Microsoft UI XAML 项目中时间戳签名问题的分析与解决

问题背景

在 Windows 应用开发过程中，开发者经常需要为应用程序包(MSIX)添加数字签名和时间戳。时间戳服务对于确保签名的长期有效性至关重要，即使证书过期后，带有有效时间戳的签名仍然会被视为有效。

问题现象

开发者在 Visual Studio 2022 (版本 17.7.3)中使用 .NET MAUI Blazor 模板创建项目时发现，虽然在发布设置中指定了时间戳服务器(如 http://timestamp.digicert.com)和 SHA256 签名算法，但生成的 MSIX 文件仅被签名而未添加时间戳。

技术分析

经过深入调查，发现这个问题与 Windows App SDK 的构建目标有关：

1. 在传统的 UWP 和 Wapproj 项目中，Visual Studio 会正确使用两个 MSBuild 属性：

   • AppxPackageSigningTimestampServerUrl - 时间戳服务器 URL
   • AppxPackageSigningTimestampDigestAlgorithm - 时间戳摘要算法

2. 但在 Windows App SDK 项目中，构建目标忽略了这些设置，导致时间戳功能无法正常工作。

解决方案

微软团队已经在 Windows App SDK 1.6 版本中修复了这个问题。开发者可以采取以下步骤确保时间戳功能正常工作：

1. 升级到 Windows App SDK 1.6 或更高版本
2. 在项目属性中确认以下设置：
   • 签名证书选择正确
   • 时间戳服务器 URL 已填写
   • 签名算法设置为 SHA256

验证方法

开发者可以通过以下方式验证时间戳是否已正确添加：

1. 右键点击生成的 MSIX 文件
2. 选择"属性"
3. 查看"数字签名"选项卡
4. 选择签名并点击"详细信息"
5. 确认时间戳信息显示正常

最佳实践

为确保应用签名的长期有效性，建议开发者：

1. 始终使用受信任的时间戳服务
2. 定期检查签名和时间戳的有效性
3. 保持开发环境更新到最新稳定版本
4. 在发布前验证签名包的所有属性

总结

这个问题的解决体现了微软对开发者体验的持续改进。通过 Windows App SDK 1.6 版本的更新，开发者现在可以像传统 UWP 项目一样方便地为应用包添加时间戳签名，确保应用在证书过期后仍能保持有效签名状态。