一、免费/低成本合规签名方式 #

1. 自签名证书（适配小范围分发） #

你已尝试用signtool.exe搭配自签名证书签名，可通过引导用户手动信任证书降低警告：

• 让用户将自签名证书导入系统「受信任的根证书颁发机构」存储区：双击证书文件 → 安装证书 → 选择「本地计算机」→ 按向导将证书放入对应存储区。
• 局限性：仅适合内部团队、小范围用户，无法通过微软SmartScreen信任校验，系统级“文件可能有害”警告无法完全消除。

2. 开源项目专属免费签名服务 #

若你的WPF项目为开源（托管在GitHub、GitLab等平台），可申请这类免费服务：

• 部分开源代码签名平台为公开开源项目提供免费签名额度，签名后的文件会被主流系统和杀毒软件信任。
• 部分CA机构面向开源开发者提供免费代码签名证书，需验证开发者身份与项目开源状态。

3. 低成本付费证书 #

预算有限时，可选择小型CA机构的入门级代码签名证书，年费通常在几十美元区间，这类证书合规且能被系统信任，足以解决SmartScreen和多数杀毒软件的警告问题，适合个人开发者或小团队。

二、分发优化策略（减少警告触发） #

• 压缩包封装：将MSI打包为ZIP/RAR压缩包，内部分发场景可添加解压密码，部分杀毒软件对压缩包的实时检测更宽松，降低文件被直接拦截的概率。
• 企业组策略配置：面向企业内部用户时，通过组策略将签名证书统一加入企业信任列表，所有内部设备会自动信任该证书，不再弹出警告。
• Microsoft Store上架：若应用符合微软上架规范，提交至Microsoft Store后，用户从商店下载的安装包不会触发安全警告，上架费用较低，适合大众分发场景。
• 提供哈希验证：分发时同步提供MSI文件的SHA256哈希值，指导用户通过certutil -hashfile <MSI文件路径> SHA256命令验证文件完整性，向用户证明文件未被篡改，降低顾虑。

内容的提问来源于stack exchange，提问作者MANSI