以下是Google浏览器下载安装包数字签名验证的方法：
1. 通过官网验证签名
- 访问谷歌官方下载页面（ `https://www.google.com/chrome/` ）→点击“下载Chrome”按钮→自动下载带签名的安装包→文件名通常为 `googlechromestandaloneenterprise.exe`。
- 在下载完成后→右键点击安装包→选择“属性”→进入“数字签名”选项卡→确认签名方为“Google Inc.”→状态显示“已验证”。
- 若签名不匹配→删除当前文件→重新从官网下载→避免第三方篡改导致安全问题。
2. 使用命令行工具验证
- 按 `Win+R` 输入 `cmd` →打开命令提示符→定位到安装包所在目录（如 `cd C:\Users\Downloads` ）。
- 输入命令 `signtool verify /v /pa googlechromestandaloneenterprise.exe` →查看输出信息→确认“已签名”且“信任级别”为“高”。
- 若提示错误代码（如0x80096001）→检查系统时间是否正确→更新证书信任根列表（运行 `certutil -syncwithw32time` ）。
3. 检查证书链与有效期
- 双击安装包→在弹出的安全警告中点击“查看证书”→进入“证书”面板→确认颁发机构为“DigiCert SHA2 High Assurance Code Signer CA”。
- 检查证书有效期→确保当前日期在“有效起始”和“有效结束”范围内→过期证书需联系谷歌更新。
- 展开“证书路径”→逐级验证根证书→所有中间证书状态应为“受信任的根权威机构”。
4. 处理签名验证失败问题
- 若提示“未知发布者”→右键安装包→选择“属性”→进入“兼容性”选项卡→勾选“以管理员身份运行此程序”→重新验证。
- 关闭杀毒软件实时防护→部分安全软件可能误报签名→将安装包添加到白名单→完成后重新扫描。
- 使用微软修复工具→下载 `FixIt50471.msi` →安装后运行→自动修复证书信任问题。
5. 手动替换或更新证书
- 在证书详情中→导出当前证书→保存为 `.cer` 文件→访问谷歌证书更新页面（ `https://pki.goog/repository?id=a69f` ）→下载最新证书→替换原文件。
- 使用 `certmgr.msc` 打开证书管理器→删除旧证书→导入新证书→重启电脑后重试验证。
- 在组策略编辑器中（按 `Win+R` 输入 `gpedit.msc` ）→导航到“计算机配置→管理模板→系统→驱动程序安装”→启用“允许安装未签名的驱动程序”→临时绕过签名限制。
6. 对比哈希值确保完整性
- 访问谷歌支持页面→找到对应版本的哈希值（如MD5、SHA1）→使用工具（如CertUtil）计算安装包哈希值→命令： `certutil -hashfile googlechromestandaloneenterprise.exe MD5` →对比结果是否一致。
- 若哈希值不匹配→重新下载安装包→避免文件传输过程中损坏或篡改。
- 在开发者工具中（按 `F12` →“Console”面板）→输入 `await (new Promise(resolve => cu.load())).then(() => console.log('Hash:', cu.hash));` →验证内嵌资源哈希。