2009-04-07 17 views
1

Je suis chargé d'obtenir un certificat de signature de code. Notre application est composée de 2 composants complémentaires: une application de bureau et une application Windows Mobile conçue pour fonctionner sur PDA. Actuellement, notre installation mobile (via le fichier CAB) déclenche les invites de sécurité dans Windows Mobile 6 et est source de confusion pour nos utilisateurs. Nous voulons éliminer ces avertissements de sécurité. Il semble assez facile de trouver des certificats pour signer une application de bureau - ce dont nous avons également besoin - mais je ne sais pas si un tel certificat de signature de code va résoudre nos problèmes Windows Mobile. Ma solution idéale est 1 certificat qui peut signer à la fois le bureau et les applications mobiles. Tellement de choses que je lis à propos de la signature d'applications mobiles tournent autour de Mobile2Market et des procédures de signature en plusieurs étapes folles - envoyant même vos exécutables pour les faire signer et retourner. Je pense que cela vise principalement le marché de la téléphonie mobile, où les fournisseurs de services cellulaires ont étroitement fermé les téléphones contre les applications non signées.Signature de code Applications Windows Mobile - Recommandations?

Nos appareils sont principalement des PDA Windows Mobile 6 (iPAQ 210) préconfigurés avec un niveau de sécurité One Tier. Nous ne voulons pas provisionner les appareils, installer un certificat, etc. (sauf si c'est absolument nécessaire). Nous voulons simplement signer les fichiers et l'oublier.

Est-ce que quelqu'un a fait quelque chose de similaire et a des recommandations? Je suis particulièrement intéressé par les solutions à moindre coût qui n'impliquent pas de payer beaucoup d'argent à Verisign - quelque chose comme Comodo peut-être.

+0

Je rencontre actuellement le même problème et je me demandais si vous aviez trouvé une autre solution? Ou avez-vous dû utiliser le certificat Verisign M2M? – Edward

+0

Notre "solution" était de renoncer à utiliser un certificat du tout, pour le moment. Notre application a été développée pour qu'un client puisse la distribuer parmi ses clients. Nous avons donc mordu la balle et nous avons simplement soutenu les utilisateurs du mieux que nous pouvions tout au long du processus. Notre intention était d'obtenir la signature du code quand (et si) nous avons déjà pris l'application "publique" et l'avons vendue à d'autres sociétés. – CBono

Répondre

1

Vous pouvez auto-signer les binaires, mais l'utilisateur final devra installer votre certificat dans le magasin de périphériques, ce qui sera probablement plus douloureux et plus coûteux en termes de coûts de support que d'obtenir une véritable signature .

Ce dont vous avez besoin est de purcahse un M2M certificate from Verisign. Ils vous enverront une clé USB qui contient une sorte de matériel clé, et vous l'utiliserez ainsi que leur application pour signer votre binaire.

Quel niveau de sécurité donne ce qui est demandé outlined here.

+0

Wow, donc Verisign est vraiment le seul jeu en ville pour les certificats d'applications mobiles? C'est ... décevant. Et si je comprends ce que je suis en train de lire, alors nous aurons toujours besoin d'un * autre * certificat Authenticode pour signer notre application de bureau. Ça devient très cher. – CBono

+0

Oui, c'est loin d'être un sceanrio idéal, bien que l'exigence de plusieurs certificats ait du sens, car les certificats d'appareils sont de toute façon "à usage unique". – ctacke