我想将我的一个应用程序发布为开源,并想用自己的证书对我创建的二进制文件进行数字签名。(当然,其他任何人都可以下载代码并使用自己的证书自己构建代码。)我想这样做,以便任何人都可以检查此构建是我而不是其他人进行的。我还想用有效的SSL证书创建一个安全的网站,以便访问者可以安全的方式创建自己的帐户,以便为该项目做出贡献。
我可以创建一个自签名证书,但是我真的不喜欢该选项。或者,我可以向Verisign支付几枚金币,以获得可以在几年内有效的证书。我也不喜欢这种选择,因为我的国库对我很有价值。
那么,还有其他选择吗?例如,通过以优惠的价格提供证书来支持开源项目的提供商?它不是免费的,只是比Verisign便宜得多…
(该项目是使用Visual Studio 2008 C#创建的。此外,ASP.NET中还需要SSL的其他项目。)
您可以尝试CAcert 。这样,您便可以通过其他CAcert用户的认证。CAcert具有基于信誉的系统,因此,如果您经常获得认证,则您的证书将被视为有效。
您可能必须将CAcert添加为目标系统上的可信授权。自签名可执行文件应该是足够的选择,但是您需要提供公共证书。使用已知的权威机构可以帮助验证该文件,但是我认为在这种情况下使用文件的校验和或sha2散列与您的自签名证书结合使用会导致文件被杀。您可以将Linux机顶盒设置为CA,但是他们将需要信任您的公共证书。
对于开源开发人员,Certum 免费提供代码签名证书*
申请证书时,只需在“公司”字段中输入“开源开发人员”。而已。
链接到开源代码签名证书在这里
[*]从2016年开始,开源代码签名证书将不再免费提供。现在,它是一项付费服务。
