Globalsign普通代码签名(不含Ukey)

GlobalSign普通代码签名证书（不含UKey）是一种组织验证型（OV）的代码签名证书，它旨在为开发者提供一个经济且受信任的方式，来保护其软件、应用程序和可执行文件的完整性。

核心特点和优势

1. 组织验证：
   • 证书颁发前会进行企业身份验证，确保代码发布者身份的真实性。
   • 签名后的软件会显示发布者的组织名称，帮助用户确认软件来源可信，并消除“未知发布者”的安全警告。
2. 密钥安全存储：
   • 值得注意的是，根据行业标准和GlobalSign的政策更新（自2023年起），为了增强私钥保护，普通代码签名证书的私钥必须生成并存储在符合FIPS 140-2 Level 2或更高标准的硬件安全模块中。
   • 这意味着，虽然您无法再获取传统的 .pfx 文件进行私钥导出，但私钥可以存放在多种硬件设备中，而不仅仅是传统的USB Key（UKey）。您可以选择将其存放在：
     • HSM（硬件安全模块）：适用于需要将签名过程集成到自动化构建流水线中的企业。
     • 符合标准的硬件令牌：例如，某些品牌的USB令牌。
   • 这种“不含UKey”的说法可能指的是可以不使用物理USB Key，而是选择更适合自动化工作流的HSM或其他硬件模块。
3. 兼容性和信任：
   • 签名后的代码会被主流操作系统（如Windows、macOS）和浏览器所信任。
   • 证书支持时间戳服务，即使证书过期，签名也依然有效，确保已发布软件的长期可信度。

与EV代码签名的区别

与EV代码签名相比，普通代码签名在以下方面有所不同：

• 颁发流程：普通代码签名验证过程相对简单，通常不包含额外的身份验证步骤，颁发时间更快。
• SmartScreen信任：虽然普通代码签名能解决“未知发布者”警告，但需要通过微软SmartScreen的声誉积累才能获得即时信任。而EV代码签名因其严格的验证流程，能获得SmartScreen的即时信任。
• 驱动程序签名：普通代码签名不能用于签名Windows 10及更高版本的内核模式驱动程序，而EV代码签名是必须的。

适用场景

GlobalSign普通代码签名证书适用于以下场景：

• 需要为软件、应用或可执行文件提供基础信任和完整性验证的开发者。
• 预算有限，但仍希望确保软件来源可信的中小企业。
• 不用于Windows内核驱动程序签名，且能接受在首次下载时需要通过声誉积累来获得SmartScreen信任的软件。