Menandatangani paket aplikasi Windows 10
Penandatanganan paket aplikasi adalah langkah yang diperlukan dalam proses pembuatan paket aplikasi Windows 10 yang dapat disebarkan. Windows 10 mengharuskan semua aplikasi ditandatangani dengan sertifikat penandatanganan kode yang valid.
Agar berhasil menginstal aplikasi Windows 10, paket tidak hanya harus ditandatangani tetapi juga dipercaya pada perangkat. Ini berarti bahwa sertifikat harus menautkan ke salah satu akar tepercaya pada perangkat. Secara default, Windows 10 mempercayai sertifikat dari sebagian besar otoritas sertifikat yang menyediakan sertifikat penandatanganan kode.
Selain itu, jika Anda membuat bundel MSIX, tidak perlu menandatangani semua paket dalam bundel satu per satu. Hanya bundel yang perlu ditandatangani, dan semua paket di dalamnya ditandatangani secara rekursif.
| Topik | Deskripsi |
|---|---|
| Prasyarat untuk penandatanganan | Bagian ini membahas prasyarat yang diperlukan untuk menandatangani paket aplikasi Windows 10. |
| Menggunakan SignTool | Bagian ini membahas cara menggunakan SignTool dari Windows 10 SDK untuk menandatangani paket aplikasi. |
| Menandatangani paket MSIX dengan penandatanganan Device Guard | Bagian ini membahas cara menandatangani aplikasi Anda dengan penandatanganan Device Guard. |
| Membuat paket yang tidak ditandatangani untuk pengujian | Bagian ini membahas cara membuat paket msix yang tidak ditandatangani. |
Tanda waktu
Sangat disarankan agar Tanda Waktu digunakan saat menandatangani aplikasi Anda dengan sertifikat. Tanda waktu mempertahankan tanda tangan yang memungkinkan paket aplikasi diterima oleh platform penyebaran aplikasi bahkan setelah sertifikat kedaluwarsa. Pada waktu pemeriksaan paket, tanda waktu memungkinkan tanda tangan paket divalidasi sehubungan dengan waktu ditandatangani. Ini memungkinkan paket diterima bahkan setelah sertifikat tidak lagi valid. Paket yang tidak diberi tanda waktu akan dievaluasi terhadap waktu saat ini dan jika sertifikat tidak lagi valid, Windows tidak akan menerima paket.
Berikut ini adalah berbagai skenario sekeliling penandatanganan aplikasi dengan/out timestamping:
| Skenario | Aplikasi ditandatangani tanpa tanda waktu | Aplikasi ditandatangani dengan tanda waktu |
|---|---|---|
| Sertifikat valid | Aplikasi akan diinstal | Aplikasi akan diinstal |
| Sertifikat tidak valid(kedaluwarsa) | Aplikasi akan gagal diinstal | Aplikasi akan diinstal karena keaslian sertifikasi diverifikasi saat penandatanganan oleh otoritas tanda waktu |
Catatan
Jika aplikasi berhasil diinstal pada perangkat, aplikasi akan terus berjalan bahkan setelah sertifikat kedaluwarsa terlepas dari itu menjadi tanda waktu atau tidak.
Penegakan Integritas Paket
Selain memastikan hanya aplikasi tepercaya yang diinstal pada perangkat, manfaat tambahan untuk menandatangani paket MSIX adalah memungkinkan Windows untuk menegakkan integritas paket Anda dan kontennya setelah disebarkan pada perangkat. Dengan menautkan ke AppxBlockMap.xml dan AppxSignature.p7x dalam paket yang ditandatangani, Windows dapat melakukan pemeriksaan validasi pada integritas paket dan kontennya saat runtime, dan selama pemindaian Windows Defender. Jika paket dianggap diubah Windows akan memblokir peluncuran aplikasi dan memulai alur kerja remediasi untuk memperbaiki atau menginstal ulang paket. Untuk paket yang tidak didistribusikan melalui Microsoft Store, integritas paket diberlakukan jika paket mendeklarasikan elemen uap10:PackageIntegrity dan disebarkan pada build Windows 2004 dan yang lebih baru. Di bawah ini adalah contoh deklarasi penegakan integritas paket di AppxManifest.xml:
<Package ...
xmlns:uap10="http://schemas.microsoft.com/appx/manifest/uap/windows10/10"
IgnorableNamespaces="uap10">
...
<Properties>
<uap10:PackageIntegrity>
<uap10:Content Enforcement="on" />
</uap10:PackageIntegrity>
</Properties>
...
</Package>
Mode perangkat
Windows 10 memungkinkan pengguna untuk memilih mode untuk menjalankan perangkat mereka di aplikasi Pengaturan. Modenya adalah aplikasi Microsoft Store, aplikasi Sideload, dan mode Pengembang.
Aplikasi Microsoft Store adalah yang paling aman karena hanya memungkinkan penginstalan aplikasi dari Microsoft Store. Aplikasi di Microsoft Store melalui proses sertifikasi untuk memastikan bahwa aplikasi aman digunakan.
Aplikasi sideload dan mode Pengembang lebih permisif terhadap aplikasi yang ditandatangani oleh sertifikat lain selama sertifikat tersebut dipercaya dan ditautkan ke salah satu akar tepercaya di perangkat. Hanya pilih Mode pengembang jika Anda adalah pengembang dan membangun atau men-debug aplikasi Windows 10. Info selengkapnya tentang mode Pengembang dan apa yang disediakannya dapat ditemukan di sini.
Catatan
Mulai Windows 10 versi 2004, opsi Sideload diaktifkan secara default. Akibatnya, mode Pengembang sekarang menjadi tombol. Perusahaan masih dapat menonaktifkan Sideloading melalui kebijakan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk