交叉签名在代码签名数字证书中的体现

交叉签名在SSL证书中的体现：

https://bbs.wosign.com/forum.php?mod=viewthread&tid=108

本帖展示一下交叉签名在代码签名数字证书中的体现形式

根证书颁发机构：GlobalSign

一般而言，我们可以看到如下的证书链




但是，上图顶层的根证书（事实上包括所有微软初始授信的根证书）是得到另一证书的交叉签名，如下图所示。




表现形式同中级证书，但交叉签名的根证书和一般意义上的中级证书显著区别就在于，当交叉签名证书不存在时，本例中的GlobalSign Root CA（图一中显示GlobalSign是因为在作为根证书时，系统赋予了其简称“GlobalSign”，所以显示效果不一致）可自行作为有效根证书。

相信一定会有童鞋问了，为什么我找到的GlobalSign签发的证书，没有Microsoft交叉签名证书作为根证书的呢？

秘密原来在此。

当我们右键单击一个文件，选择“数字证书”标签卡，进而打开后看到的证书链其实已经被操作系统进行了一定的处理，有时的眼见并不为实，我们需要通过第三方软件来查看这个程序在签名时，到底用了什么样的证书链？

如图，上文所述的例子，我们可以发现




一般意义上的根证书GlobalSign和它的交叉签名证书都被添加在这个程序中，故而会出现本例中图二的情况，

而有些GlobalSign签发的代码签名数字证书并没有被软件开发商在进行数字签名的时候，一并签发在被签名的程序上，如下图




从这个证书链中我们可以清晰地发现，证书链中并没有根证书GlobalSign，光标处所高亮显示的“GlobalSign Primary Object Publishing CA”仅是一个中级证书而已。

帅贴。IKimi 你这个查看证书的第三方软件是神马神器啊。。。。来。来。来。推荐下下

WS_Daniel 发表于 2014-8-4 08:31
帅贴。IKimi 你这个查看证书的第三方软件是神马神器啊。。。。来。来。来。推荐下下

比较大众的有PE Explorer，还有一个小众的，DELPHI编写的，但是在程序编译的时候，感染了DELPHI梦魇这个病毒体，所以尽管编译的程序不会攻击计算机，但是程序会被杀毒软件等报毒，基本不用，但它比PE Explorer更灵巧，功能也更多，因为它同时带有signcode的功能。晚上贴一个该程序的截图。

WS_Daniel 发表于 2014-8-4 08:31
帅贴。IKimi 你这个查看证书的第三方软件是神马神器啊。。。。来。来。来。推荐下下

有意义，有收获，谢谢提供











bjcars.net

易可米， 呵呵

真的很有用，谢谢啦！











bjcars.net