普通代码签名证书和EV代码签名证书都可以用于数字签名所有Windows代码,包括但不限于.exe, .dll, .cab, .ocx, XML, .jar, .apk, .air, .airi, .xap, Office VBA, 用于证明软件开发者的可信身份和保证代码不会被非法篡改和捆绑其他恶意软件。
而使用EV代码签名证书签名的可执行文件,如:.exe,还可以自动获得Windows系统的SmartScreen信誉,Windows不会拦截新发布的软件,而使用普通代码签名证书则达不到这个效果,需要软件在运行过程中不断积累信誉,并且有可能第一次安装时就会被拦截不允许安装,所以,推荐软件开发商直接选购EV代码签名证书。
EV代码签名证书还有一个重要用途是用于建立Windows开发人员硬件仪表板账户和申请徽标认证,用于数字签名各种驱动程序和系统程序。具体如何申请认证账户,请参考问题3。
普通代码签名证书又分为个人代码签名证书和单位代码签名证书,如果软件开发商为个人,则可以申请个人代码签名证书,如果软件开发商为企事业单位,则必须申请单位代码签名证书。EV代码签名证书仅限于单位用户申请。
已签名代码附有代码发布者的真实身份信息,证明此代码为真实可信单位发布。所以,必须先验证身份,完成身份认证后就可以马上签发代码签名证书。身份处理时间一般需要一个工作日,需要证书申请人及时根据要求提供所需的证明材料。
从2021年起,微软已经停止采用交叉签名方式使用第三方CA签发的代码签名证书来签名内核代码,而且要求软件开发商向指定的6家CA申请EV代码签名证书来注册Windows开发人员硬件仪表板账户,并用EV代码签名证书签名有关代码提交测试认证,通过认证后会用微软签发的专用代码签名证书来数字签名驱动代码。具体请参考微软官网相关页面信息: