Mobile应用开发中给自己的应用程序签名[方案].docVIP

Mobile应用开发中给自己的应用程序签名 Windows?Mobile?5开始，Pocket PC和Smartphone上都使用数字签名的方法对应用程序进行验证，减少系统被不明来源的程序危害的可能。这样就给应用程序开发带来一些不便，如果不进行签名，在运行的时候将出现提示，或者一些驱动无法加载。? ?? ?Windows Mobile 5?SDK中包含了一个能够安装到移动设备的证书以及对应这个证书的一系列签名，供开发者在调试程序的时候使用。相关的文件都在？:\Program Files\Windows CE Tools\wce500\Windows Mobile 5.0 Pocket PC SDK\Tools这个目录下。安装了Windows Mobile 5 SDK的用户可以很容易找到这个目录。具体步骤：1.在设备上安装sdk certificates。将该目录下的SdkCerts.cab复制到设备，并安装。2.在开发过程中，设置工程的Authenticode Signing，将程序签名：? ?(1)Project-...Properties或者其他方式(Alt+F7等等）打开工程属性设置页面。? ?(2)在Configuration Properties中选择Authenticode Signing，设置? ?? ? Authenticode Signature = YES；? ?? ? 按下Certificate栏目右边的...，出现Select Certificate窗口，如果第一次使用，需要导入证书，按下manage certificates，然后按下Import，在Certificate Import Wizard中，选择pfx类型的文件，Browse到？:\Program Files\Windows CE Tools\wce500\Windows Mobile 5.0 Pocket PC SDK\Tools目录，依据权限需求从3个证书种选择一个，然后导入到Personal下，这样退出Wizard后就可以看到刚才导入的证书，直接选择，Close，Certificate栏目就有了证书；? ?? ?Provision Device依据权限选择就可以。? ?? ?重新Build这个程序，新的程序将被签名。这样在安装了SdkCerts的设备上，就可以直接运行了，一些Dll驱动也可以被加载了 微软移动代码签名证书 (Authenticated Content Signing for Microsoft Windows Mobile)(简称ACS，现已更名为Code Signing Account for Microsoftreg; Mobile2Market)：支持使用微软 Windows Mobile 的 SmartPhone 和 Pocket PC 的移动终端操作系统的移动应用软件的非特权签名和特权签名，以确保移动下载的软件代码在移动终端 ( 如智能手机和 PDA) 的安全。很多朋友肯定一开始就遇到过这样的问题，用Resco无法Access具有系统属性的文件，AppInstall下面的反安装程序也无法删除，用PHM Registry Editor改注册表，结果有很多注册表项目无法更改，比如HKLM\System\ HKLM\Security等等。 其实这个就是微软在Smartphone里面引入的特权保护机制，现在Windows Mobile 5.0里面，这种机制也被带入了PPC系列，总而言之，就是为了安全性，对应用程序能够访问的系统资源作了限制，如果没有这种限制，很可能就会造就相当一部分的恶意程序，因为应用程序可以随意调用特权API，篡改你的SIM卡信息，给你的联系人群发垃圾短信，窃取你的联系人信息，或是删除重要的系统文件。 所以微软把系统资源分成了两种权限，特权级和非特权级（Privileged / Unprivileged），一般我们运行的应用程序都是出于非特权级别的，比如Resco，由于没有特权，所以无法删除某些系统文件，而PHM Registry Editor也是如此，无法更改某些注册表条目。 至于Windows API，也同样如此，分为特权API和非特权API，一般应用程序如果调用特权API就会产生调用失败 有关这部分的详细内容，请参考MSDN上的文章，中文翻译版早已经出来了。 那么系统如何区分特权应用程序和非特权应用程序呢？关键在于手机所设定的特权保护机制（Policy），以及应用程序本身的数字签名。 手机内部有个根证书存储区，里面存放着一些被信任的发行商的特权数字签名（当然也有被信任的非特权数字签名），用这些特权列表里面的数字证书签名的应用程序运行时就拥有特权。比如HTC的机器就把H