代码签名证书在我们日常工作中使用已经越来越多，尤其是在IT行业，许多科技公司研发和发布产品都离不开代码签名证书。由于不断的涌现新的CA公司，还有许多CA公司刚刚进入中国地区。代码签名证书的品牌也变的五花八门，今天我根据多年从事数字签名工作的经验来谈一下怎么样选择一个适合自己使用的代码签名证书。

• 根据用途来选择证书

我们首先得确认我们申请代码签名证书用来做什么？

如果您是用于确立软件发行者的身份，签名win10以下版本的驱动程序，哪选标准代码签名证书就足够用。

如果您是用于做WHQL认证，哪就必须选择EV代码签名证书才能满足需求。

如果您是要签名Sun J2SE/J2EE 的 Java Applet 文件，J2ME MIDlet Suite 文件哪需要选择JAVA代码签名证书。

另外，现在还有针对PDF文件签名的签名证书，总之根据用途来选择自己需要的证书。

• 该选择哪些品牌的代码签名证书

目前国内代码签名证书的品牌种类繁多，我们应该选择什么样的品牌合适呢？ 一般来说最好选择较早的且受微软，谷歌，苹果公司信任的品牌为好。为什么呢？ 原因是这些老品牌不但可以在新版本的操作系统中被信任，还能在较为旧的版本操作系统中被信任。一些新品牌的CA公司发行的代码签名证书往往在旧版本操作系统如Windows XP, vista, win7系统上没有根证书，签名也就无法被信任。

哪如今可以选择的品牌具本有哪些呢？

当首的还是Symantec， 他的前身是Verisign，是最早发行代码签名证书且受所有大公司信任。虽然有传闻Symantec证书不被信任，哪是针对SSL证书的而言的，并不影响其代码签名证书的功能。

如果您觉得Symantec的代码签名证书成本较高。哪也可以选择稍为更知名的其他品牌如Digicet, Entrust, Globalsign, Geotrust, thawte这些品牌。

如果觉需要做WHQL认证，哪只能选择微软指定的Symantec, Digicert, Entrust, Globalsign四个品牌的EV证书。

• 代码签名证书使用应该注意哪些问题

首先考虑安全的问题。代码签名证书的权限非常高，它在某些意义上是代表一个公司的身份，因此，代码签名证书一旦泄露了后果不堪设想，盗用者可能用它签署病毒，外挂，流氓软件等给公司带来不良影响。

避免代码签名证书泄露可以参考如下几条建议：

• 代码签名证书与密码分开存放，这样即便证书被盗也有密码保护。
• 尽可能的减少代码签名证书使用的人员，比如一个公司内只限专门两个人可以使用证书，这样可以大大减小泄露出去的可能性。
• 如果条件允许，尽可能的采用EV代码签名证书。EV证书因为有Token硬件的限制，不像标准代码签名证书哪样容易传送，也就减少了被泄露出去的可能性。

其次，是方便使用的问题。有些公司规模较大各部门分布在不同的地区。如果是这种情况能使用标准代码签名证书的就尽能不用EV证书，因为Token来回寄会比较麻烦。如果一定要用EV证书可能就需要申请多个Token方便使用。

再次，是要选择有责任心的代理商购买代码签名证书。没有责任心的代理商往往不会妥善保管客户的代码签名证书，因代理商原因泄露证书的事件常有发生。应该十分谨慎代理商的选择。

还有就是尽可能选择对数字签名技术熟悉，有使用经验的代理商申请。有些代理商只顾卖证书而对于证书使用完全没有经验，当您遇到问题时无法很好的给予支持。