数字签名和外部 Cabinet 文件

Windows Installer 可使用数字签名来检测已损坏资源。 安装外部资源时，可根据包中创作的参考签名者证书来验证属于该资源的签名者证书。 安装程序无法验证内部 cabinet 的签名。 它只能使用 MsiDigitalSignature 表和 MsiDigitalCertificate 表来验证数字签名。

在安装存储在外部 cabinet 中的文件时，Windows Installer 执行以下操作：

• 安装程序会检查该外部 cabinet 的介质条目是否在 MsiDigitalSignature 表中列出。 存储在外部 cabinet 中的文件是通过其在 Media 表的 Cabinet 列中有一个不带“#”字符前缀的条目来标识的。
• 在打开外部 external 之前，安装程序会调用 WinVerifyTrust 来提取当前证书和哈希信息。 如果 cabinet 上的当前签名信息与包中创作的签名信息不匹配，则安装将失败。 安装失败的原因是 cabinet 可能已被入侵，无法信任。

有关使用数字签名、数字证书和 WinVerifyTrust 的详细信息，请参阅 Microsoft Windows 软件开发工具包 (SDK) 的安全性部分。

有关详细信息，请参阅 MsiGetFileSignatureInformation、MsiDigitalCertificate 表和 MsiDigitalSignature 表。