这一阵子自己的一套系统遇到了在高版本IE下无法访问的问题,后来发现是其中嵌入的一个控件没有数字签名导致的。在高版本IE中对于此类控件已经做了严格的限制,无法通过参数的设置来打开这个缺口。为此在网上寻觅了一下如何申请、制作数字签名,如何打包cab,如何给控件、cab添加数字签名的方法,如下:
在IE7下无法执行的问题,签名后出现该对话框,控件包无法安装
因为IE7默认是禁止没有使用国际认证的代码签名证书进行签名的ActiveX,看IE7的安全设置就知道了。
让用户改设置是不可能的,测试用的数字签名又无效,所以只好用经过认证的数字证书,但是~~ 基本上都是要钱的
花了点时间查找和试验,相比之下中国数字认证网(http://www.ca365.com/)提供的一年免费的证书是最好用的
选用表格申请证书,在下面的界面中按图示设置对应项目
提交后出现的界面选择“在线安装”,然后你的机器中就会安装好这个“个人”免费证书
后面的对控件签名时直接用signcode.exe就可以了,不用自己再makecert了
选择证书时,从存储区中选择这个“个人”
后面的下一步中出现的界面最好都添上,给用户更多的信息
时间戳服务器可以使用:http://timestamp.verisign.com/scripts/timstamp.dll
然后再浏览之前的页面,就可以了:)
要注意:
1:注意使用的是代码签名证书
2:免费数字证书有一年的有效期
3:要更改数字证书的名称和附带信息等,需购买其他收费版本
4:国内CA站点
中国数字认证网(http://www.ca365.com)
广东省电子商务认证中心(http://www.cnca.net/)
博大证书(http://ca.foxmail.com.cn/)
天威诚信(http://www.itrus.com.cn)
其他参考资料:
IE7 大大增强了安全性能
http://hi.baidu.com/itrus/blog/item/6518bf13c4e533806538dbc2.html
ActiveX控件数字签名的实现
http://hi.baidu.com/duyaofei/blog/item/6433ab01f71de1061d9583a5.html
数字证书应用全攻略——如何获取数字证书
http://www.qqread.com/net-saft/u539114081.html
==============
创建CAB
过高压缩技术(比ZIP压缩度还高3成)——打包成Cab压缩文件。当用户第一次浏览你控件所在的网页时,它会自动提示控件下载,下载后会根据cab文件中的*.inf文本文件的来寻找你电脑的上相应的DLL(控件依赖库及控件本身,ocx本就是一种特殊的DLL)是否注册过,如果没有,会自动帮你注册,然后控件既可以正常使用。
(注:关于cab压缩技术,请参考MSDN或是网上相关搜索)
创建cab文件:
1. 创建 INF 文件。
INF 文件是一个文本文件,用以指定为控件的运行而需要显示或下载的文件(如 DLL 文件或其他 OCX 文件)。INF 文件使您得以将所有所需的文件捆绑在一个压缩的 CAB 文件中。默认情况下,版本号同用户硬盘上的现有文件相同的文件不下载。有关 INF 文件及其选项的更多信息,包括如何创建与平台无关的 INF 文件,请参见 Platform SDK 文档中的关于 INF 文件和使用 INF 文件(在 MSDN Library/Setup 和 System Administration/Setup/Setup API/Overview/Setup Applications 目录下)。
举例来说,下面的 INF 文件用于为AxYourControl控件创建 CAB 文件。AxYourControl是由某一库支持开发的(MFC,ATL或其他),假设他所支持库的主要由 Need1.dll,Need2.dll,Need3.dll三个DLL库(具体有哪些库文件根据情况查阅MSDN相关内容)。
; Sample INF file for AxYourControl.OCX
[version]
signature="$CHINA$"
AdvancedINF=2.0
[Add.Code]
AxYourControl.ocx= AxYourControl.ocx
Need1.dll= Need1.dll
Need2.dll= Need2.dll
Need3.dll= Need3.dll
; needed DLL
[Need1.dll]
file-win32-x86=thiscab
FileVersion=2,00,0,7024
DestDir=11
RegisterServer=yes
; needed DLL
[Need2.dll]
file-win32-x86=thiscab
FileVersion=2,00,0,7024
DestDir=11
RegisterServer=yes
; needed DLL
[Need3.dll]
file-win32-x86=thiscab
FileVersion=2,00,0,7024
DestDir=11
RegisterServer=yes
[AxYourControl.ocx]
file-win32-x86=thiscab
clsid={4CBBC676-507F-11D0-B98B-000000000000}
FileVersion=1,0,0,1
RegisterServer=yes
; end of INF file
此 INF 文件指定需要在系统上安装给定版本的 Need1.DLL, Need2.DLL和Need3.DLL。如果这些DLL尚未存在于系统中,它将从用此 INF 创建的 CAB 文件中下载。“thiscab”是一个关键字,表示 CAB 包含此 INF。也可通过指定一条绝对或相对路径,从一个 HTTP 位置下载所需的 DLL,例如:
file-win32-x86=http://example.microsoft.com/mydir/NEEDED.DLL
关键字“file-win32-x86”将平台标识为 x86 特定的。
可通过在 Windows 资源管理器中的文件上单击鼠标右键来获取文件的版本号。从显示的列表中选择“属性”,然后在显示的对话框中选择“版本”选项卡。有时需要在文件版本中额外插入一个 0。例如,在对话框中 ATL.DLL 的版本号显示为 2.00.7024。而在 INF 文件中,这变为 2, 00, 0, 7024。
“DestDir”是将要加载文件的目录所在的位置:11 指定系统目录为 WINDOWS/SYSTEM 或 WINNT/SYSTEM32;10 指定 Windows 目录、WINDOWS 或 WINNT。如果未指定任何 DestDir(典型情况),则代码安装在固定的 OCCACHE 目录中。
“clsid”是将要安装的控件的 CLSID。
2. 运行 CABARC 实用工具。
Cabarc.exe 是微软的一个cab文件制作工具。你可以到微软的官方网站下载CABIN SDK 工具包。下载后解压安装,在其目录下有一个Bin目录下可以找到。
应在包含源文件的目录下运行 CABARC。在命令行上,按源文件出现在 INF 中的顺序排列它们,并将 INF 文件放在最后。例如,若要从上面的 INF 文件生成 AxYourControl控件的 CAB 文件,请使用下面的命令:
…/BIN/CABARC -s 6144 n AxYourControl.CAB Need1.DLL Need2.DLL Need3.DLL AxYourControl.OCX AxYourControl.INF
-s 选项在压缩文件中保留用于代码签名的空间。n 命令指定希望创建 CAB 文件。有关 CABARC 命令和选项的列表,请在命令行上仅键入 CABARC:
…/BIN/CABARC
其他的一些补充:
1. 需要MFC控件中包含的DLL文件有MSVCRT.DLL、MFC42.DLL 和OLEPRO32.DLL,其中MFC42.DLL视你开发环境的MFC版本所定,例如本人是在vc7环境下开发控件的,所以,应该为MFC71.DLL。
2. 为ActiveX空间创建cab文件还有一个重要的话题就是将其打包为签名压缩 (CAB) 文件。签名文件使用户可以放心地下载代码安全的控件。关于这个话题,需要申请发行证书,详细情况可参见MSDN:
ms-help://MS.MSDNQTR.2003FEB.2052/vccore/html/Creating_Signed_CAB_Files_for_MFC_and_ATL_Controls.htm
3. 关于在创建INF时DLL的版本,你可以鼠标右击点出他的属性对话框,在版本一栏就可以看到了,注意,填写时,版本号之间的“.”号变换为“,”。