代码签名证书申请流程
代码签名(Code Signing)证书用于对代码/程序签名,使您发布的程序受操作系统或应用平台的信任从而在用户执行时不会抛出警告。同时,代码签名证书可以保证文件的完整性,从而防止被恶意篡改。代码签名包含 Extended Validation (EV) 证书适配 Windows 10 的 Smart Screen 筛选器。
STEP.1 在线提交证书申请
- DigiCert代码签名证书
- DigiCertEV代码签名证书
是否需要USB TOKEN
如果是第一次购买,至少需要选择1个USB TOKEN令牌。根据新的行业标准,从2023年6月1日开始,代码签名证书必须以硬件令牌(USB Token)方式提供,这些硬件设备需要通过FIPS 140 Level 2、Common Criteria EAL 4+或等效认证,如果是续费,或者已经拥有符合要求的硬件令牌,可以选择:“我已有符合硬件要求的令牌,无需购买”。
STEP.2 代码签名证书的审核
组织身份认证
组织身份认证是为了确保申请者信息的合法性和准确性,已经企业经营状态是否正常而做的审核。正常情况下,不需要申请组织做响应,如果Digicert发现存在一定问题,会另外联系申请者。审核的信息一般包括:
- 申请证书的主体必须是证书请求所引用的特定司法管辖区(城市,省份,国家/地区)内负责企业或组织注册的政府机构确认的有效实体。
- Digicert将先通过工商局,全国组织机构代码管理中心查询组织提交的名称。如果无法查到,会要求组织提供纸质证明文件。
- 常见的证明文件包括:企业的营业执照,组织机构代码证等。申请者必须确认提交的组织(或企业)的名称与证明文件的上名称完全一致。
- 一般企业可以通过工商在线数据库查询状态信息,事业单位必须提供组织证明文件。
- 不得使用任何简称,缩写。如果需要申请英文的组织名称,则在提供企业营业执照外,还需要提供该企业可以使用该英文名称的有效证明,如DUNS编码等。
- 组织状态必须是有效或者等效状态。任何处于无效/撤销的组织均无法获得SSL证书,并且必须更新其状态。
- 验证组织未出现在组织或组织所在国家/地区的任何黑名单中。
- 验证组织未出现在欺诈和网络钓鱼“不良参与者”列表中。
- 如果是续费的用户,需要通过木马检查。
电话验证
Digicert首先需要通过独立的第三方查询到企业的联系电话,通常包括:
- 企业最新一期工商年报中查询到的号码。
- 通过114(或者116114、118114等)查号服务,可查询到的企业的电话号码。
- 企查查网站查到的企业联系电话。
- 百度地图中可以查询到的企业电话号码。
确认协议
完成电话验证和域名控制验证后,Digicert将会给代码签名证书申请人登记的邮箱发送一个确认邮件。申请人需要最后批准这个确认邮件,就可以完成最后的验证了。然后,CA就可以颁发证书了。
文档编写日期:2022年03月25日