1. 获取官方签名信息：访问[https://www.google.com/chrome/](https://www.google.com/chrome/)下载页面，找到对应版本号（如`Version 123.0.6312.59`），在地址栏补充`/hashes`（例如`https://www.google.com/chrome/hashes`）查看SHA256、MD5等哈希值。企业用户可通过[https://chrome-platform-analytics.googleplex.com/](https://chrome-platform-analytics.googleplex.com/)查询历史版本的签名数据。
2. 使用命令行工具验证文件：将下载的安装包（如`GoogleChrome.exe`）移动到纯英文路径（如`D:\Chrome`）。按`Win+R`输入`cmd`打开命令提示符，执行bash certutil -verify "D:\Chrome\GoogleChrome.exe" ，若提示“签名验证成功”，则文件未被篡改。若失败，可对比官网提供的哈希值（bash certutil -hashfile "D:\Chrome\GoogleChrome.exe" SHA256 ）。
3. 检查证书吊销状态：右键点击安装包，选择“属性”→“数字签名”→双击谷歌的签名条目，点击“详细信息”→“查看证书”。在“常规”选项卡中勾选“检查证书吊销”，确认Windows自动连接至微软CRL服务器（如`http://crl.microsoft.com/pki/crl/products/CodeVerifiCtl.crl`）。企业内网需配置代理或手动下载CRL文件到本地（路径：`C:\Windows\System32\CertSrv\CertEnroll\`）。
4. 解决企业网络下的验证异常：若提示“无法连接到OCSP服务器”，在组策略中禁用在线验证：计算机配置→管理模板→系统→设备安装→驱动程序安装→启用“不检查驱动程序的数字签名”。通过脚本手动信任根证书（powershell Add-TrustedPublisher -Name "Google Inc." ），并将安装包托管至内网服务器（如`\\corp\software\GoogleChrome.exe`），使用相对路径验证（bash certutil -verify "\\corp\software\GoogleChrome.exe" ）。
5. 批量部署时的自动化校验方案：IT管理员编写PowerShell脚本检测签名：powershell $FilePath = "C:\Deploy\GoogleChrome.exe" $Signature = Get-AuthenticodeSignature -FilePath $FilePath if ($Signature.Status -ne "Valid") { Remove-Item $FilePath Write-Host "文件签名无效" } 结合任务计划程序（Task Scheduler）定期执行，并通过WSUS或SCCM分发系统推送已验证的安装包，确保终端设备获取的版本与微软Catalog证书库匹配。