我应该签署捆绑 and/or 所有 MSI 文件吗?维克斯
Should I sign bundle and/or all MSI files? WIX
我使用 WIX 工具集生成 MSI 文件,然后将它们放在一个包中。
然后,我从捆绑包和捆绑包本身签署(wix manual)引擎:
insignia -ib bundle.exe -o engine.exe
signtool sign /v /f test_cert.pfx /p pass1234 /t http://timestamp.globalsign.com/scripts/timstamp.dll engine.exe
insignia -ab engine.exe bundle.exe -o bundle.exe
signtool sign /v /f test_cert.pfx /p pass1234 /t http://timestamp.globalsign.com/scripts/timstamp.dll bundle.exe
我看到了一些描述该过程的帖子,它们还包括对所有 MSI 和 cab 文件进行签名。我想知道是否足以签署引擎和捆绑包而不是 MSI 文件。后果是什么?推荐的方式是什么?
是的,只签署 Bundle 就足够了。 Bundle 包含链接包的哈希值,以确保在传输或安装过程中不会篡改包。 Bundle 的行为有点像其包含文件的目录文件。
Our recommendation(通常)不会签署除 Bundle 以外的任何东西——除非您出于某些其他原因(例如基于 GPO 的部署)。
我使用 WIX 工具集生成 MSI 文件,然后将它们放在一个包中。 然后,我从捆绑包和捆绑包本身签署(wix manual)引擎:
insignia -ib bundle.exe -o engine.exe
signtool sign /v /f test_cert.pfx /p pass1234 /t http://timestamp.globalsign.com/scripts/timstamp.dll engine.exe
insignia -ab engine.exe bundle.exe -o bundle.exe
signtool sign /v /f test_cert.pfx /p pass1234 /t http://timestamp.globalsign.com/scripts/timstamp.dll bundle.exe
我看到了一些描述该过程的帖子,它们还包括对所有 MSI 和 cab 文件进行签名。我想知道是否足以签署引擎和捆绑包而不是 MSI 文件。后果是什么?推荐的方式是什么?
是的,只签署 Bundle 就足够了。 Bundle 包含链接包的哈希值,以确保在传输或安装过程中不会篡改包。 Bundle 的行为有点像其包含文件的目录文件。
Our recommendation(通常)不会签署除 Bundle 以外的任何东西——除非您出于某些其他原因(例如基于 GPO 的部署)。