Compartilhar via


Assinaturas digitais e arquivos externos do gabinete

O Windows Installer pode usar assinaturas digitais para detectar recursos corrompidos. Ao instalar um recurso externo, o certificado do signatário que pertence ao recurso pode ser verificado em relação a um certificado de signatário de referência criado no pacote. O instalador não pode verificar assinaturas de gabinetes internos. Ele só pode verificar assinaturas digitais usando a tabela MsiDigitalSignature e tabela MsiDigitalCertificate.

O Windows Installer faz o seguinte ao instalar um arquivo armazenado em um gabinete externo:

  • O instalador verifica se a entrada de mídia desse gabinete externo está listada na tabela MsiDigitalSignature. Um arquivo armazenado em um gabinete externo é identificado por ter uma entrada na coluna Gabinete da tabela Media que não é prefixada por um caractere '#'.
  • Antes de abrir o gabinete externo, o instalador chama WinVerifyTrust para extrair as informações atuais de certificado e hash. Se houver uma incompatibilidade entre as informações de assinatura atuais no gabinete e as informações de assinatura criadas no pacote, a instalação falhará. A instalação falha porque o gabinete pode ter sido comprometido e não pode ser confiável.

Para obter mais informações sobre o uso de assinaturas digitais, certificados digitais e WinVerifyTrust, consulte a seção Security do Microsoft Windows Software Development Kit (SDK).

Para obter mais informações, consulte MsiGetFileSignatureInformation, da tabela MsiDigitalCertificate e tabela MsiDigitalSignature.