署名を行ったActiveXでもアドオン管理メニューでは（未確認の発行元）とされてしまう

Question

コードサイニング証明書を購入しActiveX（cabファイル実態はocx）をコマンドプロンプトから

signtool signwizardを立ち上げウィザードに従って署名をしました。

署名が済んだcabファイルの プロパティを見ると 「このデジタル署名は問題ありません」 と表示され

実際のブラウザ上の動きでもインストール時には発行元に私が『任意で指定した名前』が正常に表示され

動作も特に問題はありません。 

しかしながらIEのアドオン管理メニューからインストールされた当アドオンを 確認すると

発行元の欄に（未確認の発行元）と私が『任意で指定した名前』の先頭に付いてしまいます。
これは何故なのでしょうか？？ ウィザードにしたがって署名を行っただけなのですが

署名の方法に何か漏れでもあるのでしょうか？アドバイス頂けると幸いです。

ちなみに使用した signtool.exe のバージョンはプロパティを見ると 6.0.4002.0 です。

よろしくお願いいたします。

Answer 1

チャブーンです。

門外漢の部分もありますが、一応。

この件ですが、コードサインニング証明書の「ルート証明書」のWindowsへの登録はどうなっているのでしょうか？

表示の内容から、「証明書の発行機関の正当性」を確認するためのルート証明書確認がうまくいっていない気がします。verisign等大手の証明書ベンダーのルート証明書は、Windowsに最初から組み込まれているため、こういった問題は起こりませんが、そうでないベンダーの場合、ルート証明書(インターネットから普通はダウンロードできるはずですが)を入手のうえ、[信頼されたルート証明書]ストアにインポートする必要があります。

---

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

Answer 2

チャブーン様

ご教示の程ありがとうございます。

証明書購入先はGMOグローバルサイン社になるのですが

一応、crtmgr から[信頼されたルート証明書]を確認しましたところ

グローバルサイン社らしき証明書があるのでこちらは問題は無いかと思っております。

Answer 3

念のため。
署名されているのは ocx 自体もでしょうか？

Answer 4

Azulean 様

まさにそれが原因でした。。

よくよく構造と仕組みを考えると当然のことですね。。

大変お手数をおかけしました。

ありがとうございました。