电脑代码签名证书申请全攻略
一、什么是代码签名证书?
-
由权威证书颁发机构 (CA) 签发的数字证书
-
为软件代码打上可信标签,防止篡改,消除 "未知发布者" 警告
-
提升用户信任度,增加软件下载安装成功率
二、选择合适的证书类型
|
类型
|
验证级别
|
适用场景
|
价格区间
|
审核时间
|
|
OV 证书
|
组织验证
|
普通应用程序、中小型企业
|
1000-3000 元 / 年
|
1-3 天
|
|
EV 证书
|
扩展验证
|
驱动程序、内核软件、高安全需求
|
3000-10000 元 / 年
|
5-7 天
|
选择建议:
-
普通软件→OV 证书
-
Windows 驱动 / 核心系统软件→必须 EV 证书 (微软 WHQL 认证要求)
-
个人开发者→可申请个人版 OV 证书 (部分 CA 支持)
三、申请步骤详解
1️⃣ 选择可信的 CA 机构
推荐机构:
-
DigiCert (高信任度,适合大企业)
-
Sectigo (原 Comodo,性价比高)
-
GlobalSign (多平台支持)
-
Certum (欧洲品牌,价格实惠)
-
沃通 CA、JoySSL (国内服务好)
选择考量:兼容性、颁发速度、技术支持、价格
2️⃣ 准备申请材料
企业申请 (OV/EV):
-
营业执照副本 (彩色扫描件)
-
法人身份证
-
企业联系电话、邮箱
-
授权书 (如非法人申请)
-
EV 额外需:银行对账单 / 增值税发票、律师见证文件
个人申请:
3️⃣ 生成 CSR (证书签名请求)
方法一:使用 OpenSSL(Windows/Linux)
bash
运行
# 生成私钥和CSR
openssl req-new-nodes-sha256-newkeyrsa:2048-keyoutmykey.key-outmycsr.csr
方法二:Windows
-
运行certmgr.msc→右键 "个人"→"所有任务"→"申请新证书" Microsoft Learn
方法三:macOS
-
打开 "钥匙串访问"→菜单 "证书助理"→"从证书颁发机构请求证书"→填写信息→保存为.certSigningRequest
注意:
-
密钥长度推荐 2048 位或更高
-
私钥必须安全保存,EV 证书需硬件令牌存储
4️⃣ 提交申请与验证
-
登录 CA 官网,注册账号
-
选择证书类型,上传 CSR 和申请材料
-
支付费用
-
完成验证 (电话 / 邮件 / 对公账户小额验证)
-
EV 证书需额外人工审核和硬件令牌准备
审核时间:
-
OV 证书:1-3 个工作日
-
EV 证书:5-7 个工作日
5️⃣ 获取并安装证书
-
审核通过后,CA 会发送证书文件 (.pfx/.p12) 或 USB 令牌
-
Windows:使用signtool或 Visual Studio 集成工具导入
-
macOS:双击证书文件导入钥匙串
-
安装完成后,即可对代码进行签名
四、代码签名操作指南
Windows 平台
bash
运行
# 使用signtool签名(需管理员权限)
signtool sign /f mycert.pfx /p mypassword /t http://timestamp.verisign.com/scripts/timstamp.dll myapp.exe
macOS 平台
bash
运行
# 使用codesign命令
codesign-s"Developer ID Application: Your Name"--entitlementsentitlements.plist myapp.app
五、安全最佳实践
-
私钥保护:
-
绝不要共享私钥
-
EV 证书必须使用硬件令牌 (USB Key) 存储
-
考虑 HSM (硬件安全模块) 存储高安全需求密钥
-
签名规范:
-
使用 SHA-256 或更高算法,避免 SHA-1 等过时算法
-
强制添加时间戳,确保证书过期后签名仍然有效
-
证书管理:
-
设置到期提醒 (提前 1-2 个月)
-
建立证书使用审计机制
六、总结
申请代码签名证书流程:选 CA→备材料→生成 CSR→提交申请→验证→获取证书→安装使用
实用建议:
-
预算有限选 Certum OV (约 1200 元 / 年)
-
高安全需求选 DigiCert EV (约 10000 元 / 年)
-
个人开发者可选 JoySSL 个人版 (约 600 元 / 年)
| 
赣公网安备 36082102000008号