判断代码签名证书的有效性需通过系统工具验证签名状态、证书链完整性及时间戳合规性，以下是详细操作指南：

🔍 ‌一、基础有效性验证（用户侧）‌

文件属性检查‌

右键点击软件文件 → 选择 ‌“属性”‌ → 查看 ‌“数字签名”‌ 标签页：
✅ ‌有效签名‌：显示“此数字签名正常”及企业名称；
⚠️ ‌风险提示‌：若显示“未知发布者”或“证书已吊销”，需进一步排查。

证书详情核验‌

点击签名列表中的证书 → ‌“查看证书”‌：
有效期‌：确保证书未过期（当前日期在有效期内）；
颁发机构‌：检查是否为DigiCert等受信任CA；
用途‌：必须包含 ‌“代码签名（Code Signing）”‌ 标识。
⚠️ ‌二、深度安全验证（开发者/运维侧）‌

证书链完整性‌

在证书详情页 → ‌“证书路径”‌ 标签页：
验证根证书→中间CA→终端证书三层链完整；
每一级状态需显示 ‌“该证书正常”‌ 。

吊销状态检查‌

在线验证（OCSP）‌：实时查询证书是否被CA吊销；
离线验证（CRL）‌：下载证书吊销列表检查（企业内网适用）。

时间戳合规性‌

点击签名详情 → ‌“时间戳”‌ 信息：
✅ 有效时间戳：显示 ‌RFC 3161协议‌ 的签名时间；
❌ 无时间戳：证书过期后签名失效，导致软件无法运行。
⚡️ ‌三、特殊场景处理‌

系统误报处理‌

若提示“证书不受信任”：进入系统证书管理（mmc命令）→ 删除 ‌“不受信任的证书”‌ 列表中的误判条目。

驱动签名验证‌

内核驱动文件（.sys）‌：
必须使用 ‌EV证书签名‌，否则Windows 11/10会拦截加载；
需通过微软HLK测试，并在签名详情显示 ‌WHQL兼容性标识‌ 。

旧系统兼容措施‌

Windows 7/2008系统‌：确认设备已安装 ‌SHA-2补丁‌（KB3033929），否则无法加载已签名驱动。
mermaid
Copy Code
graph LR
A[验证步骤] –> B[文件属性检查]
A –> C[证书链完整性]
A –> D[吊销状态查询]
A –> E[时间戳合规性]
B –> F{显示有效签名？}
F –>|是| G[基础验证通过]
F –>|否| H[进入深度验证]
H –> C
H –> D
H –> E

关键提示‌：2025年6月起，代码签名证书最长有效期缩短至460天，续期时需确保证书符合新规。已签名软件若含有效时间戳，证书过期后仍可正常运行。