Firmas digitales e instalador de Windows

El instalador de Windows puede usar firmas digitales para detectar recursos dañados. Un certificado de firmante se puede comparar con el certificado de firmante de un recurso externo que va a instalar el paquete. Para obtener más información sobre el uso de firmas digitales, certificados digitales y WinVerifyTrust, consulte la sección Seguridad del Kit de desarrollo de software (SDK) de Microsoft Windows.

Con Windows Instalador, las firmas digitales se pueden usar con Windows paquetes instaladores, transformaciones, revisiones, módulos de combinación y archivos de gabinete externos. Windows Instalador se integra con la directiva de restricción de software en Microsoft Windows XP. Se pueden crear directivas para permitir o evitar instalaciones basadas en criterios diferentes, incluido un certificado o publicador de firmante determinado. El instalador de Windows puede realizar la validación de firmas de archivos de archivadores externos en todas las plataformas en las que está instalada la versión 2.0 de CryptoAPI.

Tenga en cuenta que el ejemplo Setup.exe arranque proporcionado con el SDK del instalador de Windows realiza una comprobación de firma en un paquete del instalador de Windows antes de iniciar la instalación.

La realización de una instalación administrativa quita la firma digital del paquete. Una instalación administrativa modifica el paquete de instalación para agregar la secuencia AdminProperties, que invalidaría la firma digital original. Un administrador puede renunciar al paquete.

La aplicación de una revisión a una instalación administrativa también quita la firma digital del paquete. El motivo es que los cambios se conservan en el paquete de instalación revisado de la instalación administrativa. Un administrador puede renunciar al paquete.

A partir de la versión 3.0 del instalador de Windows, la aplicación de revisiones de control de cuentas de usuario (UAC) permite a los usuarios que no son administradores aplicar revisiones a las aplicaciones instaladas en el contexto por equipo. La aplicación de revisiones UAC está habilitada al proporcionar un certificado de firmante en la tabla MsiPatchCertificate y las revisiones de firma con el mismo certificado.

Para obtener más información, vea Digital Signatures and External Cabinet Files, Windows Installer and Software Restriction Policy, Authoring a Fully Verified Signed Installation y A URL based Windows Installer Installation Example.