随着系统爱好者联盟（以下简称“联盟”）的不断发展，发布和分享的各类工具、驱动程序、系统组件日益增多。为了提升联盟成员及广大用户的使用安全，杜绝因未签名软件或恶意篡改软件引发的系统不稳定、安全漏洞及潜在的法律风险，同时规范和统一联盟内软件的分发标准，特提出本提案。

✅ 启用强制签名后，将确保所有由联盟官方或经联盟认证的成员发布的软件、驱动在Windows平台上的来源可信、内容完整，大幅提升用户信任度和系统兼容性。

本提案适用于所有由联盟官方发布，或由联盟成员开发并申请使用联盟代码签名证书进行签名的以下类型文件：

联盟将建立多层次的签名体系，满足不同级别的签名需求。所有签名的根信任基于 TrustMesh 社区公信基础设施。

（1）根证书提供方：

• TrustMesh CA：由TrustMesh社区运营的公共CA，为联盟提供基础信任锚点。
• 系统爱好者联盟CA：由联盟自行运营的下级CA，用于签发常规代码签名证书。

（2）主要代码签名证书提供方：

• 标准代码签名证书：
  签发CA：TrustMesh Code Signing Certificate Authority CA-2 2026（隶属于TrustMesh G4根）
  申请条件：联盟正式成员可向TrustMesh申请。联盟管理成员邀请或同意者可免费使用，非邀请/同意成员需付费使用。
• 增强型（EV）代码签名证书/驱动签名证书：
  签发CA：TrustMesh High Extended Verification Trusted Root 2026 G6（G6根）
  申请条件：暂不对普通用户开放。必须由TrustMesh核心成员同意，并完成身份验证、签订法律保证书后方可申请。

G4根证书下载：
TrustMesh G4 根证书 (.crt)

联盟CA证书下载：
系统爱好者联盟CA证书 (.crt)

联盟提供官方一键配置工具，方便成员和用户快速部署必要的根证书。

操作步骤：
1. 下载并解压 TrustMesh-2026.zip
2. 右键点击 .bat 文件，选择“以管理员身份运行”
3. 等待脚本执行完成

对于需要使用EV证书签名的驱动或软件，必须手动配置EV证书的策略OID，以启用Windows的增强验证。

配置步骤：
1. 按 Win + R，输入 certlm.msc 并回车，打开本地计算机证书管理。
2. 在左侧导航栏，展开“受信任的根证书颁发机构”，点击“证书”。
3. 在右侧证书列表中找到并右键点击以下根证书：
• TrustMesh Extended Verification Trusted Root 2026 G5
• TrustMesh High Extended Verification Trusted Root 2026 G6
4. 选择“属性” → 切换到“EV OID”页面（或“扩展验证”）。
5. 分别在输入框中添加对应的OID：

6. 点击“确定”保存配置。

• 公示期（即日起 – 2026年3月30日）— 收集成员意见。
• 宣导期（2026年4月1日 – 4月6日）— 发布签名指南与教程。
• 试运行期（2026年4月6日 – 4月10日）— 鼓励测试版本签名并收集反馈。
• 强制执行（2026年4月16日起）— 联盟官方正式版软件全面启用强制签名，未签名版本将不被推荐并显示安全提示。

本提案旨在通过建立统一的软件强制签名体系，从根本上提升联盟软件产品的安全性、可信度和专业形象。所依托的TrustMesh基础设施已具备完善的技术方案和管理流程。

请联盟管理委员会审议本提案。