Microsoft Storeを通じてアプリを MSIX パッケージとして発行すると、コード署名は無料で自動的に処理されます。Microsoft認定後にパッケージに再署名するため、証明書を購入または管理する必要はありません。 ストアを通じて MSI/EXE インストーラー として発行する場合は、提出前にインストーラーに Authenticode 署名を行う必要があります。 この記事のその他のすべては、Microsoft Store 外で配布されるアプリに適用されます。
一目で見た比較
| オプション | Cost | 在庫状況 | SmartScreen の動作 | 対象となるストア | 最適な用途 |
|---|---|---|---|---|---|
| Microsoft Store (MSIX) — パッケージを再署名します | Free | 世界中 | ✅ 警告なし | ✅ はい | ほとんどの新しいアプリに推奨 |
| Microsoft Store (MSI/EXE インストーラー) — パブリッシャーは署名する必要があります | 信頼されたルート プログラム CA への証明書チェーンが必要です (CA によって異なります) | 世界中 | ✅ ストアのインストール中に SmartScreen プロンプトが表示されない (UAC が表示される場合があります) | ✅ はい | MSI/EXE インストーラー パス経由で送信する既存の Win32 アプリ |
| Azure 成果物署名 (以前の信頼された署名) | ~$9.99/月 | 組織: 米国、カナダ、EU、英国。 個人: 米国とカナダのみ | ⚠️ 評判は時間の経過と同時に構築されます。最初の警告が必要です | ❌ いいえ | ストア以外の配布に推奨 |
| OV 証明書 (DigiCert、Sectigo などの CA から) | $150 – 300/年 | 世界中 | ❌ いいえ | Azure成果物署名を使用できない開発者、または従来の CA を好む開発者 | |
| EV 証明書 | 400ドル以上/年 | 世界中 | ⚠️2024年から、OVと同じになります。つまり、もはや迅速バイパスではありません。 | ❌ いいえ | SmartScreen バイパスに特に推奨されなくなりました |
| 自己署名証明書 | Free | — | ❌ パブリック ユーザーのインストールをブロックする | ❌ いいえ | 開発/テストのみ、またはマネージド証明書信頼を持つ企業 |
| 署名なし | Free | — | ❌ 強力な SmartScreen ブロック。企業は完全にブロックする可能性があります | ❌ いいえ | パブリック配布には推奨されません |
Microsoft Store — MSIX 申請: 署名は必要ありません
MSIX パッケージをMicrosoft Store経由で発行することは、ほとんどのWindows アプリに推奨される配布パスです。 Microsoft自動的にパッケージに再署名されます。つまり、ユーザーに SmartScreen の警告が表示されることは決してなく、証明書を購入したり更新したりする必要はありません。
注
Win32 MSI または EXE インストーラーを (MSIX パッケージではなく) ストアに提出する場合、Microsoftはインストーラーに再署名しません。 インストーラーとその PE ファイルは、Microsoft Trusted Root Program の CA にチェーンされている証明書で署名する必要があります。自己署名証明書は受け入れまれません。 MSI/EXE のアプリ パッケージの要件を参照してください。
storedeveloper.microsoft.com で無料の開発者アカウントを作成します。 登録後、 パートナー センター を使用してアプリを送信し、その一覧を管理します。
→
Azure成果物署名 (以前の信頼された署名) - ストア以外の配布に推奨
Azure Artifact Signing (旧称 Trusted Signing) は、ストアの外部でアプリを配布する開発者に推奨されるコード署名サービスMicrosoftです。
キーの詳細:
- コスト: 約 $9.99/月 — 従来の OV または EV 証明書よりも大幅に少ない
- Identity validation: Microsoft は、証明書を発行する前に組織または個々の ID を検証します。検証のために数営業日計画します
- ハードウェア トークンは必要ありません: 署名は CI/CD パイプライン (GitHub Actions、Azure DevOps など) と直接統合されます。物理 USB トークンは必要ありません
- SmartScreen の動作: OV 証明書と同じ評判構築モデル — 新しいファイルには、十分なダウンロード履歴が蓄積されるまで SmartScreen 警告が表示されます。 Azure成果物の署名は、インスタント SmartScreen の信頼を提供しません。
Important
Geographic limitation: Azure Artifact Signing は、米国、カナダ、欧州連合、英国の組織で利用できます。 個々の開発者は現在、米国とカナダに限定されています。 これらのリージョン以外の個々の開発者は、以下の OV 証明書 を参照してください。
→ Azure Artifact Signing のドキュメント
SignTool を使用して MSIX パッケージに署名する→
OV 証明書 — 従来の CA オプション
DigiCert、Sectigo、GlobalSign などの証明機関 (CA) からの組織検証済み (OV) 証明書は、コード署名の確立されたオプションです。 これらは、次の場合に適切な選択肢です。
- お客様は、米国、カナダ、EU、または英国 (組織)以外に所在します。または米国またはカナダ以外 (個々の開発者) で、Azureアーティファクト署名を使用することはできません
- 組織が特定の CA と既に関係を持っている
- 企業のお客様には、特定の CA からの証明書が必要です
キーの詳細:
- コスト: 通常、CA と証明書レベルに応じて $150 ~ 300/年
- ID 検証: CA は、証明書を発行する前に組織の法的 ID を検証します。複数の営業日を許可する
- HSM の要件: 2023 年 6 月の時点で、CA/Browser フォーラムでは、OV 証明書の秘密キーをハードウェア セキュリティ モジュール (HSM) またはハードウェア トークンに格納する必要があります。 ほとんどの CA には、互換性のある USB トークンまたはクラウド HSM オプションが用意されています。
- SmartScreen behavior: Azure Artifact Signing と同等 — 時間の経過と共にファイル ハッシュごとに評判が蓄積されます。 新しいファイルに対して SmartScreen のプロンプトが表示されることを予期してください。
OV 証明書は実証済みのオプションであり、SmartScreen のAzure成果物署名と機能的に同等です。 米国またはカナダ (または EU または英国の組織) にいる場合は、通常、Azureアーティファクト署名の方がコスト効率が高く、自動化されたビルド パイプラインとよりスムーズに統合されます。
EV 証明書 - SmartScreen では推奨されなくなりました
拡張検証 (EV) 証明書は、最初のダウンロード時に SmartScreen を完全にバイパスしていたため、評判のない新しいアプリの go-to の選択肢となりました。 この動作は 2024 年に削除されました。 EV 署名されたファイルは、OV 証明書と同じ評判構築プロセスを経るようになりました。
これは次のことを意味します。
- EV 証明書を既に持っている場合は、引き続き有効であり、署名に機能します。有効期限が切れるまで使用し続けます
- EV 証明書では、引き続きより厳密な ID 検証が必要です。これは、エンタープライズ調達やその他の信頼コンテキストに関係する可能性があります
- SmartScreen の警告を回避するためだけに EV Premium ($400+/年) を支払うことは 、正当化されなくなりました 。OV 証明書の場合と同じ警告が引き続き表示されます
→評判の構築方法とユーザーに表示される内容の詳細については、開発者向けの SmartScreen の評判
自己署名証明書 - 開発とテストのみ
自己署名証明書は既定ではWindowsによって信頼されず、信頼されたルートとして証明書を手動でインストールしていないユーザーに対して強力な SmartScreen ブロックがトリガーされます。 これにより、自己署名証明書はパブリック配布に適さない状態になります。
適切な用途:
- ローカルの開発とテスト - コンピューターを制御し、証明書を手動でインストールできます
- エンタープライズ内部配布 — IT 部門は、Intune またはグループ ポリシーを使用して証明書を信頼されたルートとして展開し、管理対象デバイスがアプリをサイレント インストールできるようにします
SignTool を使用して MSIX パッケージに署名する→
オープン ソース: SignPath Foundation
プロジェクトがオープンソースの場合、SignPath Foundation は、対象となるオープンソース プロジェクトの無料コード署名を提供します。 プログラムは、マネージド パイプラインを介して OV レベルの証明書署名を提供します。 資格要件とアプリケーション プロセスについては、SignPath Foundation Web サイトを確認してください。
関連するコンテンツ
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
Windows developer