選擇性：建立商務用應用程控的程式代碼簽署憑證

當您部署商務用應用程控時，可能需要在內部簽署類別目錄檔案或應用程控原則。 若要進行此簽署，您必須使用Microsoft的 信任簽署 服務、公開發行的程式代碼簽署憑證或內部 CA。 如果您已購買程式代碼簽署憑證，您可以略過本文，並改為遵循 商務用應用程控部署指南中所列的其他文章。

如果您有內部 CA，請完成下列步驟以建立程式碼簽署憑證。

1. 開啟憑證授權單位的 Microsoft Management Console (MMC) 嵌入式管理單元，然後選取您的簽署 CA。

2. 聯機時，以滑鼠右鍵按兩下 [ 證書範本]，然後選取 [ 管理 ] 以開啟 [證書範本控制台]。

   

   圖 1. 管理憑證範本

3. 在瀏覽窗格中，以滑鼠右鍵按兩下 [程式代碼簽署憑證]，然後選取 [ 複製範本]。

4. 在 \[相容性\] 索引標籤中，清除 \[顯示產生的變更\] 核取方塊。 從 \[憑證授權單位\] 清單選取 \[Windows Server 2012\]，然後從 \[憑證接收者\] 清單選取 \[Windows 8 / Windows Server 2012\]。

5. 在 \[一般\] 索引標籤中，指定 \[範本顯示名稱\] 和 \[範本名稱\]。 此範例會使用應用程式 控制類別目錄簽署憑證的名稱。

6. 在 \[要求處理\] 索引標籤中，選取 \[允許匯出私密金鑰\] 核取方塊。

7. 在 [ 延伸模組] 索引標籤 上，選取 [ 基本條件約束 ] 複選框，然後選取 [ 編輯]。

8. 在 \[編輯基本限制延伸\] 對話方塊中，選取 \[啟用延伸\] 核取方塊，如圖 2 所示。

   

   圖 2. 在新的範本上選取條件約束

9. 如果需要憑證管理員核准任何發行的憑證，在 \[發行需求\] 索引標籤中，選取 \[要有 CA 憑證管理員核准\]。

10. 在 \[主體名稱\] 索引標籤中，選取 \[在要求中提供\]。

11. 在 \[安全性\] 索引標籤上，確認用來要求憑證的任何帳戶都有註冊憑證的權限。

12. 選取 [確定 ] 以建立範本，然後關閉 [證書範本控制台]。

建立這個憑證範本之後，您必須將其發行到 CA 發行的範本存放區。 若要這樣做，請完成下列步驟：

1. 在 [證書頒發機構單位 MMC] 嵌入式管理單元中，以滑鼠右鍵按兩下 [ 證書範本]，指向 [ 新增]，然後選取 [要發出的證書範本]，如圖 3 所示。

   

   圖 3. 選取要發行的新憑證範本

   隨即會出現可用的範本清單，包括您建立的範本。

2. 選取 [應用程控類別目錄簽署憑證]，然後選取 [ 確定]。

現在範本已可供發行，您必須從執行 Windows 10 或 Windows 11 的計算機要求一個範本，並在其中建立和簽署類別目錄檔案。 若要開始，開啟 MMC，並完成下列步驟：

1. 在 MMC 的 [ 檔案] 選單中，選取 [ 新增/移除嵌入式管理單元]。 按兩下 \[憑證\]，然後選取 \[我的使用者帳戶\]。

2. 在 [憑證] 嵌入式管理單元中，以滑鼠右鍵按兩下 [個人存放區] 資料夾，指向 [ 所有工作]，然後選取 [ 要求新憑證]。

3. 選取 [下一步 ] 兩次以取得憑證選取清單。

4. 在 \[要求憑證\] 清單中，選取您剛建立的程式碼簽署憑證，然後選取要求其他詳細資訊的藍色文字，如圖 4 所示。

   

   圖 4. 取得您的程式碼簽署憑證的詳細資訊

5. 在 \[憑證屬性\] 對話方塊中，針對 \[類型\]，請選取 \[通用名稱\]。 針對 [值]，在此範例中為您的憑證指定有意義的名稱 (，我們會選 取 [$ContosoSigningCert) ]，然後選取 [ 新增]。 新增時，選取 [ 確定]。

6. 註冊並完成。

此憑證必須安裝在將簽署類別目錄檔案和程式代碼完整性原則之計算機上的使用者個人存放區中。 如果簽署會發生在您用來要求憑證的相同計算機上，您可以略過下列步驟。 如果您要在另一部計算機上登入，則必須導出具有必要密鑰和屬性的 .pfx 憑證。 若要這樣做，請完成下列步驟：

1. 以滑鼠右鍵按兩下憑證，指向 [ 所有工作]，然後選取 [ 匯出]。

2. 選取 [下一步]，然後選取 [ 是，匯出私鑰]。

3. 選擇預設設定，然後選取 \[匯出所有延伸內容\]。

4. 設定密碼、選取導出路徑，然後選取 [AppControlCatSigningCert.pfx ] 作為檔名。

當憑證匯出後，將它匯入將簽署類別目錄檔案或程式碼完整性原則的使用者用來簽署它們的特定電腦的個人存放區。