VSTO 插件代码签名 |安全问题
VSTO Addin Code Signing | Security Question
我想在我为 Microsoft Outlook 应用程序实施的 VSTO 插件项目中使用最佳安全编码实践,我对代码签名有疑问。
创建代码签名证书(.pfx)后,我已成功签名:
a) 我的项目通过使用 Visual Studio post-构建事件参数 生成的 DLL 文件.
b) EXE & MSI 安装程序使用 SignTool 命令行工具。
c) <"文件名">.vsto 和 <"文件名">.dll.manifest 文件
我的问题是我使用 mage 工具(清单生成和编辑工具)签署 <"filename">.VSTO 和 <"filename">.dll.manifest 文件通过以下命令 - 根据 Microsoft:
"C:\Program Files (x86)\....\mage.exe" -sign "<filename>.dll.manifest" -CertFile <certificate.pfx> -Password <password>
"C:\Program Files (x86)\....\mage.exe" -update "<filename>.vsto" -appmanifest "<filename>.dll.manifest" --CertFile <certificate.pfx> -Password <password>
在查看以下命令的输出后,验证相关文件具有“有效签名”;除了 Visual Studio 构建输出(报告成功签名):
"C:\Program Files (x86)\......\mage.exe" -ver "<filename>.vsto"
"C:\Program Files (x86)\......\mage.exe" -ver "<filename>.dll.manifest"
但是,当我通过 windows 资源管理器检查它们的属性时,我没有看到任何“数字签名”选项卡,不确定这是否是正确的设置?
我错过了什么吗?如果我还可以做些什么来增强我的 VSTO Addin 项目的安全性 posture,请告诉我。
谢谢。
参考文献:
您只能在 Windows Explorer 中看到可执行文件(dll 和 exe)的数字签名。
VSTO是文本文件(用记事本打开试试)
我想在我为 Microsoft Outlook 应用程序实施的 VSTO 插件项目中使用最佳安全编码实践,我对代码签名有疑问。
创建代码签名证书(.pfx)后,我已成功签名:
a) 我的项目通过使用 Visual Studio post-构建事件参数 生成的 DLL 文件.
b) EXE & MSI 安装程序使用 SignTool 命令行工具。
c) <"文件名">.vsto 和 <"文件名">.dll.manifest 文件
我的问题是我使用 mage 工具(清单生成和编辑工具)签署 <"filename">.VSTO 和 <"filename">.dll.manifest 文件通过以下命令 - 根据 Microsoft:
"C:\Program Files (x86)\....\mage.exe" -sign "<filename>.dll.manifest" -CertFile <certificate.pfx> -Password <password>
"C:\Program Files (x86)\....\mage.exe" -update "<filename>.vsto" -appmanifest "<filename>.dll.manifest" --CertFile <certificate.pfx> -Password <password>
在查看以下命令的输出后,验证相关文件具有“有效签名”;除了 Visual Studio 构建输出(报告成功签名):
"C:\Program Files (x86)\......\mage.exe" -ver "<filename>.vsto"
"C:\Program Files (x86)\......\mage.exe" -ver "<filename>.dll.manifest"
但是,当我通过 windows 资源管理器检查它们的属性时,我没有看到任何“数字签名”选项卡,不确定这是否是正确的设置?
我错过了什么吗?如果我还可以做些什么来增强我的 VSTO Addin 项目的安全性 posture,请告诉我。
谢谢。
参考文献:
您只能在 Windows Explorer 中看到可执行文件(dll 和 exe)的数字签名。
VSTO是文本文件(用记事本打开试试)