公司只允许装签名应用 给察元AI打企业内部分发包公司规定终端只能装数字签名过的应用第三方安装包必须经过 IT 审批。这种环境下要把察元AI 桌面单机版铺到几十台电脑上最稳的做法是用公司证书重签一份内部分发包。这一篇把流程讲清楚。先理解下数字签名做什么。Windows 上有 Authenticode 签名机制msi 和 exe 上贴一个证书让系统在执行前能验证发布者身份。macOS 上有 codesign 加 notarization 双层。Linux 上传统不强制签名但 deb 和 rpm 都支持 GPG 签名做完整性校验。免费开源的AI软件 的发行包通常已经签过开源开发者证书但很多企业有自家的根证书要求要重新签。Windows 上重签 msi 的步骤。先拿到原始 chayuan-desktop_x.y.z_x64.msi再准备公司的代码签名证书 pfx 文件。命令行用 signtool sign /f company.pfx /p PASSWORD /tr http://timestamp.digicert.com /td sha256 /fd sha256 chayuan-desktop_x.y.z_x64.msi。完成后 signtool verify /pa /v chayuan-desktop_x.y.z_x64.msi 检查签名链。签名只是 msi 这一层。msi 内部的 chayuan-server.exe sidecar 也需要单独签。一种做法是先用 lessmsi 解开 msi对 chayuan-server.exe 单独签再用 wixsharp 或者 wix toolset 重打包。另一种做法是用 signtool sign 直接对 msi 嵌入文件签但这种方式覆盖面有限。我推荐解包重打的方式控制更精细。签好之后给企业内部 SCCM 或者 Intune 分发系统分发。终端用户安装时不会再弹 SmartScreen 警告因为公司证书已经在终端的根证书库里。这种部署在大公司里是标准做法。macOS 上重签复杂一些。需要公司的开发者 ID Application 证书命令行 codesign --force --deep --sign “Developer ID Application: 公司名 (TeamID)” /Applications/察元AI.app。签完之后还要送到 Apple 公证服务做扫描xcrun notarytool submit 提交等公证完成 stapler staple 把公证票钉在 .app 上。整个公证流程通常要十几分钟。这一步对企业部署在 Mac 设备上的察元AI 桌面单机版是必须的。Linux 上 deb 和 rpm 的签名相对简单。dpkg-sig --sign builder chayuan-desktop_x.y.z_amd64.deb 用公司 GPG 私钥签名分发到内部 apt 源。终端机器导入公司公钥之后安装时 apt 会自动验证。签名之外还有几件事要做。一是替换品牌。chayuan-desktop 的品牌标识保留要求是 AGPL-3.0 之外的额外约束不能未授权改品牌。如果你只是企业内部分发不改品牌没问题如果你要做白标版本需要走商业授权。这件事在 README 里写得很清楚。二是定制化配置。企业部署时通常要预置一些配置比如默认的模型供应商地址、内网知识库源、预设的 Prompt 模板。chayuan-desktop 支持启动时读 CHAYUAN_ROOT/config/preset.json 这种预设文件把它打进分发包一并签名分发。这样终端用户开包即用不需要自己配模型钥匙。三是首启动跳过。FirstRunSetup 默认每个新装的实例都要走一遍。企业部署可以预置 firstrun.json 文件让向导直接跳过。这一步配合预置配置可以让员工开机即用。四是更新通道。企业内部分发的察元AI 不应该走公网更新源要让它检查公司内部的更新服务。chayuan-desktop 支持把更新服务地址改成内网 URL这一步在打包时就要配好。WPS AI 插件 chayuan-wps 同样需要企业签名才能在公司管控的 WPS Office 上加载。加载项的 dll 要用公司证书签部署到 WPS 加载项目录。两者一并签名分发员工才能完整使用 chayuan-desktop 加 chayuan-wps 的组合。整套企业内部签名分发流程跑顺需要 IT、安全、采购协同。一份免费开源的AI软件 在企业里落地的关键不是技术而是分发通道和签名链。技术那一面 chayuan-desktop 已经做好准备剩下的事归 IT。