CERTUMでコード署名

無料でexe等へのコード署名ができないものかと思ったら、Thawteが個人向け無料サービスを昨年10月に終了してしまっていました。

何とかならないかと探したところ、オープンソース開発者向けに、ポーランドUnizeto社のCERTUMが無料サービスをしていることがわかりましたので、申し込んでみました。詳しくはこちら。

Code SigningからMicrosoft Authenticodeを選択、Issueを購入します。アカウントを作成して個人情報を入力。Companyは"Open Source Developer"とします。なお電子メールアドレスは必須で、これはexeファイルの署名にも入ります。

支払いをSpecial Offerとし、その右のOffer Codeに"Open Source Developer"と入力して手続きを進めます。

翌営業日にでしょうか、向こうからメールが来るので、身分を証明できる書類をJPEGででも添付して返事をします。
日本語がわかる人がいないとのことで、運転免許はダメでした。パスポートは使えます。

書類が受け付けられるとIDが送られてくるので、指定されたURLで入力すると証明書ファイルを受け取ることができます。
あとはこれをVisualStudioのSignTool等に渡してやれば署名できます。

signtool sign /v /ac (証明書ファイル名) /s my /n "(名前)" /t http://time.certum.pl (実行ファイル名)

この辺に書いてある例の改変ですが、タイムスタンプ取得はVeriSignのままで通ったりしますが、各証明書の発行元が用意しているものを使います。

自分のプログラムが出すUACダイアログが黄色から標準のものに変わるのは妙に嬉しいですが、上記の通り電子メールアドレスが晒されることになるため、spamが多い昨今ですのでソフト配布の際にはご注意ください。

ルート証明書を諦めてよいならCAcertを利用するのがよいのでしょう。