Alternativ för kodsignering för Windows apputvecklare

Om du publicerar din app som ett MSIX-paket via Microsoft Store, är kodsignering kostnadsfri och hanteras automatiskt – Microsoft signerar paketet igen efter certifieringen och du behöver inte köpa eller hantera ett certifikat. Om du publicerar som ett MSI/EXE-installationsprogram via Store ansvarar du för att Authenticode signerar installationsprogrammet innan det skickas in. Allt annat i den här artikeln gäller för appar som distribueras utside Microsoft Store.

Jämförelse i korthet

Option	Kostnad	Tillgänglighet	SmartScreen-beteende	Butikskvalificerad	Passar bäst för
Microsoft Store (MSIX) – Store signerar om paketet	Kostnadsfri	Världsomfattande	✅ Inga varningar	✅ Ja	Rekommenderas för de flesta nya appar
Microsoft Store (MSI/EXE installer) – utgivaren måste signera	Certifikatkedja till Betrodd rotprogram-CA krävs (kan variera beroende på CA)	Världsomfattande	✅ Inga SmartScreen-frågor under installationen av Store (UAC kan fortfarande visas)	✅ Ja	Befintliga Win32-appar som skickas via MSI/EXE-installationsprogrammets sökväg
Azure Artefaktsignering (tidigare betrodd signering)	~$9.99/månad	Organisationer: USA, Kanada, EU, Storbritannien. Individer: ENDAST USA och Kanada	⚠️ Ryktet byggs över tid; initiala varningar förväntas	❌ Nej	Rekommenderas för distribution utanför butiker
OV-certifikat (från en certifikatutfärdare som DigiCert, Sectigo)	$150–300/år	Världsomfattande	️ Samma som Azure Artefaktunderskrift – rykte byggs upp över tid	❌ Nej	Utvecklare som inte kan använda Azure artefaktsignering eller som föredrar traditionella certifikatutfärdare
EV-certifikat	$400+/år	Världsomfattande	⚠️ Samma som OV sedan 2024 - inte längre omedelbar förbikoppling	❌ Nej	Rekommenderas inte längre specifikt för Förbikoppling av SmartScreen
Självsignerat certifikat	Kostnadsfri	—	❌ Blockerar installation för offentliga användare	❌ Nej	Endast för utveckling/testning eller företagslösningar med hanterat certifikatförtroende
Ingen signatur	Kostnadsfri	—	❌ Starkt SmartScreen-block; företag kan blockera helt och hållet	❌ Nej	Rekommenderas inte för offentlig distribution

Microsoft Store – MSIX-inlämningar: ingen signering krävs

Att publicera ett MSIX-paket via Microsoft Store är den rekommenderade distributionssökvägen för de flesta Windows appar. Microsoft signerar om paketet automatiskt, vilket innebär att användarna aldrig ser en SmartScreen-varning och du behöver aldrig köpa eller förnya ett certifikat.

Anmärkning

Om du skickar ett Win32 MSI- eller EXE-installationsprogram till Store (i stället för ett MSIX-paket), signerar Microsoft inte installationsprogrammet igen. Installationsprogrammet och dess PE-filer måste signeras med en certifikatlänkning till en certifikatutfärdare i Microsoft Trusted Root Program – självsignerade certifikat godkänns inte. Se Krav för apppaket för MSI/EXE.

Skapa ett kostnadsfritt utvecklarkonto på storedeveloper.microsoft.com. När du har registrerat dig använder du Partnercenter för att skicka in din app och hantera dess lista.

→ Publicera appen till Microsoft Store

Azure Artefaktsignering (tidigare betrodd signering) – rekommenderas för distribution utanför Store

Azure Artifact Signing (tidigare Betrodd signering) är Microsoft rekommenderade kodsigneringstjänst för utvecklare som distribuerar appar utanför Store.

Nyckelinformation:

• Kostnad: Cirka 9,99 USD per månad – betydligt mindre än ett traditionellt OV- eller EV-certifikat
• Identity validation: Microsoft validerar din organisation eller individuella identitet innan du utfärdar certifikat; planera för några arbetsdagar för verifiering
• Ingen maskinvarutoken krävs: Signering integreras direkt med CI/CD-pipelines (GitHub Actions, Azure DevOps och andra) – du behöver ingen fysisk USB-token
• SmartScreen-beteende: Samma ryktesskapande modell som OV-certifikat – nya filer visar en SmartScreen-varning tills de ackumulerar tillräcklig nedladdningshistorik. Azure Artefaktsignering ger inte omedelbart SmartScreen-förtroende.

Viktigt!

Geographic limitation: Azure Artifact Signing är tillgängligt för organisationer i USA, Kanada, Europeiska unionen och Storbritannien. Enskilda utvecklare är för närvarande begränsade till USA och Kanada. Om du är en enskild utvecklare utanför dessa regioner kan du läsa OV-certifikat nedan.

Azure dokumentation om signering av artefakter
→ Signera ett MSIX-paket med SignTool

OV-certifikat – traditionellt CA-alternativ

OV-certifikat (Organization Validated) från en certifikatutfärdare (CA) som DigiCert, Sectigo eller GlobalSign är ett väletablerat alternativ för kodsignering. De är rätt val när:

• Du finns utanför USA, Kanada, EU eller Storbritannien (organisationer); eller utanför USA eller Kanada (enskilda utvecklare) och kan inte använda Azure Artefaktsignering
• Din organisation har redan en relation med en specifik ca
• Företagskunderna behöver ett certifikat från en viss certifikatutfärdare

Nyckelinformation:

• Kostnad: Vanligtvis 150–300 USD per år beroende på certifikatutfärdare och certifikatnivå
• Identitetsverifiering: Certifikatutfärdare verifierar organisationens juridiska identitet innan certifikatet utfärdas. tillåta flera arbetsdagar
• HSM-krav: Från och med juni 2023 kräver CA/Browser-forumet privata nycklar för att OV-certifikat ska lagras på en maskinvarusäkerhetsmodul (HSM) eller maskinvarutoken. De flesta certifikatutfärdare tillhandahåller ett kompatibelt USB-token eller HSM-molnalternativ.
• SmartScreen-beteende: motsvarar Azure artefaktsignering – ryktet ackumuleras per filhash över tid. Förvänta dig SmartScreen-frågor om nya filer.

OV-certifikat är ett beprövat alternativ och är funktionellt likvärdiga med Azure Artefaktsignering för SmartScreen-ändamål. Om du befinner dig i USA eller Kanada, eller om du är en organisation i EU eller Storbritannien, brukar Azure Artifact Signing vara mer kostnadseffektivt och integreras smidigare med automatiserade byggpipelines.

EV-certifikat – rekommenderas inte längre för SmartScreen

Certifikat för utökad validering (EV) förbigick tidigare SmartScreen helt vid första nedladdningen, vilket gjorde dem till det självklara valet för nya appar utan etablerat rykte. Det beteendet togs bort 2024. EV-signerade filer genomgår nu samma ryktesskapande process som OV-certifikat.

Vad detta innebär:

• Om du redan har ett EV-certifikat är det fortfarande giltigt och funktionellt för signering – fortsätt att använda det tills det upphör att gälla
• EV-certifikat kräver fortfarande mer rigorös identitetsverifiering, vilket kan vara viktigt för företagsanskaffning eller andra förtroendekontexter
• Att betala EV-premien ($400+/year) enbart för att undvika SmartScreen-varningar är inte längre motiverat – du ser fortfarande samma varningar som med ett OV-certifikat

→ SmartScreen-rykte för utvecklare för fullständig information om hur ryktet byggs och vad användarna ser

Självsignerade certifikat – endast utveckling och testning

Ett självsignerat certifikat är inte betrott av Windows som standard och utlöser ett starkt SmartScreen-block för alla användare som inte har installerat certifikatet manuellt som en betrodd rot. Detta gör självsignerade certifikat olämpliga för offentlig distribution.

Lämpliga användningsområden:

• Lokal utveckling och testning – du styr datorn och kan installera certifikatet manuellt
• Företagsintern distribution – IT-avdelningen kan distribuera certifikatet som en betrodd rot via Intune eller grupprincip, vilket gör att hanterade enheter kan installera appen tyst

→ Signera ett MSIX-paket med SignTool

Öppen källkod: SignPath Foundation

Om projektet är open-source erbjuder SignPath Foundation kostnadsfri kodsignering för kvalificerade projekt med öppen källkod. Programmet tillhandahåller certifikatsignering på OV-nivå via en hanterad pipeline. Kontrollera SignPath Foundations webbplats för berättigandekrav och programprocessen.

Relaterat innehåll

• SmartScreen-rykte för utvecklare
• Välj en distributionssökväg för din Windows app
• Signera ett MSIX-paket med SignTool
• Dokumentation om Azure Artefaktsignering (tidigare Betrodd signering)