我使用WIX工具集生成MSI文件,然后将它们放在一个包中。然后,我从捆绑包和捆绑包本身sign(wix manual)引擎:
insignia -ib bundle.exe -o engine.exe
signtool sign /v /f test_cert.pfx /p pass1234 /t http://timestamp.globalsign.com/scripts/timstamp.dll engine.exe
insignia -ab engine.exe bundle.exe -o bundle.exe
signtool sign /v /f test_cert.pfx /p pass1234 /t http://timestamp.globalsign.com/scripts/timstamp.dll bundle.exe
我看到一些描述该过程的帖子,他们还包括签署所有MSI和cabs文件。我想知道是否足以签署引擎和捆绑而不是MSI文件。有什么后果?推荐的方式是什么?
是的,只签署Bundle就足够了。 Bundle包含链式包的哈希,以确保在运输或安装过程中不会篡改包裹。 Bundle有点像其包含文件的目录文件。
Our recommendation(通常)不打扰除Bundle之外的任何其他东西 - 除非您必须出于某些其他原因(例如基于GPO的部署)将MSI直接发送给客户。