एक हस्ताक्षरित एप्लिकेशन इंस्टॉल करते समय Win8 पर स्मार्ट स्क्रीन कैसे पास करें?


80

हम डेवलपर हैं, और हमारे पास एक डिजिटल हस्ताक्षरित एप्लिकेशन इंस्टॉलर है। जब हम इस एप्लिकेशन को इंस्टॉल करते हैं, तो यह स्मार्ट स्क्रीन को पॉपअप करता है जो इंस्टॉलिंग अनुभव को प्रभावित करता है। इसे कहते हैं

विंडोज ने आपके पीसी की सुरक्षा की

विंडोज स्मार्टस्क्रीन ने एक अपरिचित ऐप को शुरू करने से रोका, इस ऐप को चलाने से आपका पीसी खतरे में पड़ सकता है।

मुझे लगता है कि Microsoft के पास डिजिटल हस्ताक्षर के अलावा एप्लिकेशन को सत्यापित करने के लिए कुछ रणनीति है। किसी को भी इस मुद्दे के लिए अनुभव है और कृपया मुझे इस मुद्दे को ठीक करने के लिए कुछ सुराग दे?

जवाबों:


47

यदि आपने CA से खरीदे गए प्रमाणपत्र के साथ इंस्टॉलर पर हस्ताक्षर किए हैं, तो आपको स्पष्टीकरण के लिए CA से संपर्क करना चाहिए कि वे इस चेतावनी से छुटकारा पाने के लिए Microsoft के साथ काम करने में क्यों विफल रहे।

यदि प्रमाण पत्र एक सीए से नहीं है, लेकिन एक स्व-हस्ताक्षरित प्रमाण पत्र है, तो आपको सीए का सहारा लेना होगा।

Microsoft के पास अपनी Windows टीम ब्लॉग पर पहले से प्रकाशित अधिकांश जानकारी है,

https://blogs.msdn.microsoft.com/ie/2012/08/14/microsoft-smartscreen-extended-validation-ev-code-signing-certports/

सर्वोत्तम प्रथाएं

डेवलपर्स को अभी भी उन सर्वोत्तम प्रथाओं का पालन करना चाहिए जो हमने पिछले ब्लॉग पोस्टों में सुझाए हैं। हमने उस मार्गदर्शन में जोड़ दिया है जो विंडोज़ स्टोर के माध्यम से ऐप्स को वितरित करने के अतिरिक्त विकल्पों और EV कोड पर हस्ताक्षर करने का विकल्प है:

  • विंडोज स्टोर के माध्यम से अपने ऐप्स को वितरित करें

विंडोज 8 एप्लिकेशन को ऑनबोर्डिंग और एप्लिकेशन समीक्षा प्रक्रिया के लिए विंडोज स्टोर डेवलपर को पास करना आवश्यक है। विंडोज 8 एप्लिकेशन स्मार्टस्क्रीन एप्लीकेशन प्रतिष्ठा चेक या विंडोज 8 में चेतावनी के लिए गुंजाइश नहीं है।

  • डिजिटल रूप से अपने कार्यक्रमों (मानक या ईवी कोड पर हस्ताक्षर) पर हस्ताक्षर करें

प्रतिष्ठा उत्पन्न होती है और डिजिटल प्रमाणपत्रों के साथ-साथ विशिष्ट फाइलों को भी सौंपा जाता है। डिजिटल प्रमाणपत्र कई व्यक्तिगत कार्यक्रमों के बजाय डेटा को एक ही प्रमाणपत्र के लिए एकत्र और असाइन करने की अनुमति देते हैं। यद्यपि आवश्यक नहीं है, ईवी कोड पर हस्ताक्षर करने वाले प्रमाणपत्र पर हस्ताक्षर किए गए कार्यक्रम तुरंत स्मार्टस्क्रीन प्रतिष्ठा सेवाओं के साथ प्रतिष्ठा स्थापित कर सकते हैं, भले ही उस फ़ाइल या प्रकाशक के लिए कोई पूर्व प्रतिष्ठा मौजूद न हो। ईवी कोड पर हस्ताक्षर करने वाले प्रमाणपत्रों में एक विशिष्ट पहचानकर्ता भी होता है जो प्रमाणपत्र नवीकरण के दौरान प्रतिष्ठा बनाए रखना आसान बनाता है। केवल CA द्वारा जारी किए गए प्रमाणिक प्रमाण पत्र जो कि विंडोज रूट सर्टिफिकेट प्रोग्राम के सदस्य हैं, प्रतिष्ठा स्थापित कर सकते हैं।

इस समय, Symantec और DigiCert EV कोड हस्ताक्षर प्रमाणपत्र प्रदान कर रहे हैं।

  • दुर्भावनापूर्ण कोड पर हस्ताक्षर या वितरण न करें

ई-मेल पर हस्ताक्षर किए गए प्रमाण पत्र के साथ हस्ताक्षरित होने पर भी वितरित किए गए कोड को दुर्भावनापूर्ण रूप से वितरित किया गया है और संबंधित डिजिटल प्रमाणपत्र से किसी भी प्रतिष्ठा को हटा दिया जाएगा।

  • विंडोज लोगो या विंडोज 8 डेस्कटॉप ऐप प्रमाणन के लिए आवेदन करें

इन कार्यक्रमों के बारे में यहां और जानें: विंडोज 8 डेस्कटॉप एप सर्टिफिकेशन (विंडोज स्टोर सबमिशन के लिए आवश्यक) विंडोज लोगो प्रोग्राम


"यदि प्रमाण पत्र एक सीए से नहीं है, लेकिन एक स्व-हस्ताक्षरित प्रमाण पत्र है, तो आपको एक सीए का सहारा लेना होगा।" राजस्व के कौन से स्रोतों के माध्यम से एक हॉबीस्ट या माइक्रो-आईएसवी को लगभग $ 110 प्रति वर्ष शुल्क वसूल करना चाहिए जो सीएएस चार्ज करता है?
डेमियन येरिक जूल 15'18

1
"जैसा कि हमने अतीत में चर्चा की है, स्मार्टस्क्रीन दोनों व्यक्तिगत कार्यक्रमों और उस कोड पर हस्ताक्षर करने के लिए उपयोग किए जाने वाले प्रमाणपत्र के लिए प्रतिष्ठा बनाता है।" लिंक किए गए Microsoft ब्लॉग पोस्ट से उद्धृत। कई ओपन सोर्स प्रोजेक्ट उनकी प्रतिष्ठा पर भरोसा करते हैं, जबकि आप साइन इन करने के लिए फीस को कवर करने के लिए प्रायोजन के लिए भी कह सकते हैं।
लेक्स ली

48

हम सिर्फ पुराने ऑथेंटिकोड सर्टिफिकेट से एक नए में जाने की पूरी प्रक्रिया से गुजरे (एक ईवी सर्टिफिकेट नहीं, सिर्फ एक सादा प्रमाण पत्र जो हमारी स्वचालित निर्माण प्रक्रिया में इस्तेमाल किया जा सकता है) गुजरे।

Microsoft अब किसी मौजूदा प्रमाणपत्र से प्रतिष्ठा को नए में स्थानांतरित करने का कोई साधन प्रदान नहीं कर रहा है। इसलिए उनके समर्थन को बुलाने की कोशिश मत करो। आप बस बहुत समय और ऊर्जा बर्बाद करेंगे। और वे मदद करने में सक्षम नहीं होंगे।

Microsoft दावा कर रहा है कि यदि पुराने और नए प्रमाणपत्रों में समान पाठ्य सामग्री है, तो प्रतिष्ठा तेजी से स्थापित हो जाती है। अधिक विशेष रूप से, यहाँ जवाब है जो मुझे स्मार्टस्क्रीन® फ़िल्टर के एप्लिकेशन प्रतिष्ठा सुविधा समर्थन टीम से मिला है:

कृपया ध्यान दें कि जब भी आप किसी प्रमाण पत्र को ज्ञात प्रतिष्ठा से नवीनीकृत करते हैं, तो आपको नए प्रमाणपत्र के साथ हस्ताक्षरित फ़ाइलों के प्रारंभिक डाउनलोड के दौरान कुछ चेतावनियाँ दिखाई देंगी। हालाँकि, नए प्रमाणपत्र पर ज्ञात प्रतिष्ठा आमतौर पर नए प्रमाणपत्र की तुलना में अधिक तेज़ी से स्थापित होती है। जबकि एक नवीनीकृत प्रमाणपत्र प्रतिष्ठा स्थापित करता है, उपयोगकर्ता अभी भी डाउनलोड चलाने या सहेजने के लिए क्लिक कर सकते हैं। ऐसा करने के लिए, वे क्रियाएँ चुनें | अधिक विकल्प | वैसे भी डाउनलोड प्रबंधक से चलाएँ।

यह सुनिश्चित करने का सबसे अच्छा तरीका है कि स्मार्टस्क्रीन उपयोगकर्ताओं को चेतावनी नहीं देगी कि वे विंडोज ऐप सर्टिफिकेशन किट (WACK) को चलाएं , जिसे विंडोज एसडीके डाउनलोड में शामिल किया जाना चाहिए:

विंडोज ऐप प्रमाणन किट

परीक्षण चलाने के बाद, WACK आगे बढ़ने का तरीका बताता है:

अंतिम रिपोर्ट - मान्यता पारित

एक सफल आवेदन प्रमाणीकरण के XML परिणाम को https://sysdev.microsoft.com पर अपलोड करें । कुछ दिनों बाद, स्मार्टस्क्रीन को प्रमाणित कार्यक्रम के लिए उपयोग किए जाने वाले डिजिटल हस्ताक्षर के बारे में पता चलेगा और यह उपयोगकर्ताओं को डाउनलोड पर चेतावनी नहीं देगा।

नोट: हम Windows 8.1 के नवीनतम अद्यतनों पर हमारे एप्लिकेशन को प्रमाणित नहीं कर पाए हैं और हमें अपने सभी कार्यक्रमों को सफलतापूर्वक सत्यापित करने के लिए WACK प्राप्त करने के लिए Windows 8.1 की एक साफ स्थापना का उपयोग करना पड़ा।


15
मैं यह उल्लेख करना चाहूंगा कि इस प्रक्रिया को पूरा करने में मुझे लगभग 2 घंटे का समय लगा (शायद थोड़ा और)। मुझे यकीन नहीं है कि अगर परियोजना का आकार एक कारक है, लेकिन यह 2 मिनट की प्रक्रिया नहीं है।
लीजेरो


9
ऐसा लगता है कि एमएस सेवानिवृत्त sysdev.microsoft.com है। क्या आप जानते हैं कि अब फाइल को कहां अपलोड करना है?
शोचोवा जूल 5'18

3
ऐसा लगता है कि एमएस सेवानिवृत्त sysdev.microsoft.com है। क्या आप जानते हैं कि अब फाइल को कहां अपलोड करना है?
फीनिक्स

2
इसके बजाय, यहां फाइलें जमा करें: microsoft.com/en-us/wdsi/filesubmission
Rami A.

15

मैं कुछ समय से खोज रहा हूं, इसलिए मैंने अब तक जो भी पाया है उसे साझा करूंगा।

मुझे Microsoft से विंडोज 8 में इस सुविधा के बारे में कोई दस्तावेज नहीं मिला है, लेकिन मैं सिर्फ गलत जगहों पर देख सकता हूं।

मेरे द्वारा पढ़े गए अधिकांश लेखों में चर्चा की गई है कि स्मार्टस्क्रीन फ़िल्टर इस प्रकार काम करता है:

  • इंस्टॉलर या निष्पादन योग्य जिसे डाउनलोड किया गया था, चलाने से पहले विंडोज 8 एक डेटाबेस के साथ काम करता है।
  • डेटाबेस रिपोर्ट कर सकता है कि कार्यक्रम है या नहीं:
    • दुर्भावनापूर्ण / फ़िशिंग के रूप में रिपोर्ट किया गया, (और Microsoft कर्मचारी द्वारा सत्यापित)।
    • कई लोगों द्वारा उपयोग / चलाया गया।

यदि पर्याप्त लोगों ने उस इंस्टॉलर को दुर्भावनापूर्ण रूप से रिपोर्ट किए बिना चलाया है, तो अंततः उस कार्यक्रम को सुरक्षित रूप से फ़्लैग किया जाएगा, और अन्य उपयोगकर्ताओं को कष्टप्रद संदेश प्राप्त नहीं होगा।

कुछ स्रोत: ( यहाँ ) ( यहाँ )

जब उपयोगकर्ता किसी प्रोग्राम को इंस्टॉल करता है तो Microsoft को भेजी जाने वाली जानकारी में IP पता, इंस्टॉलर का एक हैश और डिजिटल हस्ताक्षर और संभवतः एप्लिकेशन का फ़ाइल नाम शामिल होता है। ( यहां देखें )

Microsoft कर्मचारियों के पास सभी Microsoft अनुप्रयोगों को सुरक्षित और फ़्लैग करने के लिए डेटाबेस तक सीधी पहुँच होगी।

शायद Microsoft ने आपके इंस्टॉलर को उनके साथ पूर्व-प्रमाणित करने का एक तरीका निर्धारित किया है, यदि नहीं तो आपको तब तक इंतजार करना पड़ सकता है जब तक कि पर्याप्त लोग इंस्टॉलर नहीं चलाते। (लेकिन यह सुनिश्चित नहीं है कि कितने होंगे)।


इस लिंक को log.nadim.cc/?p=78तोड़ दिया गया है और यहां तक ​​कि वेव मशीन किसी भी सामग्री को प्रकट नहीं करती है। क्या सामग्री के लिए कोई वैकल्पिक स्थान हैं?
उवे कीम

11

मैं बस इस प्रक्रिया से गुज़रा, और मैं इसमें कुछ ख़बरें जोड़ूंगा।

1) एक EV प्राप्त करें। यह इसके लायक है। अगली बार जब आप अपने प्रमाणपत्रों को अपग्रेड करते हैं, तो EV प्रमाणपत्र में अपग्रेड करें। कीमत लगभग 100 डॉलर प्रति वर्ष है। ईवी प्रमाणपत्रों को अधिक सुरक्षित माना जाता है, क्योंकि वे चोरी करना अधिक कठिन हैं। जब आपको जारी किया जाता है, तो आपको साइन को पूरा करने के लिए एक हार्डवेयर टोकन डिवाइस जारी किया जाएगा। दुर्भाग्य से, अंतिम संकेत स्वचालित बिल्ड के साथ संगत नहीं है।

यह उतना भयानक नहीं है जितना लगता है। वे आपको अपने निष्पादनयोग्य (इंस्टॉलर के अंदर) पर हस्ताक्षर करने के लिए एक दूसरा प्रमाण पत्र प्रदान करेंगे जो स्वचालन के साथ संगत रहता है। इंस्टॉलर पर हस्ताक्षर हार्डवेयर टोकन के साथ संयोजन में हस्ताक्षर किए जाने चाहिए।

2) यदि आप ईवी प्रमाण पत्र प्राप्त नहीं करना चाहते हैं, तो आपको प्रतिष्ठा की आवश्यकता है। यदि आप अपग्रेड कर रहे हैं, तो Microsoft आपके पुराने प्रमाणपत्र से आपके नए को प्रतिष्ठा हस्तांतरित करेगा। आपको MSDN तकनीकी सहायता से संपर्क करना होगा और लगभग एक सप्ताह में यह हो जाएगा। मैंने अपने पुराने और नए इंस्टॉलर को पुराने और नए प्रमाणपत्रों के साथ जमा किया - और उन्होंने इसे ठीक कर दिया।

3) यदि यह आपका पहला प्रमाणपत्र है, तो आप स्मार्टस्क्रीन के साथ तब तक अटके रहेंगे, जब तक कि आपको प्रतिष्ठा न मिल जाए। आपको शायद अपने ऐप को sysdev.microsoft.com के माध्यम से प्रमाणित करना चाहिए। लेकिन, यह वास्तव में ज्ञात नहीं है कि Microsoft के साथ सकारात्मक प्रतिष्ठा अर्जित करने से पहले आपको कितने डाउनलोड की आवश्यकता है।

यही मेरा अनुभव है।


3
क्या आप मुझे बता सकते हैं कि मेरे पुराने प्रमाणपत्र की प्रतिष्ठा को हस्तांतरित करने के लिए ऐप कहां प्रस्तुत करना है?
21

1
मैंने डेवलपर समर्थन अनुरोध करने के लिए अपनी MSDN सदस्यता का उपयोग किया है।
लम्पैकन

2
मैं अभी Microsoft के साथ पूरी प्रक्रिया से गुजरा हूँ। जाहिर है, MSDN तकनीकी समर्थन अब इस विषय पर कोई भी सहायता प्रदान नहीं कर रहा है। स्मार्टस्क्रीन चेतावनी को दूर करने के लिए आपको वास्तव में कुछ प्रतिष्ठा स्थापित करने की आवश्यकता है। सबसे सरल यह होगा कि आप अपने ऐप को विंडोज ऐप सर्टिफिकेट किट से सत्यापित करें और फिर परिणाम sysdev.microsoft.com पर अपलोड करें।
पियरे अरनौद

क्या निगमों के विपरीत ईवी भी व्यक्तियों के लिए उपलब्ध हैं? और एक के लिए पैसे जुटाने के लिए एक हॉबीस्ट को क्या कदम उठाने चाहिए?
डेमियन येरिक

5

चूंकि विंडोज 8.1 बाहर है।

  • Microsoft ने अपने पीसी पर इंटरनेट के माध्यम से डाउनलोड करने और उन्हें स्थापित करने का प्रयास करते समय सभी मानक कोड साइनिंग प्रमाणपत्रों पर भरोसा किया, लेकिन यदि आप USB या CD-ROM के माध्यम से अपने आवेदन को वितरित करते हैं, तो मानक कोड हस्ताक्षर प्रमाणपत्र अनुप्रयोग काम करता है।

  • signtool.exeसत्यापित करने के लिए उपयोग न करें ( signtool.exe verify /pa mysetup.exeसफलता दिखाएगा लेकिन यह तब विफल हो जाएगा जब अन्य उपयोगकर्ता इसे डाउनलोड करेंगे और स्मार्टस्क्रीन पॉपअप को स्थापित करने का प्रयास करेंगे, यह प्रदर्शित होता रहेगा)

Windows App प्रमाणन किट (WACK) का उपयोग करें

यहाँ छवि विवरण दर्ज करें

  • यह मानक कोड हस्ताक्षर प्रमाण पत्र मृत हैं। इसका मतलब है कि अगर आपके पास मानक कोड पर हस्ताक्षर करने का प्रमाण पत्र है, तो यह पहले की तरह मज़बूती से काम नहीं करेगा, भले ही विंडोज ऐप सर्टिफिकेशन किट (WACK) PASS को WARNING के साथ दिखाता है, इसका मतलब यह नहीं है कि इसकी 100% सफलता को सत्यापित करें

यहाँ छवि विवरण दर्ज करें

आपको ईवी प्रमाणपत्र ( https://www.globalsign.com/en/code-signing/) खरीदना होगा )

तो, 100% सफल होने के लिए, चम्मच फ़ीड का पालन करें:

चरण 1: https://sysdev.microsoft.com पर जाएं और लॉगिन करें

a) कंपनी खाता> अगला बनाएं

b) winqual.exe फ़ाइल डाउनलोड करें, जो कि Microsoft द्वारा प्रदान की गई ज़िप फ़ाइल है, अब अपने मानक प्रमाणपत्र या EV प्रमाणपत्र के साथ winqual.exe पर हस्ताक्षर करें और फिर सत्यापन के लिए फ़ाइल अपलोड करने के लिए अगले पर क्लिक करें।

मेरे मामले में यह विफल रहा क्योंकि मेरे पास मानक प्रमाण पत्र है जो Microsoft अब अनुमति देना बंद कर देता है। तो आप सभी को अब ईवी लाइसेंस खरीदना है, जिसे आप खराब कर रहे हैं, और बिना किसी सुराग के इस समस्या को हल करने में अपना जीवन बिता सकते हैं।

यहाँ छवि विवरण दर्ज करें


4
यह ड्राइवरों के विकास के लिए है।
crea7or

तो हर किसी को उस प्रमाण पत्र को खरीदने की ज़रूरत है जो स्मार्टस्क्रीन से बचने के लिए प्रति वर्ष $ 290 का खर्च करता है?
user3304007

4

मैंने ईवी प्रमाणित समाधान का परीक्षण किया है और यह काम करता है।

अफसोस की बात है, मैं यह भी उल्लेख करूंगा कि ईवी सेर्ट्स टीमबील्ड के साथ असंगत हैं जो एक सेवा के संदर्भ में हस्ताक्षर को निष्पादित करता है। ईवी सेर्ट्स को एक हार्डवेयर टोकन की आवश्यकता होती है जो सभी सुरक्षित ईवी प्रमाणित विक्रेताओं (वेरीसाइन और डिजीकर्ट) के साथ उपयोग के लिए सेफनेट, इंक द्वारा प्रदान की जाने वाली क्रिप्टोग्राफिक सेवा प्रदाता के साथ इंटरफेस करती है।

जब साइनिंग होती है, तो Safenet के ड्राइवर एक पासवर्ड के लिए संकेत देंगे जो किसी सेवा के संदर्भ में निष्पादित करने के साथ कुछ असंगत है। इसके अतिरिक्त, Safenet सुरक्षा प्रदान करता है जो कुछ भी लेकिन वास्तविक कंसोल से हस्ताक्षर करने से रोकता है। आप दूरस्थ डेस्कटॉप सत्र में भी प्रवेश नहीं कर सकते हैं। इसलिए, टीमबिल्ड के भीतर से हस्ताक्षर करना सबसे अच्छा है और सबसे कम संभव नहीं है।

मैंने माइक्रोसॉफ्ट के साथ काम किया है और वे स्मार्टस्क्रीन के तहत तत्काल प्रतिष्ठा हासिल करने के लिए हस्ताक्षर करने या किसी अन्य तरीके से वर्कअराउंड प्रदान करने में सक्षम नहीं हैं।


1

दुर्भाग्य से मेरे पास उपरोक्त उत्तरों में से किसी एक पर टिप्पणी करने के लिए पर्याप्त प्रतिनिधि नहीं है। हालाँकि, यदि आप अपने प्रकाशित ऐप (मैंने इंटरनेट ज़ोन चुना है) के लिए आंशिक विश्वास निर्दिष्ट किया है और एक कोड साइनिंग सर्टिफ़िकेट है, तो कोई स्मार्ट स्क्रीन चेतावनी प्रदर्शित नहीं की जाती है (Win10 पर जाँच की जाती है)।


1

मैं टोकन (GlobalSign) पर EV प्रमाण पत्र का उपयोग करके स्वचालित तरीके से अपने आवेदन पर हस्ताक्षर करता हूं। एक .bat फ़ाइल का उपयोग करें। ".bat" फ़ाइल में, पूर्व टाइप करें: (sha1 के लिए)

SignTool.exe sign /n "Exact Enterprise name in the cert - token" /t "http://timestamp.globalsign.com/scripts/timstamp.dll" "c:\Patch_to_file\Filename.exe"

प्रमाणपत्र में "सटीक एंटरप्राइज़ नाम - टोकन" सही नाम होना चाहिए जो प्रमाण पत्र (टोकन) में है


1
और क्या इसने स्मार्टस्क्रीन डायलॉग को हटा दिया?
user3304007

0

"फ़ाइल का संस्करण आपके द्वारा चलाए जा रहे विंडोज़ के संस्करण के साथ संगत नहीं है"। विंडोज 2008 सर्वर के तहत वैसे भी इंस्टॉल करने के लिए कोई 'मोर इंफो' बटन नहीं है।

जैसा कि हम गैर-Microsoft उत्पादों (डेल्फी) का उपयोग करके विंडोज़ डेस्कटॉप सॉफ़्टवेयर ('ऐप्स' नहीं) विकसित करते हैं, और हमारे इंस्टॉलर के लिए इनोसिटअप का उपयोग करते हैं, ऐप सत्यापन निरर्थक है। यह कुछ भी नहीं करने के लिए 30 मिनट तक बैठता है, हम बस ऐप शुरू करते हैं, फिर ऐप को मैन्युअल रूप से बंद करते हैं, और यह एक पास रिपोर्ट उत्पन्न करता है।

हम अपने सभी रिलीज और उनके भीतर हर निष्पादन योग्य कोड पर हस्ताक्षर करते हैं।

जब हम XML को Microsoft पर अपलोड करते हैं, तो प्रमाणित XML हमारे मुख्य डेवलपर खाते से असंबंधित साइट पर बैठता है, इसे Microsoft Store पर प्रकाशित करने का कोई तरीका नहीं है। प्रति मिनट 45 मिनट बर्बाद।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.