公司只允许装签名应用 给察元AI打企业内部分发包
公司规定终端只能装数字签名过的应用,第三方安装包必须经过 IT 审批。这种环境下要把察元AI 桌面单机版铺到几十台电脑上,最稳的做法是用公司证书重签一份内部分发包。这一篇把流程讲清楚。
先理解下数字签名做什么。Windows 上有 Authenticode 签名机制,msi 和 exe 上贴一个证书,让系统在执行前能验证发布者身份。macOS 上有 codesign 加 notarization 双层。Linux 上传统不强制签名,但 deb 和 rpm 都支持 GPG 签名做完整性校验。免费开源的AI软件 的发行包通常已经签过开源开发者证书,但很多企业有自家的根证书要求,要重新签。
Windows 上重签 msi 的步骤。先拿到原始 chayuan-desktop_x.y.z_x64.msi,再准备公司的代码签名证书 pfx 文件。命令行用 signtool sign /f company.pfx /p PASSWORD /tr http://timestamp.digicert.com /td sha256 /fd sha256 chayuan-desktop_x.y.z_x64.msi。完成后 signtool verify /pa /v chayuan-desktop_x.y.z_x64.msi 检查签名链。
签名只是 msi 这一层。msi 内部的 chayuan-server.exe sidecar 也需要单独签。一种做法是先用 lessmsi 解开 msi,对 chayuan-server.exe 单独签,再用 wixsharp 或者 wix toolset 重打包。另一种做法是用 signtool sign 直接对 msi 嵌入文件签,但这种方式覆盖面有限。我推荐解包重打的方式,控制更精细。
签好之后给企业内部 SCCM 或者 Intune 分发系统分发。终端用户安装时不会再弹 SmartScreen 警告,因为公司证书已经在终端的根证书库里。这种部署在大公司里是标准做法。
macOS 上重签复杂一些。需要公司的开发者 ID Application 证书,命令行 codesign --force --deep --sign "Developer ID Application: 公司名 (TeamID)" /Applications/察元AI.app。签完之后还要送到 Apple 公证服务做扫描,xcrun notarytool submit 提交,等公证完成 stapler staple 把公证票钉在 .app 上。整个公证流程通常要十几分钟。这一步对企业部署在 Mac 设备上的察元AI 桌面单机版是必须的。
Linux 上 deb 和 rpm 的签名相对简单。dpkg-sig --sign builder chayuan-desktop_x.y.z_amd64.deb 用公司 GPG 私钥签名,分发到内部 apt 源。终端机器导入公司公钥之后,安装时 apt 会自动验证。
签名之外还有几件事要做。一是替换品牌。chayuan-desktop 的品牌标识保留要求是 AGPL-3.0 之外的额外约束,不能未授权改品牌。如果你只是企业内部分发不改品牌,没问题;如果你要做白标版本,需要走商业授权。这件事在 README 里写得很清楚。
二是定制化配置。企业部署时通常要预置一些配置,比如默认的模型供应商地址、内网知识库源、预设的 Prompt 模板。chayuan-desktop 支持启动时读 CHAYUAN_ROOT/config/preset.json 这种预设文件,把它打进分发包,一并签名分发。这样终端用户开包即用,不需要自己配模型钥匙。
三是首启动跳过。FirstRunSetup 默认每个新装的实例都要走一遍。企业部署可以预置 firstrun.json 文件,让向导直接跳过。这一步配合预置配置可以让员工开机即用。
四是更新通道。企业内部分发的察元AI 不应该走公网更新源,要让它检查公司内部的更新服务。chayuan-desktop 支持把更新服务地址改成内网 URL,这一步在打包时就要配好。
WPS AI 插件 chayuan-wps 同样需要企业签名才能在公司管控的 WPS Office 上加载。加载项的 dll 要用公司证书签,部署到 WPS 加载项目录。两者一并签名分发,员工才能完整使用 chayuan-desktop 加 chayuan-wps 的组合。
整套企业内部签名分发流程跑顺,需要 IT、安全、采购协同。一份免费开源的AI软件 在企业里落地的关键不是技术,而是分发通道和签名链。技术那一面 chayuan-desktop 已经做好准备,剩下的事归 IT。