1. 政府颁发的带照片的身份证复印件,如驾驶证、护照、国家身份证或军人身份证。身份证应显示您的姓名和地址,其详情必须与您的证书请求上的详情相匹配。
  2. 您持有身份证的照片(”自拍”)。您的脸部和身份证上的信息应清晰可见,以便与身份证复印件进行比对。

您可以向 Sectigo 的验证支持部门提交工单并提交这些文件。选择”验证支持”作为案件类型,并选择适当的案件原因。附加所需文件并完成表单。您将收到一个带有案件编号的响应,可在今后的任何沟通中引用。

面对面验证

如果您的身份证不包含地址,或地址与您的订单不匹配,此验证方法适用。它涉及额外文件并要求您访问您所在地区的授权公证人来签署和公证文件。以下公证文件是必需的:

  • 政府颁发的带照片的身份证,如驾驶证、护照或军人身份证。
  • 以您名义的财务文件,如有效的信用卡或借记卡、抵押贷款声明或银行对账单。
  • 以您名义并带有地址的非财务文件,如座机电话账单(非手机账单)、最近的水电费账单、租赁付款声明、出生证明、税单或法院命令文件。
  • 个人声明声明表。(访问下载链接)。

准备好所需文件后,通过提交工单将所有表单直接提交给认证机构的验证团队。选择”验证支持”作为案件类型,并选择适当的案件原因。附加必要文件并完成表单。您将收到一个带有案件编号的响应,供今后参考。

验证后,将您的文件提交给认证机构的验证团队后,他们将对其进行审查并通过电子邮件与您联系以进行进一步通信。证书获得批准并签发后,您将收到一封包含发货信息的电子邮件。


总结

获得 Sectigo/Comodo 代码签名证书涉及彻底的审核流程,以验证申请的组织或个人的合法性和真实性。

对于组织验证,需要身份和组织认证、地点确认、电话确认和最终验证电话。扩展验证需要注册表格、组织认证、营业存在、物理地址证明、电话验证和最终确认电话。

个人验证需要通过政府颁发的带照片身份证和自拍或公证文件进行身份证明。完成所有步骤后,CA 将签发代码签名证书。

立即订购 SSL 证书, 可节省 10% 的费用!

快速发行, 强大加密, 99.99% 的浏览器信任度, 专业支持和 25 天退款保证. 优惠券代码 SAVE10

龙飞行的详细图像
撰写人

经验丰富的内容撰稿人, 擅长 SSL 证书. 将复杂的网络安全主题转化为清晰, 引人入胜的内容. 通过有影响力的叙述, 为提高数字安全作出贡献.