天威诚信|ssl证书|ssl证书购买|ssl证书申请|ev ssl证书
SSL证书配置指南 | 代码签名证书配置指南 | 常见问题 | 知识中心 | SSL工具
代码签名证书时间戳服务介绍

时间戳服务介绍
时间戳服务器对外提供精确可信的时间服务,以确认系统处理数据在某一时间(之前)的存在性和相关操作的相对时间顺序,从而从时间上为实现系统数据处理的抗抵赖性提供基础。时间戳服务器对目标数据加上可信时间源提供的时间标记,并用数字签名来保证时间标记的完整性与真实性。同时,时间戳服务器从可以外接时间服务器从权威授时机构获取时间标记,以确保操作痕迹记录都采用了相同的时间基准。

时间戳服务解决的问题
在公用密钥基础建设中,采用数字签名技术来证实签署人的身份和验证数据是否被篡改。而用于签名的数字证书是有生命周期的,且在生命周期内还有可能被吊销而失效。那么为了证实在有效生命周期内的数字证书其签名是有效的,就必须引入电子时间戳,从而证实数字签名的发生是在证书吊销之前还是之后,是发生在证书过期之前还是过期之后。

代码签名证书时间戳服务
代码签名证书支持 1-3 年有效期。 然而,您的软件的生命周期一般都会更长。为了避免签名证书到期后需要重复签名和重新发布软件,必须使用时间戳服务。当您使用时间戳对代码进行签名操作时,被签名代码产生的哈希值将发送给时间戳服务器进行时间戳反签名。这样,当用户下载签名代码后,系统将自动进行鉴别:

(1) 用已经吊销的代码签名证书签名的代码不会被信任;

(2) 用有效的代码签名证书签名的代码,即使代码签名证书已经到期,但代码仍然是可信的。

这意味着您不用担心代码签名证书过期后需要重新签名代码。


时间戳服务是代码签名证书的一项免费配套服务,是为了让软件开发商在代码签名证书有效期内签名的代码在证书过期后仍然可以正常的使用而设计的。从理论上来讲,在代码签名证书有效期内签名的代码永远不会过期。

如果您在做代码签名时不使用时间戳服务,则在 Windows 中尝试加载运行证书已经过期的 Active-X 控件时会收到警告提示:“为帮助保护您的安全,IE已经停止从此站点安装ActiveX控件到您的计算机”。也就是说,对于未添加时间戳服务的代码签名,签名证书过期后的对签名有效性验证的处理方式将等同于没有签名的代码而直接阻止运行。

所以,请确认您在进行代码签名操作时,保持签名机的网络通畅,并为您的代码添加签名时间戳服务。

常用的代码签名时间戳服务地址:

Symantec :http://timestamp.verisign.com/scripts/timstamp.dll

Comodo :http://timestamp.comodoca.com/authenticode

GlobalSign :http://timestamp.globalsign.com/scripts/timstamp.dll