В веб-обозревателях есть функции безопасности, которые не позволяют пользователям загружать вредоносные программы. В зависимости от уровня безопасности и используемой платформы, пользователь будет предупрежден, либо ему будет запрещено загружать программы без цифровой подписи. Цифровая подпись показывает происхождение программы, подтверждает, что программа не была изменена, и гарантирует, что пользователь не будет получать предупреждения при установке пользовательского обозревателя.
Из-за этого пользовательские CAB-файлы, созданные мастером настройки Internet Explorer 7, должны быть подписаны, если только для зоны местной интрасети не был установлен «Низкий» уровень безопасности. Любые пользовательские компоненты, распространяемые с пакетом обозревателя для этих платформ, также должны быть подписаны.
Общее представление о сертификатах.
Чтобы поставить цифровую подпись на пакет и пользовательские программы, сначала необходимо получить цифровой сертификат. Сертификат можно получить в центре сертификации или на частном сервере сертификатов. Дополнительные сведения о получении сертификатов или настройке сервера сертификатов см. в следующих разделах:
- Центры сертификации, которым доверяет корпорация Майкрософт
(http://go.microsoft.com/fwlink/?linkid=59547).
- Общие сведения по сертификатам (http://go.microsoft.com/fwlink/?linkid=68942).
- Документация по инфраструктуре отрытого ключа Public key
infrastructure (PKI) (http://go.microsoft.com/fwlink/?linkid=68943).
При получении сертификата издателем программного обеспечения создаются сопоставленные друг другу открытые и закрытые ключи, которые используются для шифрования и расшифровки. Они создаются на компьютере, запросившем сертификат, в момент запроса, и закрытый ключ никогда не отсылается центру сертификации или какой-либо другой стороне.
Общее представление о подписывании кода
- Если предполагается распространять пользовательские пакеты
через Интернет, необходимо подписать все пользовательские
компоненты и пакет профиля CMAK (если используется). Перед запуском
мастера настройки Internet Explorer 7 следует убедиться, что
они подписаны. Обычно они подписываются производителями. Также их
можно подписать с помощью средства Sign Tool (SignTool.exe)
(http://go.microsoft.com). Также можно
использовать средство File Signing Tool (Signcode.exe)(http://go.microsoft.com/fwlink/?LinkId=71299). Для
получения информации обо всех параметрах подписи следует
ознакомиться с документацией этих средств.
Кроме того, после запуска мастера настройки Internet Explorer 7 настоятельно рекомендуется подписать пакет IEAK и файл Branding.cab (если он используется отдельно от пакета). Это также можно сделать с помощью упомянутых выше средств.
Для получения дополнительной информации следует загрузить рекомендации по цифровой подписи (http://go.microsoft.com/fwlink/?LinkId=). (Материалы могут быть на английском языке).
- Если предполагается распространять пользовательские пакеты
через интрасеть, подпишите пользовательские файлы или
установите в зоне местной интрасети «Низкий» уровень безопасности,
так как настройка безопасности по умолчанию не позволяет
пользователям загружать неподписанные программы и приложения.
Дополнительные сведения о зонах безопасности см. в разделе Безопасность Internet
Explorer и пакет IEAK.