timestamp - XP/Vista上的数字签名时间戳 "not available"，导致验证失败

Question

背景

我有一个 WiX/Burn 安装包，其中包括安装 ReportViewer 2012 Runtime。在 Windows 7 或更高版本的机器上运行时，它工作正常。在 XP (SP3) 或 Vista (SP1) 上它会失败。

现在，检查 the download page for the ReportViewer redistributable ，我注意到它说它需要 Vista SP2 或更高版本。通常我会接受这一点，但是 a) 我认为这最近发生了变化，并且 b) 下载并手动安装这个可再发行的作品。可能有些部件在 XP/Vista 上不起作用，但就我的意图和目的而言，尽管他们声称，它安装和运行得很好。

问题

检查安装日志文件说明数字签名验证失败。所以我手动将可再发行包下载到 Windows XP 机器上并检查其签名。签名在那里，但时间戳报告“不可用”。点击详细信息还告诉我签名时间是“不可用”。文件本身由过期的证书签名，因此如果没有此时间戳，验证自然会失败。

但是，如果我将相同的文件下载到 Windows 7 机器上，则会出现时间戳。点击详细信息向我展示了副署名、验证工作和安装正确进行。

我试过的

我已经安装了许多不同版本的“根证书更新”都无济于事，包括 the latest .如果这确实是解决方案，请告诉我 which one我需要。

我遵循了会签上的证书链，它以“Microsoft Root Certificate Authority 2010”结尾。这个根证书似乎安装在 XP 机器上。我唯一能看到的是，此证书的“2011”版本也在“第三方根证书颁发机构”商店中，而 2010 版本则不在。我不知道这是问题的原因还是正常的。

我最终可能会禁用签名验证并使用基于哈希的有效负载验证。但是在这样做之前，我想知道我是否遗漏了一些明显的东西。

我的问题

是否有下载更新或“普通”用户可以采取的步骤，以允许在 XP/Vista 中识别时间戳/副署？这里的“普通”用户是指不太懂电脑的人；我不是指管理员权限。

Answer 1

似乎有两种时间戳会签类型可用于 Windows 代码签名(Authenticode):

Proprietary : 结果 V1在副署属性的版本字段(PKCS#7 版本？)中

基于 RFC 3161:结果 V2

我没有找到任何明确说明这一点的文档，但通过测试似乎 Windows XP(SP3，安装了所有更新)只支持版本 V1 的时间戳。 .版本时间戳 V2导致“不可用”状态。当然，版本号可能只是与结果相关——时间戳可能还有另一个方面导致它被忽略。

当前可用的 ReportViewer MSI 文件具有 V2时间戳。然而，时间戳也是在 2014 年 7 月发布的，在这个问题发布之后。

更多背景:

Windows SDK signtool命令支持两个选项(对 sign 和 timestamp 子命令)来生成两种不同的时间戳类型:

/t <timestamp server URL> : 结果 V1

/tr <RFC 3161 timestamp server URL> : 结果 V2

signtool documentation为 /tr状态:

Windows Vista and earlier: This flag is not supported.

但是，似乎不清楚(由于在其他选项上使用类似语句的方式)这适用于目标系统还是适用于 signtool 的系统。正在运行。

例子
V1时间戳:

signtool.exe sign /f cert.pfx /p %passphrase% /t http://timestamp.comodoca.com/authenticode /d "Test" test.exe

V2时间戳:

signtool.exe sign /f cert.pfx /p %passphrase% /tr http://timestamp.comodoca.com/rfc3161 /d "Test" test-rfc3161.exe