易维信(EVTrust)数字证书

常见微软代码签名证书品牌？

Sectigo(Comodo 科摩多 ) 新兴品牌，老旧系统平台兼容性略差（如未打补丁的 Win7 ），低价占领基本市场；

GlobalSign 是老牌的数字证书厂商，广受互联网公司青睐，代码签名市场占有率第二；

Symantec赛门铁克(DigiCert) 就是曾经的VeriSign威瑞信（十多年前微软独家合作，所以兼容性和市占率都很强），代码签名市场占有率70%以上，兼容性非常好

如何选择合适的证书类型？

*以上表格中，应用程序指 .exe .dll .msi .bin .cab .ocx .xpi 等用户态二进制文件，内核驱动指 .sys .cat 等内核态驱动程序文件

*内核驱动需要在开发完毕打包使用EV证书签名并提交到微软硬件开发门户获取微软二次签名（证明签名 attestation signing 或 WHQL，不同操作系统要求不同，具体可咨询客服）才可运行，获取微软硬件开发门户企业账户的前提也是拥有有效的EV代码签名证书。

【2021年4月起所有的内核驱动都需要经过EV代码签名证书签名后提交微软二次签名才能被操作系统识别】

代码签名证书载体

•  EV 型代码签名证书强制使用 USBkey 存储 ，私钥不能从USB令牌导出，它们是Safenet USB eTokens，通常是5100型号。

•  OV 型代码签名证书为 PFX 格式的电子文件，可自由集成开发环境自动化签名、异地团队共用等）

微软 SmartScreen 筛选器

微软赛选器只针对签名普通应用软件 .exe 的客户，和驱动程序无关 。

EV 代码签名证书默认积满微软 SmartScreen 信誉，用户下载软件不会遇 SmartScreen 拦截 ；

OV 型代码签名证书需要花费时间积累微软 SmartScreen 信誉，用户初期下载软件可能遇到 SmartScreen 拦截，一旦证书积累了足够的信誉（信誉积累与应用软件行为、用户手动允许运行、拒绝次数、用户数有关，微软未给出具体硬性标准），用户将不再遇到拦截（//注意，证书到期续费更新后会获得新的证书，但是信誉不跟随转移，需要重新积累，所以建议 OV 代码签名用户一次性购买较长有效期证书使用）

如果软件没有证书签名，那么软件无法积累 SmartScreen 信誉，用户可能会经常遇到 SmartScreen 拦截 。

EV代码签名证书(GlobalSign EV code)

产品详细介绍：http://www.evtrust.com/globalsign/ev-code-signing.html

  ●  在SmartScreen® 筛选器中快速自动建立信誉，避免出现警告信息，增加用户的信任。

  ●  支持Windows 10内核驱动签名，同时也兼容Windows Mobile、标准的代码、内核签名、 Office签名VBA签名。

  ●  在Windows8和和IE9以上的SmartScreen® 筛选器中快速自动建立信誉