我有一个来自 StartCom(StartSSL)的代码签名证书。我对他们的服务非常满意: 他们的客户服务非常快，价格也非常合理。

获取代码签名证书

获得代码签名证书需要 第二类身份验证。StartCom 将指导您完成整个过程(以我的经验，响应率非常高，通常在10分钟内)。
如果您想立即获得正确的细节，请阅读 这篇博文。我是在一个小时内验证(费用为59.90美元，通过贝宝)。

验证后，生成一个新的私钥和一个证书签名请求(CSR)。注意 忽略除公钥以外的所有字段。证书中的所有信息都是 从您在身份验证过程中提供的信息中推断出来的，而不是从您的 CSR 中推断出来的。

# Create key and CSR (key must be at least 2048 bit, per Policy Statement)
openssl req -nodes -newkey rsa:2048 -keyout codesigning.key -out codesigning.csr
# Add pass phrase to key (optional, but highly recommended)
openssl rsa -in codesigning.key -des3 -out codesigning2.key && \
mv codesigning2.key codesigning.key

通过网络界面提交这个，你会很快得到一个新的有效期为两年的证书(我在一个小时内得到了我的证书)。

问题: 终生签署 OID

StartCom 的类2证书具有生命周期签名 OID 集。由于这一点，签名代码的签名将在证书过期后变得无效，即使它有时间戳。

当我问 Eddy Nigg (StartCom 的 COO/CTO)这个 OID 的原因时，他回答说:

这要求我们在证书已经过期后，继续保持 CRL 的运作长达20年。这是我们可以为电动汽车水平证书(更低的数量，不同的支付条件) ，但会增加的价格类2只是为了这个好处(其中代码签名只是这个级别的选项的一部分)。

因此，时间戳只有在扩展验证(EV)之后才能使用，扩展验证是 只有合法成立的组织才能使用，价格为199.90美元。

很长一段时间，我认为这个限制是一个大问题。最近，我改变了主意: 这种情况每两年才会发生一次，有安全意识的用户可能更倾向于使用我的软件的最新版本，而旧版本的软件仍然可以使用(对于那些想使用它的人，虽然没有经过验证的签名)。

注意: 始终为代码加上时间戳，即使设置了 Lifetime 签名标志！带时间戳的签名将保持有效，直到证书的到期日，即使证书已被撤销(显然，只有在证书被撤销之前创建了签名)。

证书的实际使用

在 StartCom，你只需要为验证付费。身份验证有效期为350天，在此期间，您可以免费请求代码签名证书。您只能拥有一个有效的代码签名证书，并且它可以用于对任何代码(MSI、 DLL、 XPI、 ...)进行签名，但不能对驱动程序代码进行签名(这需要 EV)。

若要更改证书上的属性，必须撤消以前的证书，撤消请求的新证书。吊销证书的费用为29.90美元。虽然当我在获得代码签名证书后的第二天更换了我的电子邮件，他们却无偿撤销了我的证书(我非常惊讶) ！

过期

当您的证书即将到期(将近两年后)时，您会收到一个通知(提前两周)。 如果您的身份验证仍然有效(请记住，验证过期350天后，然后您必须再次确认您的身份为59.90 $) ，您可以要求一个新的证书，而无需撤销以前的一个。不要忘记发布使用这个新代码签名证书签名的软件新版本，因为以前的版本很快就会显示“(未经验证)”或类似的内容。

OCSP

当我收到我的证书时，我签署了我的 Firefox 插件。但是，它仍然显示“(作者未经验证)”，即使我的 XPI 文件已经正确签名。事实证明，Firefox 在向 StartCom 的 OCSP 服务器查询我的新证书的撤销状态时没有获得当前的证书状态。^{可能的相关论坛主题}

大约半天后，OCSP 服务器知道了我的证书，我的名字如期出现。经验教训: 当你有了一个新的证书，等待大约一天之前发布你的软件与新的签名。