Hi,

ich habe mir ein Code-Signing-cerficate über KSoftware vom Comodo ausstellen lassen.
Das habe ich heute über die Webseite von Comodo installiert bekommen.

Dazu hätte ich noch ein paar Fragen, bei deren Beantwortung ihr mir vielleicht helfen könnt:

1. Was muss ich aus meinem Zertifkatsspeicher alles sichern, damit ich im Falle eine Totalcrash des Rechners/Windows und einer Neuinstallation das Zertikat vollständig wieder herstellen kann?
Bei der Installation des Zertifikats von Comodo hieß es, ich muss das unbedingt auf dem Rechner machen, von dem aus ich das Zertifikat beantragt habe.
Reicht es aus, das Zertifikat über die mmc zu exportieren? Muss ich das Comodo-Zertifikat auch noch exportieren?

2. Wenn ich damit per KSign von KSoftware eine Anwendung signieren möchte, dann verwende ich das exportierte Zertikat (.pfx)? Oder muss ich damit erst noch was machen. Nicht dass dann jemand aus der Anwendung das Zertifikat extrahieren kann. (Ich muss zugeben, dass ich von dem ganzen Zertifizierungsgedöns sehr wenig Ahnung habe, und recht unsicher unterwegs bin).

3. Der einzige Unterschied, der mir zwischen der nicht zertifierten und der zertifizierten Anwendung auffällt ist, dass das Hinweisfenster (welches kommt, wenn die Anwendung mit Adminrechten ausgeführt wird) eine andere Farbe hat. Klar steht jetzt noch mein Name drin, aber wer liest das denn wirklich. Gibt es noch andere Auswirkungen, die ich bisher noch nicht bemerkt habe (z.B. bei der Ausführung auf einem Server vielleicht)?

4. Beim Hinweisfenster, das beim Starten kommt, kann ich mir das Zertifikat anschauen. Mehr nicht. Wenn ich mir aber die Eigenschaften der EXE anschaue, dann kann ich das Zertifikat installieren. Welchen Sinn macht das, bzw. wenn das ein Anwender macht, hat er dann mein Zertifikat, oder vertraut er dann generell meinen zertifizierten Anwendungen?

5. Mach es Sinn auch eine Serviceanwendung zu zertifizieren? (Mal abgesehen davon, dass er Anwender sich das über die Eigenschaften der EXE anschauen kann).

Danke für eure Erleuchtung

Auf jeden Fall den privaten Schlüssel.

Eine Signatur funktioniert mit public/private Key Verfahren. Die Signatur enthält nicht den privaten Schlüssel.

Ja, man kann Windows dazu bringen, dass nur signiert Software ausgeführt wird. Treiber müssen sogar signiert sein. Wenn du ein Verisign Zert hättest, dann könntest du noch das Windows Error Reporting nutzen.
Jedes Binary sollte signiert sein, alle DLLs und alle EXEn.


Hast du nicht gefragt aber:
6. verwende IMMER einen Timestampserver bei der Signierung.

2. Ich kenne ksign nicht, aber signtool kann man angeben, dass es das entweder aus dem Certificate Store (per Hash oder Teil des Namens) oder aus einer Datei (deine pfx) nimmt. Muss also nicht die exportierte Datei sein, die würde ich aus Sicherheitsgründen "wegschließen" (TrueCrypt-Archiv auf Backupmedium o.ä.), selbst wenn sie auch passwortgeschützt ist.

3. Diverse Microsoft-Abkommen schreiben eine Signierung vor. Treiber müssen inzwischen nicht nur signiert, sondern auf SecureBoot-Systemen sogar von MS co-signiert sein.

Ich lese das übrigens Und ich kenne von unseren Anwendern, dass die auch viel Wert darauf legen, haben wir direkt gemerkt, als Updates einmal ungeschickt signiert waren.