एक हस्ताक्षरित एप्लिकेशन इंस्टॉल करते समय Win8 पर स्मार्ट स्क्रीन कैसे पास करें?

हम डेवलपर हैं, और हमारे पास एक डिजिटल हस्ताक्षरित एप्लिकेशन इंस्टॉलर है। जब हम इस एप्लिकेशन को इंस्टॉल करते हैं, तो यह स्मार्ट स्क्रीन को पॉपअप करता है जो इंस्टॉलिंग अनुभव को प्रभावित करता है। इसे कहते हैं

विंडोज ने आपके पीसी की सुरक्षा की

विंडोज स्मार्टस्क्रीन ने एक अपरिचित ऐप को शुरू करने से रोका, इस ऐप को चलाने से आपका पीसी खतरे में पड़ सकता है।

मुझे लगता है कि Microsoft के पास डिजिटल हस्ताक्षर के अलावा एप्लिकेशन को सत्यापित करने के लिए कुछ रणनीति है। किसी को भी इस मुद्दे के लिए अनुभव है और कृपया मुझे इस मुद्दे को ठीक करने के लिए कुछ सुराग दे?

यदि आपने CA से खरीदे गए प्रमाणपत्र के साथ इंस्टॉलर पर हस्ताक्षर किए हैं, तो आपको स्पष्टीकरण के लिए CA से संपर्क करना चाहिए कि वे इस चेतावनी से छुटकारा पाने के लिए Microsoft के साथ काम करने में क्यों विफल रहे।

यदि प्रमाण पत्र एक सीए से नहीं है, लेकिन एक स्व-हस्ताक्षरित प्रमाण पत्र है, तो आपको सीए का सहारा लेना होगा।

Microsoft के पास अपनी Windows टीम ब्लॉग पर पहले से प्रकाशित अधिकांश जानकारी है,

https://blogs.msdn.microsoft.com/ie/2012/08/14/microsoft-smartscreen-extended-validation-ev-code-signing-certports/

सर्वोत्तम प्रथाएं

डेवलपर्स को अभी भी उन सर्वोत्तम प्रथाओं का पालन करना चाहिए जो हमने पिछले ब्लॉग पोस्टों में सुझाए हैं। हमने उस मार्गदर्शन में जोड़ दिया है जो विंडोज़ स्टोर के माध्यम से ऐप्स को वितरित करने के अतिरिक्त विकल्पों और EV कोड पर हस्ताक्षर करने का विकल्प है:

• विंडोज स्टोर के माध्यम से अपने ऐप्स को वितरित करें

विंडोज 8 एप्लिकेशन को ऑनबोर्डिंग और एप्लिकेशन समीक्षा प्रक्रिया के लिए विंडोज स्टोर डेवलपर को पास करना आवश्यक है। विंडोज 8 एप्लिकेशन स्मार्टस्क्रीन एप्लीकेशन प्रतिष्ठा चेक या विंडोज 8 में चेतावनी के लिए गुंजाइश नहीं है।

• डिजिटल रूप से अपने कार्यक्रमों (मानक या ईवी कोड पर हस्ताक्षर) पर हस्ताक्षर करें

प्रतिष्ठा उत्पन्न होती है और डिजिटल प्रमाणपत्रों के साथ-साथ विशिष्ट फाइलों को भी सौंपा जाता है। डिजिटल प्रमाणपत्र कई व्यक्तिगत कार्यक्रमों के बजाय डेटा को एक ही प्रमाणपत्र के लिए एकत्र और असाइन करने की अनुमति देते हैं। यद्यपि आवश्यक नहीं है, ईवी कोड पर हस्ताक्षर करने वाले प्रमाणपत्र पर हस्ताक्षर किए गए कार्यक्रम तुरंत स्मार्टस्क्रीन प्रतिष्ठा सेवाओं के साथ प्रतिष्ठा स्थापित कर सकते हैं, भले ही उस फ़ाइल या प्रकाशक के लिए कोई पूर्व प्रतिष्ठा मौजूद न हो। ईवी कोड पर हस्ताक्षर करने वाले प्रमाणपत्रों में एक विशिष्ट पहचानकर्ता भी होता है जो प्रमाणपत्र नवीकरण के दौरान प्रतिष्ठा बनाए रखना आसान बनाता है। केवल CA द्वारा जारी किए गए प्रमाणिक प्रमाण पत्र जो कि विंडोज रूट सर्टिफिकेट प्रोग्राम के सदस्य हैं, प्रतिष्ठा स्थापित कर सकते हैं।

इस समय, Symantec और DigiCert EV कोड हस्ताक्षर प्रमाणपत्र प्रदान कर रहे हैं।

• दुर्भावनापूर्ण कोड पर हस्ताक्षर या वितरण न करें

ई-मेल पर हस्ताक्षर किए गए प्रमाण पत्र के साथ हस्ताक्षरित होने पर भी वितरित किए गए कोड को दुर्भावनापूर्ण रूप से वितरित किया गया है और संबंधित डिजिटल प्रमाणपत्र से किसी भी प्रतिष्ठा को हटा दिया जाएगा।

• विंडोज लोगो या विंडोज 8 डेस्कटॉप ऐप प्रमाणन के लिए आवेदन करें

इन कार्यक्रमों के बारे में यहां और जानें: विंडोज 8 डेस्कटॉप एप सर्टिफिकेशन (विंडोज स्टोर सबमिशन के लिए आवश्यक) विंडोज लोगो प्रोग्राम

हम सिर्फ पुराने ऑथेंटिकोड सर्टिफिकेट से एक नए में जाने की पूरी प्रक्रिया से गुजरे (एक ईवी सर्टिफिकेट नहीं, सिर्फ एक सादा प्रमाण पत्र जो हमारी स्वचालित निर्माण प्रक्रिया में इस्तेमाल किया जा सकता है) गुजरे।

Microsoft अब किसी मौजूदा प्रमाणपत्र से प्रतिष्ठा को नए में स्थानांतरित करने का कोई साधन प्रदान नहीं कर रहा है। इसलिए उनके समर्थन को बुलाने की कोशिश मत करो। आप बस बहुत समय और ऊर्जा बर्बाद करेंगे। और वे मदद करने में सक्षम नहीं होंगे।

Microsoft दावा कर रहा है कि यदि पुराने और नए प्रमाणपत्रों में समान पाठ्य सामग्री है, तो प्रतिष्ठा तेजी से स्थापित हो जाती है। अधिक विशेष रूप से, यहाँ जवाब है जो मुझे स्मार्टस्क्रीन® फ़िल्टर के एप्लिकेशन प्रतिष्ठा सुविधा समर्थन टीम से मिला है:

कृपया ध्यान दें कि जब भी आप किसी प्रमाण पत्र को ज्ञात प्रतिष्ठा से नवीनीकृत करते हैं, तो आपको नए प्रमाणपत्र के साथ हस्ताक्षरित फ़ाइलों के प्रारंभिक डाउनलोड के दौरान कुछ चेतावनियाँ दिखाई देंगी। हालाँकि, नए प्रमाणपत्र पर ज्ञात प्रतिष्ठा आमतौर पर नए प्रमाणपत्र की तुलना में अधिक तेज़ी से स्थापित होती है। जबकि एक नवीनीकृत प्रमाणपत्र प्रतिष्ठा स्थापित करता है, उपयोगकर्ता अभी भी डाउनलोड चलाने या सहेजने के लिए क्लिक कर सकते हैं। ऐसा करने के लिए, वे क्रियाएँ चुनें | अधिक विकल्प | वैसे भी डाउनलोड प्रबंधक से चलाएँ।

यह सुनिश्चित करने का सबसे अच्छा तरीका है कि स्मार्टस्क्रीन उपयोगकर्ताओं को चेतावनी नहीं देगी कि वे विंडोज ऐप सर्टिफिकेशन किट (WACK) को चलाएं , जिसे विंडोज एसडीके डाउनलोड में शामिल किया जाना चाहिए:

परीक्षण चलाने के बाद, WACK आगे बढ़ने का तरीका बताता है:

एक सफल आवेदन प्रमाणीकरण के XML परिणाम को https://sysdev.microsoft.com पर अपलोड करें । कुछ दिनों बाद, स्मार्टस्क्रीन को प्रमाणित कार्यक्रम के लिए उपयोग किए जाने वाले डिजिटल हस्ताक्षर के बारे में पता चलेगा और यह उपयोगकर्ताओं को डाउनलोड पर चेतावनी नहीं देगा।

नोट: हम Windows 8.1 के नवीनतम अद्यतनों पर हमारे एप्लिकेशन को प्रमाणित नहीं कर पाए हैं और हमें अपने सभी कार्यक्रमों को सफलतापूर्वक सत्यापित करने के लिए WACK प्राप्त करने के लिए Windows 8.1 की एक साफ स्थापना का उपयोग करना पड़ा।

मैं कुछ समय से खोज रहा हूं, इसलिए मैंने अब तक जो भी पाया है उसे साझा करूंगा।

मुझे Microsoft से विंडोज 8 में इस सुविधा के बारे में कोई दस्तावेज नहीं मिला है, लेकिन मैं सिर्फ गलत जगहों पर देख सकता हूं।

मेरे द्वारा पढ़े गए अधिकांश लेखों में चर्चा की गई है कि स्मार्टस्क्रीन फ़िल्टर इस प्रकार काम करता है:

• इंस्टॉलर या निष्पादन योग्य जिसे डाउनलोड किया गया था, चलाने से पहले विंडोज 8 एक डेटाबेस के साथ काम करता है।
• डेटाबेस रिपोर्ट कर सकता है कि कार्यक्रम है या नहीं:
  • दुर्भावनापूर्ण / फ़िशिंग के रूप में रिपोर्ट किया गया, (और Microsoft कर्मचारी द्वारा सत्यापित)।
  • कई लोगों द्वारा उपयोग / चलाया गया।

यदि पर्याप्त लोगों ने उस इंस्टॉलर को दुर्भावनापूर्ण रूप से रिपोर्ट किए बिना चलाया है, तो अंततः उस कार्यक्रम को सुरक्षित रूप से फ़्लैग किया जाएगा, और अन्य उपयोगकर्ताओं को कष्टप्रद संदेश प्राप्त नहीं होगा।

कुछ स्रोत: ( यहाँ ) ( यहाँ )

जब उपयोगकर्ता किसी प्रोग्राम को इंस्टॉल करता है तो Microsoft को भेजी जाने वाली जानकारी में IP पता, इंस्टॉलर का एक हैश और डिजिटल हस्ताक्षर और संभवतः एप्लिकेशन का फ़ाइल नाम शामिल होता है। ( यहां देखें )

Microsoft कर्मचारियों के पास सभी Microsoft अनुप्रयोगों को सुरक्षित और फ़्लैग करने के लिए डेटाबेस तक सीधी पहुँच होगी।

शायद Microsoft ने आपके इंस्टॉलर को उनके साथ पूर्व-प्रमाणित करने का एक तरीका निर्धारित किया है, यदि नहीं तो आपको तब तक इंतजार करना पड़ सकता है जब तक कि पर्याप्त लोग इंस्टॉलर नहीं चलाते। (लेकिन यह सुनिश्चित नहीं है कि कितने होंगे)।

मैं बस इस प्रक्रिया से गुज़रा, और मैं इसमें कुछ ख़बरें जोड़ूंगा।

1) एक EV प्राप्त करें। यह इसके लायक है। अगली बार जब आप अपने प्रमाणपत्रों को अपग्रेड करते हैं, तो EV प्रमाणपत्र में अपग्रेड करें। कीमत लगभग 100 डॉलर प्रति वर्ष है। ईवी प्रमाणपत्रों को अधिक सुरक्षित माना जाता है, क्योंकि वे चोरी करना अधिक कठिन हैं। जब आपको जारी किया जाता है, तो आपको साइन को पूरा करने के लिए एक हार्डवेयर टोकन डिवाइस जारी किया जाएगा। दुर्भाग्य से, अंतिम संकेत स्वचालित बिल्ड के साथ संगत नहीं है।

यह उतना भयानक नहीं है जितना लगता है। वे आपको अपने निष्पादनयोग्य (इंस्टॉलर के अंदर) पर हस्ताक्षर करने के लिए एक दूसरा प्रमाण पत्र प्रदान करेंगे जो स्वचालन के साथ संगत रहता है। इंस्टॉलर पर हस्ताक्षर हार्डवेयर टोकन के साथ संयोजन में हस्ताक्षर किए जाने चाहिए।

2) यदि आप ईवी प्रमाण पत्र प्राप्त नहीं करना चाहते हैं, तो आपको प्रतिष्ठा की आवश्यकता है। यदि आप अपग्रेड कर रहे हैं, तो Microsoft आपके पुराने प्रमाणपत्र से आपके नए को प्रतिष्ठा हस्तांतरित करेगा। आपको MSDN तकनीकी सहायता से संपर्क करना होगा और लगभग एक सप्ताह में यह हो जाएगा। मैंने अपने पुराने और नए इंस्टॉलर को पुराने और नए प्रमाणपत्रों के साथ जमा किया - और उन्होंने इसे ठीक कर दिया।

3) यदि यह आपका पहला प्रमाणपत्र है, तो आप स्मार्टस्क्रीन के साथ तब तक अटके रहेंगे, जब तक कि आपको प्रतिष्ठा न मिल जाए। आपको शायद अपने ऐप को sysdev.microsoft.com के माध्यम से प्रमाणित करना चाहिए। लेकिन, यह वास्तव में ज्ञात नहीं है कि Microsoft के साथ सकारात्मक प्रतिष्ठा अर्जित करने से पहले आपको कितने डाउनलोड की आवश्यकता है।

यही मेरा अनुभव है।

चूंकि विंडोज 8.1 बाहर है।

• Microsoft ने अपने पीसी पर इंटरनेट के माध्यम से डाउनलोड करने और उन्हें स्थापित करने का प्रयास करते समय सभी मानक कोड साइनिंग प्रमाणपत्रों पर भरोसा किया, लेकिन यदि आप USB या CD-ROM के माध्यम से अपने आवेदन को वितरित करते हैं, तो मानक कोड हस्ताक्षर प्रमाणपत्र अनुप्रयोग काम करता है।

• signtool.exeसत्यापित करने के लिए उपयोग न करें ( signtool.exe verify /pa mysetup.exeसफलता दिखाएगा लेकिन यह तब विफल हो जाएगा जब अन्य उपयोगकर्ता इसे डाउनलोड करेंगे और स्मार्टस्क्रीन पॉपअप को स्थापित करने का प्रयास करेंगे, यह प्रदर्शित होता रहेगा)

Windows App प्रमाणन किट (WACK) का उपयोग करें

• यह मानक कोड हस्ताक्षर प्रमाण पत्र मृत हैं। इसका मतलब है कि अगर आपके पास मानक कोड पर हस्ताक्षर करने का प्रमाण पत्र है, तो यह पहले की तरह मज़बूती से काम नहीं करेगा, भले ही विंडोज ऐप सर्टिफिकेशन किट (WACK) PASS को WARNING के साथ दिखाता है, इसका मतलब यह नहीं है कि इसकी 100% सफलता को सत्यापित करें

आपको ईवी प्रमाणपत्र ( https://www.globalsign.com/en/code-signing/) खरीदना होगा )

तो, 100% सफल होने के लिए, चम्मच फ़ीड का पालन करें:

चरण 1: https://sysdev.microsoft.com पर जाएं और लॉगिन करें

a) कंपनी खाता> अगला बनाएं

b) winqual.exe फ़ाइल डाउनलोड करें, जो कि Microsoft द्वारा प्रदान की गई ज़िप फ़ाइल है, अब अपने मानक प्रमाणपत्र या EV प्रमाणपत्र के साथ winqual.exe पर हस्ताक्षर करें और फिर सत्यापन के लिए फ़ाइल अपलोड करने के लिए अगले पर क्लिक करें।

मेरे मामले में यह विफल रहा क्योंकि मेरे पास मानक प्रमाण पत्र है जो Microsoft अब अनुमति देना बंद कर देता है। तो आप सभी को अब ईवी लाइसेंस खरीदना है, जिसे आप खराब कर रहे हैं, और बिना किसी सुराग के इस समस्या को हल करने में अपना जीवन बिता सकते हैं।

मैंने ईवी प्रमाणित समाधान का परीक्षण किया है और यह काम करता है।

अफसोस की बात है, मैं यह भी उल्लेख करूंगा कि ईवी सेर्ट्स टीमबील्ड के साथ असंगत हैं जो एक सेवा के संदर्भ में हस्ताक्षर को निष्पादित करता है। ईवी सेर्ट्स को एक हार्डवेयर टोकन की आवश्यकता होती है जो सभी सुरक्षित ईवी प्रमाणित विक्रेताओं (वेरीसाइन और डिजीकर्ट) के साथ उपयोग के लिए सेफनेट, इंक द्वारा प्रदान की जाने वाली क्रिप्टोग्राफिक सेवा प्रदाता के साथ इंटरफेस करती है।

जब साइनिंग होती है, तो Safenet के ड्राइवर एक पासवर्ड के लिए संकेत देंगे जो किसी सेवा के संदर्भ में निष्पादित करने के साथ कुछ असंगत है। इसके अतिरिक्त, Safenet सुरक्षा प्रदान करता है जो कुछ भी लेकिन वास्तविक कंसोल से हस्ताक्षर करने से रोकता है। आप दूरस्थ डेस्कटॉप सत्र में भी प्रवेश नहीं कर सकते हैं। इसलिए, टीमबिल्ड के भीतर से हस्ताक्षर करना सबसे अच्छा है और सबसे कम संभव नहीं है।

मैंने माइक्रोसॉफ्ट के साथ काम किया है और वे स्मार्टस्क्रीन के तहत तत्काल प्रतिष्ठा हासिल करने के लिए हस्ताक्षर करने या किसी अन्य तरीके से वर्कअराउंड प्रदान करने में सक्षम नहीं हैं।

दुर्भाग्य से मेरे पास उपरोक्त उत्तरों में से किसी एक पर टिप्पणी करने के लिए पर्याप्त प्रतिनिधि नहीं है। हालाँकि, यदि आप अपने प्रकाशित ऐप (मैंने इंटरनेट ज़ोन चुना है) के लिए आंशिक विश्वास निर्दिष्ट किया है और एक कोड साइनिंग सर्टिफ़िकेट है, तो कोई स्मार्ट स्क्रीन चेतावनी प्रदर्शित नहीं की जाती है (Win10 पर जाँच की जाती है)।

मैं टोकन (GlobalSign) पर EV प्रमाण पत्र का उपयोग करके स्वचालित तरीके से अपने आवेदन पर हस्ताक्षर करता हूं। एक .bat फ़ाइल का उपयोग करें। ".bat" फ़ाइल में, पूर्व टाइप करें: (sha1 के लिए)

SignTool.exe sign /n "Exact Enterprise name in the cert - token" /t "http://timestamp.globalsign.com/scripts/timstamp.dll" "c:\Patch_to_file\Filename.exe"

प्रमाणपत्र में "सटीक एंटरप्राइज़ नाम - टोकन" सही नाम होना चाहिए जो प्रमाण पत्र (टोकन) में है

"फ़ाइल का संस्करण आपके द्वारा चलाए जा रहे विंडोज़ के संस्करण के साथ संगत नहीं है"। विंडोज 2008 सर्वर के तहत वैसे भी इंस्टॉल करने के लिए कोई 'मोर इंफो' बटन नहीं है।

जैसा कि हम गैर-Microsoft उत्पादों (डेल्फी) का उपयोग करके विंडोज़ डेस्कटॉप सॉफ़्टवेयर ('ऐप्स' नहीं) विकसित करते हैं, और हमारे इंस्टॉलर के लिए इनोसिटअप का उपयोग करते हैं, ऐप सत्यापन निरर्थक है। यह कुछ भी नहीं करने के लिए 30 मिनट तक बैठता है, हम बस ऐप शुरू करते हैं, फिर ऐप को मैन्युअल रूप से बंद करते हैं, और यह एक पास रिपोर्ट उत्पन्न करता है।

हम अपने सभी रिलीज और उनके भीतर हर निष्पादन योग्य कोड पर हस्ताक्षर करते हैं।

जब हम XML को Microsoft पर अपलोड करते हैं, तो प्रमाणित XML हमारे मुख्य डेवलपर खाते से असंबंधित साइट पर बैठता है, इसे Microsoft Store पर प्रकाशित करने का कोई तरीका नहीं है। प्रति मिनट 45 मिनट बर्बाद।