Подписаны основные exe и dll, все подряд подписывать привычки нет.
Плюс инсталлятор setup.exe

Поясню почему спрашиваю.

Предыдущая программа содержала драйвер (критично для x64).
Обратил внимание что иногда на момент установки драйвера В НЕКОТОРЫХ СЛУЧАЯХ таки выводились красные предупреждения (хотя он и устанавливался и работал).
Извратился (для гарантии) так: setup.exe перед установкой драйвера копирует сертификат + нек. другие сертификаты из цепочки в хранилище сертификатов. CertMgr.exe в дистрибутив для этого засовывал. Тупая надо сказать процедура и думаю неправильная. А что делать?

Сейчас делаю дистрибутив новой программы. Драйверов (чтоб без подписи не работали) там нет, но к хорошему привык (да и зря что ли за подпись плачу) и ряд exe-шников + setup.exe подписаны.

Устанавливаю чистый Win7 x64 для теста.
Сразу после установки жму свой подписанный setup.exe.
Он пишет "Неизвестный издатель" (желтым).

Потом правда через пару минут написал "известный" (зеленым).

В данной ситуации конечно "принудительно скопировать" сертификаты никак (только жму setup.exe)

Т.е. как к этой всей кухне относиться?
И надо ли пытаться "принудительно" запихивать сертификаты в хранилище при установке программы?
Т.е. смысл что произвольные винды не всегда с ходу определяют "доверенного издателя".

Что, все сидят в левых виндах с кривыми HackerVistaLoader и никто не знает что такое Microsoft Code Signing?
Мне казалось я простой стандартный вопрос задал.

Basil A. Sidorovчто все использующие винду каждый день разрабатывают драйверы?

В данном случае речь не идет конкретно о драйвере, хотя сертификат "тот самый":
Дмитрий77Драйверов (чтоб без подписи не работали) там нет, но к хорошему привык (да и зря что ли за подпись плачу) и ряд exe-шников + setup.exe подписаны.

Gator Соответственно, MS честно спрашивает юзверя: ты доверяешь устанавливаемуму "драйверу"?
Доверяешь? Привет, железка.
Нет? Прощай, железка..
Если говорить о драйверах, то на x64 >=Vista MS еще и посылает если драйвер не подписан.

Gator Напр., Zyxel, Cisco, смартфонщики etc плевать хотели на MS..
Плевать может и хотели БЫ но на x64 с драйверами особо не поплюешь.

А суть моего вопроса в следующем.
Когда устанавливаешь (или запускаешь под админом) любую программу (а не драйвер):
Gator Соответственно, MS честно спрашивает юзверя:..
Но спрашивает он это по разному.

Может спросить культурно (это если exe-шник подписан):
Хотите ли Вы установить программу от ДОВЕРЕННОГО ИЗДАТЕЛЯ Software Company(Verified Publisher), bla-bla-bla, да-да-да ?

А может спросить так (это если "Вот плевал я с Эйфелевой башни на головы беспечных парижан" (В. Высоцкий)):
Хотите ли Вы установить программу от НЕИЗВЕСТНОГО ИЗДАТЕЛЯ (Unknown), bla-bla-bla нах-нах-нах?

Разницу чувcтвуете?
Я раньше плевал.
А америкос который собирается платить (или НЕ платить) за "плевалку" 500 зеленых очень даже чувствует. Улавливаете интерес плевальщика?

Так вот я ДОВЕРЕННЫЙ ИЗДАТЕЛЬ и у меня Setup.exe подписан.
Но при этом может получиться следующее:
Дмитрий77Устанавливаю чистый Win7 x64 для теста.
Сразу после установки жму свой подписанный setup.exe.
Он пишет "Неизвестный издатель" (желтым).

Потом правда через пару минут написал "известный" (зеленым)..

И я с этим Visual ГЛЮК частично боролся, тупо добавляя сертификаты в хранилища первым действием инсталлятора (с НЕнастоящим или тестовым сертификатом такой трюк все равно не пройдет, издатель доверенным не станет).

Т.е. я хочу знать как эта кухня работает, как винды распознают НАСТОЯЩИЙ сертификат, и почему иногда с ходу не распознают. И надо ли им "помочь" это побыстрее сделать, принудительно заталкивая сертификат в хранилище при установке проги или они сами должны это сделать?

Дас...
GatorНо тебе то известно, откуда ноги растут!
Мне да, а америкосу (который мне баксы платит) извините НЕТ.

GatorДмитрий77Т.е. я хочу знать как эта кухня работаетТ.е. курс криптографии что ли? :))
Не до такой степени.
Есть файл, в нем есть подпись. Винды видят что есть. Но в хранилище сертификатов
Например
IE -> Internet Options -> Content -> Certificates
ни моего сертификата, ни (возможно) промежуточных сертификатов из цепочки (по простому тот кто выдал сертификат мне = тот кому выдал сертификат Microsoft) -их на текущий момент НЕТ - и думаю сразу после установки ОС ситуация именно такая.
Что делают винды?
Идут с вопросом в интернет и сами добавляют нужный промежуточный сертификат (если есть)? И этого достаточно?
Потому что своего я там не вижу (если только не добавлю сам), а вот родительский вроде как появляется. При этом моему он уже доверяет.

Gator,

Ну, где-то близко но не совсем то.
Почитал еще вот здесь:
Типы центров сертификации
Речь идет о
Центр сертификации может быть внешним, например VeriSign,
В моем случае цепочка
Certium Trusted Network CA -> Certum Code Signing CA -> <My Software>

Ну вот видят простые юзерские винды (оставим в покое всякие там компании с нагромождениями серверов) setup.exe с <My Software>, видят цепочку...(внутри сертификата), видят Time Stamp тоже соответственно одобренный доверенным центром времени
Certum CA -> Certum Time-Stamping Authority

Действия виндов?
Смотрят в локальное хранилище?
А если там нету Certium Trusted Network CA?
Или Certum CA?

Там так понимаю эти двое (кто выдал и кто проверил время) должны присутствовать в "Trusted Root Certifi..."?
Так?

Если так, то почему их там может не оказаться (например на свежеустановленной системе)? И только ли на свежеустановленной?

Вот что я понять то хочу.

От меня что-то зависит? Ну кроме того что я подписываю свой файл?

Юзер то ничего про это не знает.
Он установил винды и пользует их.
Он собрался устанавливать мой setup.exe.
При этом ему могут показать зеленую тряпку (verified publisher ой как хорошо), ему это нравится.
А могут показать красную тряпку (Unknown Ой что ето? Может вирус? Ай-яй как нехорошо), ему это не нравится.

Вот я и пытаюсь понять, почему ему могут иногда ОШИБОЧНО показать красную вместо зеленой? И что тут от меня еще зависит?

Или это происходит потому что "например VeriSign" ну ОЧ-чень хороший, ОЧ-чень доверенный и ОЧ-чень дорогой, блатной и т.д с точки зрения MS, а Certium типа сойдет но подумаешь случайно сертификата в стандартном приблатненном наборе не оказалось, так фигня. Не?

Но что интересно.
Когда я 1,5 года назад (когда первый раз сертификат покупал - не российская контора) стал задавать подобные вопросы суппорту, то суппорт походу впал в некоторый ступор-таймаут, т.е. где-то через неделю пришел ответ, мол сам все еще жду ответа на ваши вопросы. На что я отписал что ладно не надо, что видимо их обрадовало. Не хотелось людей зря терзать.

Ребят,

я задал "технический" вопрос касающийся ситуации когда исполняемый файл EXE подписан и MS ему доверяет.

А вы начинаете рассуждать на тему надо или не надо, прилично или не прилично. Если у меня есть подпись, которой я подписываю драйвер (я использую драйвер) и в реквизитах подписи отражено название программы, то не подписывать ей по крайней мере setup.exe и основные файлы программы было бы глупо (хотя и не обязательно), не так ли?

>Мало того, это дело работодателя - обеспечить [необходимыми "сертификатами"]
Я сам себе работодатель и сам обеспечил себя "необходимым сертификатом".