В веб-обозревателях есть функции безопасности, которые не позволяют пользователям загружать вредоносные программы. В зависимости от уровня безопасности и используемой платформы, пользователь будет предупрежден, либо ему будет запрещено загружать программы без цифровой подписи. Цифровая подпись показывает происхождение программы, подтверждает, что программа не была изменена, и гарантирует, что пользователь не будет получать не имеющие особой важности предупреждения при установке пользовательского обозревателя.
Из-за этого пользовательские CAB-файлы, созданные мастером настройки Windows® Internet Explorer® 8, должны быть подписаны, если только для зоны местной интрасети не был установлен «Низкий» уровень безопасности. Любые пользовательские компоненты, распространяемые с пакетом обозревателя для этих платформ, также должны быть подписаны.
Общее представление о сертификатах.
Чтобы поставить цифровую подпись на пакет и пользовательские программы, сначала необходимо получить цифровой сертификат. Сертификат можно получить в центре сертификации или на частном сервере сертификатов. Дополнительные сведения о получении сертификатов или настройке сервера сертификатов см. в следующих разделах:
- Центры сертификации, которым доверяет
корпорация Майкрософт (http://go.microsoft.com/fwlink/?linkid=59547).
- Общие сведения по сертификатам (http://go.microsoft.com/fwlink/?linkid=68942).
- Документация по инфраструктуре отрытого ключа
Public key infrastructure (PKI) (http://go.microsoft.com/fwlink/?linkid=68943).
При получении сертификата издателем программного обеспечения создаются сопоставленные друг другу открытые и закрытые ключи, которые используются для шифрования и расшифровки. Они создаются на компьютере, запросившем сертификат, в момент запроса, и закрытый ключ никогда не отсылается центру сертификации или какой-либо другой стороне.
Общее представление о подписании кода
- Если предполагается распространять
пользовательские пакеты через Интернет, необходимо подписать
все пользовательские компоненты и пакет профиля CMAK (если
используется). Перед запуском мастера настройки Internet
Explorer 8 следует убедиться, что они подписаны. Обычно они
подписываются производителями. Также их можно подписать с помощью
средства Sign Tool (SignTool.exe) (http://go.microsoft.com/fwlink/?LinkId=71298). Также
можно использовать средство File Signing Tool
(Signcode.exe)(http://go.microsoft.com/fwlink/?LinkId=71299). Для
получения информации обо всех параметрах подписи следует
ознакомиться с документацией этих средств.
Кроме того, после запуска мастера настройки Internet Explorer 8 настоятельно рекомендуется подписать пакет IEAK и файл Branding.cab (если он используется отдельно от пакета). Это также можно сделать с помощью упомянутых выше средств.
Для получения дополнительной информации следует загрузить рекомендации по цифровой подписи (http://go.microsoft.com/fwlink/?LinkId=71300). (Материалы могут быть на английском языке).
- Если предполагается распространять
пользовательские пакеты через интрасеть, подпишите
пользовательские файлы или установите в зоне местной интрасети
«Низкий» уровень безопасности, так как настройка безопасности по
умолчанию не позволяет пользователям загружать неподписанные
программы и приложения. Дополнительные сведения о зонах
безопасности см. в разделе Безопасность Internet
Explorer и пакет IEAK.