EV代码签名证书申请攻略

申请EV代码签名证书是保障软件安全、提升用户信任的关键步骤，以下是系统化的申请攻略，涵盖核心流程与注意事项：

一、申请前准备

1. 确认申请主体

   • 企业用户：需具备合法注册资质（如营业执照、组织机构代码证等），法人身份证明及授权书（若非法人申请）。
   • 个人开发者：EV证书仅面向企业，个人需选择OV（组织验证）或DV（域名验证）代码签名证书。

2. 选择CA机构

   • 推荐机构：DigiCert、Sectigo、GlobalSign、Certum等国际知名CA，或其授权代理商（如JoySSL）。
   • 核心考量：证书兼容性（如Windows SmartScreen）、审核效率、售后服务及价格（通常5000-8000元/年）。

3. 准备申请材料

   • 基础材料：营业执照（需年检）、法人身份证、公司地址及联系方式。
   • 补充材料：邓白氏编码（部分CA要求）、企业银行账户信息（用于验证企业真实性）。
   • 特殊要求：若企业成立不足3年，需提供水电费账单等经营证明。

二、申请流程详解

1. 注册并提交申请

   • 访问CA官网（如JoySSL），注册账号并填写邀请码（如230952）获取优惠。
   • 选择EV代码签名证书，填写企业信息及证书有效期（通常1-3年）。

2. 身份验证与审核

   • 电话验证：CA会拨打公司注册电话，确认申请真实性。
   • 文件公证：部分国家需提交律师或公证处盖章的文件。
   • 第三方验证：通过邓白氏数据库比对企业信用信息。
   • 审核周期：通常3-5个工作日，复杂情况可能延长至7天。

3. 支付费用并获取证书

   • 审核通过后，支付证书费用（价格因CA及有效期而异）。
   • CA通过快递寄送加密USB存储设备（Ukey），内含证书私钥。

4. 安装与配置证书

   • 插入Ukey：将Ukey插入电脑，按CA提供的指南安装证书。
   • 导入开发环境：将证书导入至Microsoft Visual Studio、Signtool等工具。
   • 自动化签名：将签名步骤集成至CI/CD流程，确保每次编译后自动签名。

三、使用与维护

1. 代码签名操作

   • 使用Ukey中的私钥对编译后的二进制文件（如EXE、DLL）进行签名。
   • 添加时间戳：确保签名长期有效，避免证书过期导致签名失效。

2. 签名验证

   • 使用Windows的signtool verify命令或操作系统内置功能验证签名有效性。
   • 确保签名后的软件在安装时显示企业名称，而非“未知发布者”。

3. 证书续期与吊销

   • 续期：证书有效期通常为1年，建议提前60天联系CA办理续期。
   • 吊销：若私钥泄露或企业信息变更，需立即联系CA吊销证书。

四、注意事项

1. 私钥安全

   • 私钥必须存储在Ukey中，禁止导出至本地磁盘，防止泄露。

2. 兼容性测试

   • 签名后，在目标操作系统（如Windows 10/11）上测试软件安装流程，确保无警告提示。

3. 合规性

   • 确保企业信息与证书申请时一致，避免因信息不实导致证书被撤销。

五、常见问题解答

• Q：个人开发者能否申请EV证书？
  A：EV证书仅面向企业，个人需选择OV或DV证书。
• Q：EV证书的优势是什么？
  A：提升软件信任度（显示企业名称）、降低安装拦截率、兼容Windows SmartScreen快速信任。
• Q：证书过期后已签名的软件会怎样？
  A：已签名的软件仍可运行，但新安装时会提示“证书过期”，建议及时续期。