Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Si publicas la aplicación como un paquete MSIX a través de la Microsoft Store, la firma de código es gratuita y se controla automáticamente, Microsoft vuelve a firmar el paquete después de la certificación y no necesitas comprar ni administrar un certificado. Si publicas como instalador MSI/EXE a través de la Tienda, eres responsable de la firma de Authenticode del instalador antes del envío. Todo lo demás de este artículo se aplica a las aplicaciones distribuidas fuera de la Microsoft Store.
Comparación de un vistazo
| Opción | Costo | Availability | Comportamiento de SmartScreen | Apto para almacenamiento | Más adecuado para |
|---|---|---|---|---|---|
| Microsoft Store (MSIX) — Store vuelve a firmar el paquete | Gratuito | En todo el mundo | ✅ Sin advertencias | ✅ Sí | Recomendado para la mayoría de las aplicaciones nuevas |
| Microsoft Store (instalador MSI/EXE) : el publicador debe firmar | Cadena de certificados a una entidad de certificación del programa raíz de confianza necesaria (varía según la entidad de certificación) | En todo el mundo | ✅ Sin avisos de SmartScreen durante la instalación de la Tienda (es posible que la UAC siga apareciendo) | ✅ Sí | Aplicaciones de Win32 existentes que se envían mediante la ruta del instalador MSI/EXE |
| Azure Artifact Signing (anteriormente Trusted Signing) | ~$9,99/mes | Organizaciones: EE. UU., Canadá, UE, Reino Unido. Individuos: Solo ee. UU. y Canadá | ⚠️ La reputación se construye con el tiempo; advertencias iniciales esperadas | ❌ No | Recomendado para distribución fuera de la Tienda |
| Certificado de OV (de una ENTIDAD de certificación como DigiCert, Sectigo) | $150–300/año | En todo el mundo | ❌ No | Desarrolladores que no pueden usar la firma de artefactos de Azure o que prefieren las autoridades certificadoras tradicionales. | |
| Certificado EV | $400+/año | En todo el mundo | ⚠️ Igual que OV desde 2024, ya no habrá omisión instantánea | ❌ No | Ya no se recomienda específicamente para eludir SmartScreen |
| Certificado autofirmado | Gratuito | — | ❌ Bloquea la instalación de usuarios públicos | ❌ No | Solo para desarrollo/pruebas o solo para empresa con confianza de certificado administrado |
| Sin firma | Gratuito | — | ❌ Bloqueo robusto de SmartScreen; las empresas pueden bloquear de manera completa | ❌ No | No se recomienda para la distribución pública |
Microsoft Store — envíos MSIX: no se requiere firma
Publicar un paquete MSIX a través del Microsoft Store es la ruta de distribución recomendada para la mayoría de las aplicaciones Windows. Microsoft revalida automáticamente su paquete, lo que significa que los usuarios nunca ven una advertencia de SmartScreen y usted nunca necesita comprar o renovar un certificado.
Nota:
Si envías un instalador MSI o EXE de Win32 a la Tienda (en lugar de un paquete MSIX), Microsoft no vuelve a firmar el instalador. El instalador y sus archivos PE deben estar firmados con un certificado encadenado a una autoridad de certificación en el Programa Raíz de Confianza de Microsoft: no se aceptan certificados autofirmados. Consulte Requisitos del paquete de aplicaciones para MSI/EXE.
Cree una cuenta gratuita de desarrollador en storedeveloper.microsoft.com. Después de registrarse, use el Centro de socios para enviar la app y administrar su listado.
→ Publicar la aplicación en el Microsoft Store
Firma de artefactos de Azure (antiguamente Firma de confianza): se recomienda para la distribución fuera de la tienda.
Azure Artifact Signing (anteriormente Trusted Signing) es el servicio de firma de código recomendado por Microsoft para desarrolladores que distribuyen aplicaciones fuera de la tienda.
Detalles clave:
- Costo: Aproximadamente $9,99/mes: significativamente menor que un certificado de OV o EV tradicional
- Identity validation: Microsoft valida la organización o la identidad individual antes de emitir certificados; planee unos días laborables para la verificación.
- No se requiere token de hardware: La firma se integra directamente con los pipelines de CI/CD (Acciones de GitHub, Azure DevOps y otros); no necesita un token USB físico.
- Comportamiento de SmartScreen: El mismo modelo de creación de reputación que los certificados OV: los nuevos archivos mostrarán una advertencia de SmartScreen hasta que acumulan suficiente historial de descargas. La firma de artefactos de Azure no proporciona confianza instantánea de SmartScreen.
Importante
Limitación geográfica: Azure Artifacts Signing está disponible para las organizaciones de los Estados Unidos, Canadá, la Unión Europea y el Reino Unido. Actualmente, los desarrolladores individuales están limitados a estados Unidos y Canadá. Si es un desarrollador individual fuera de esas regiones, consulte los certificados de OV siguientes.
documentación de firma de artefactos en Azure
→ Firmar un paquete MSIX mediante SignTool
Certificados OV: opción tradicional de Autoridad de Certificación
Los certificados validados por la organización (OV) de una entidad de certificación (CA), como DigiCert, Sectigo o GlobalSign, son una opción bien establecida para la firma de código. Son la opción correcta cuando:
- Está ubicado fuera de Estados Unidos, Canadá, la UE o el Reino Unido (organizaciones); o fuera de EE. UU. o Canadá (desarrolladores individuales) y no puede usar Azure Artifact Signing
- Su organización ya tiene una relación con una entidad de certificación específica
- Los clientes empresariales requieren un certificado de una entidad de certificación determinada.
Detalles clave:
- Costo: Normalmente, $150–300/año dependiendo de la CA y el nivel de certificado
- Validación de identidad: La ENTIDAD de certificación valida la identidad legal de la organización antes de emitir el certificado; permitir varios días laborables
- Requisito de HSM: A partir de junio de 2023, el foro de CA/Browser requiere claves privadas para que los certificados OV se almacenen en un módulo de seguridad de hardware (HSM) o un token de hardware. La mayoría de las CA proporcionan un token USB compatible o una opción HSM en la nube.
- SmartScreen behavior: Equivalente a Azure Artifact Signing: la reputación se acumula según el hash del archivo a lo largo del tiempo. Espere avisos de SmartScreen para nuevos archivos.
Los certificados OV son una opción comprobada y son funcionalmente equivalentes a la firma de artefactos de Azure para propósitos de SmartScreen. Si está en Estados Unidos o Canadá (o en una organización de la UE o Reino Unido), la Firma de Artefactos de Azure suele ser más rentable e integrarse de una forma más fluida con las canalizaciones de compilación automatizadas.
Los certificados EV ya no se recomiendan para SmartScreen
Los certificados de validación extendida (EV) anteriormente omitieron SmartScreen por completo en la primera descarga, lo que los convierte en la opción preferida para las nuevas aplicaciones sin reputación. Ese comportamiento se quitó en 2024. Los archivos firmados por EV ahora pasan por el mismo proceso de creación de reputación que los certificados OV.
Esto significa lo siguiente:
- Si ya tiene un certificado EV, sigue siendo válido y funcional para la firma, siga usándolo hasta que expire.
- Los certificados EV todavía requieren una validación de identidad más rigurosa, lo que puede ser importante para la adquisición empresarial u otros contextos de confianza.
- Pagar la prima de EV (400 $+/año) únicamente para evitar las advertencias de SmartScreen ya no está justificada, y seguirá viendo las mismas advertencias que con un certificado OV.
→ reputación de SmartScreen para desarrolladores para obtener detalles completos sobre cómo se compila la reputación y qué ven los usuarios.
Certificados autofirmados: solo desarrollo y pruebas
Un certificado autofirmado no es confiable para Windows por defecto y desencadenará un bloqueo de SmartScreen intenso para cualquier usuario que no haya instalado manualmente el certificado como raíz confiable. Esto hace que los certificados autofirmados no son adecuados para la distribución pública.
Usos adecuados:
- Desarrollo y pruebas locales : controla la máquina y puede instalar el certificado manualmente.
- Distribución interna empresarial : el departamento de TI puede implementar el certificado como raíz de confianza a través de Intune o directiva de grupo, lo que permite a los dispositivos administrados instalar la aplicación de forma silenciosa.
→ Firmar un paquete MSIX mediante SignTool
Código abierto: SignPath Foundation
Si el proyecto está código abierto, SignPath Foundation ofrece firma de código gratuita para proyectos de código abierto aptos. El programa proporciona la firma de certificados de nivel de OV a través de una canalización administrada. Consulte el sitio web de SignPath Foundation para conocer los requisitos de idoneidad y el proceso de aplicación.
Contenido relacionado
Colaborar con nosotros en GitHub
El origen de este contenido se puede encontrar en GitHub, donde también puede crear y revisar problemas y solicitudes de incorporación de cambios. Para más información, consulte nuestra guía para colaboradores.
