 |
 |
 |
 |
 |
|
Antwort
|
|
Registriert seit: 30. Mai 2002
Selbst Code signieren
Das ist die absolute Kurzfassung für diejenigen, die mal eben mit digitalen Signaturen herumspielen möchten. In diesem Beispiel wird ein eigenes digitales Zertifikat erzeugt und dann lokal auf dem Rechner installiert. Warum selbst signieren? Wird eine nicht signierte Anwendung unter Vista als Administrator ausgeführt, so erscheint das Fenster der Benutzerkonten-Steuerung in recht hässlicher Art und Weise:  Eine digital signierte Anwendung lässt dieses Fenster schon etwas angenehmer ausschauen:  Im professionellen Einsatz wird man um den Erwerb eines Zertifikates nicht umhin kommen, doch für erste Gehversuche auf dem lokalen Rechner kann diese „Spar-Variante“ ausreichen. Kleiner Bonus am Rande: Man kann hiermit auch Treiber signieren und damit zum Beispiel die Vista-Varianten zufriedenstellen, die auf digital signierte Treiber bestehen. Eine weitere Einsatzmöglichkeit für dieses Zertifikat wäre das digitale Signieren einer Anwendung, die nur haus-intern eingesetzt wird, wo der Erwerb eines Zertifikates also nicht zwingend notwendig wäre. Mit den folgenden zwei Befehlen wird ein Minimal-Zertifikat erstellt und auf dem lokalen Rechner installiert. In meinem Beispiel wird das Zertifikat in der Datei „d:\my_certificate.cer“ gesichert, diesen Pfad müsst Ihr ggf. an Euer System anpassen. Für die Installation des Zertifikates in Schritt #2 werden administrative Rechte benötigt. Die beiden verwendeten Werkzeuge „makecert“ und „signtool“ sind Bestandteile des .NET SDK von Microsoft und finden sich im .\BIN-Verzeichnis der .NET-SDK-Installation. 1) Zertifikat erzeugen:
Code:
2) Das frisch erzeugte Zertifikat In den Speicher vertrauenswürdiger Stammzertifizierungsstellen installieren:
makecert.exe -$ individual -r -pe -ss "DP Certificate Store" -n CN="DP Signierung" "d:\my_certificate.cer"
Code:
Nun können wir dieses Zertifikat auf unserem lokalen Rechner nutzen. Soll das Zertifikat auch auf anderen Rechnern genutzt werden, so muss die Zertifikatsdatei auf den anderen Rechner kopiert werden und danach der Schritt #2 auf diesem Rechner ausgeführt werden (ebenfalls mit Admin-Rechten).
certmgr.exe /add "d:\my_certificate.cer " /s /r localMachine root
3) Eine Datei mit dem neuen Zertifikat digital signieren:
Code:
4) Die Signatur der Datei verifizieren:
signtool.exe sign /v /s "DP Certificate Store" /n " DP Signierung " {DATEINAME}
Code:
Das als Mini-Einführung. Als weitere Referenz seien die Dokumentationen der beiden genutzten Werkzeuge erwähnt.
signtool.exe verify /pa /v {DATEINAME}
mit Grüßen aus Hamburg
|
Delphi 11 Alexandria |
#22
17. Mai 2007, 13:29
Zitat von romber:
Ich habe auch irgendwo gelesen, dass gegen Microsoft und deren UAC bereits mehrere Sammelklagen der mittleren Softwareentwilkungunternehmen bei europäischen Gerichshof eingegangen sind. Denn diese Zertifizierungen sind angeblich nicht das letzte "geschenk", der Microsoft & Co für die Software-Entwickler vorbereitetet haben.
...  ...
Daniel W.
|
Zitat
|
|
Delphi 11 Alexandria |
#23
17. Mai 2007, 13:30
Zitat von romber:
Normalerweise erstelle ich mit InstallShield Express die Installationspakete für meine Progtamme. Im InstallShield Express gibt es leider keine Optionen für automatische Installation von Zertifikaten.
 ... ...
Daniel W.
|
|
Zitat
|
Delphi 10.4 Sydney |
#24
17. Mai 2007, 13:42
Zitat von romber:
Nehmen wir an, ich gabe einen digitalen Zertifikat und möchte mein Programm auf einem fremden Rechner installieren. Soll ich jedesmal die Zertifikat-Datei mit übertragen und dann die Installation des Zertifikates selbst ausführen (Schritt 2) oder wie geht das?
Zitat von romber:
Normalerweise erstelle ich mit InstallShield Express die Installationspakete für meine Progtamme. Im InstallShield Express gibt es leider keine Optionen für automatische Installation von Zertifikaten.
Vorteile von "richtigen" per offizieller Zertifizierungsstelle zertifiziertes Zertifikat: - Installer von ActiveX-Controlls werden vom IE automatisch zur installation angeboten. Ohne Zertifikat macht der IE gar nichts (bzw. man müßte die Sicherheitseinstellungen gaaaanz weit herunterdrehen - Eigene .NET-Custom Controls ("neue Art von ActiveX) können von einem Domänenadmin zentral vertraut werden - Man kann sehr einfach kaputte oder modifizierte Exe's bzw. DLLs feststellen (z.B. ob Kopier oder Lesefehler von CD/DVD bei CD/DVD-Anwendungen aufgetreten sind) - Man bekommt nicht nur unter Vista "nettere" Warnmeldungen. @ Daniel: Könntest Du noch bitte einen Hinweis auf den sinnvollerweise anzuwendenden Timestamper-Service Angeben (Siehe auch  Code Signing, Seite 10. Damit wird verhindert das die eigene Anwendung mit dem ablaufen des Zertifikats auch ungültig wird.
|
|
Zitat
|
|
Delphi 10 Seattle Professional |
#26
17. Mai 2007, 13:53
Zitat von Bernhard Geyer:
Wenn du eine selbst erstelltes Zertifikat hast: Ja. Falls dein Zertifikat von Verisign oder Konsorten kommt so ist dein Zertifikat von denen "gegengezeichnet" und Windows bringt entsprechende Zertifikate mit so das dies nicht nötig ist.
|
|
Zitat
|
|
Delphi 11 Alexandria |
#29
17. Mai 2007, 14:47
Zitat von 3_of_8:
Dem einfachen Benutzer wird eingeredet, dass unzertifizierte Programme sehr sehr gefährlich sind und auf keinen Fall vertrauenswürdig
Zitat von 3_of_8:
Microsoft könnte in Zukunft sogar ohne Probleme ein Zertifikat zur Pflicht erklären.
... ...
Daniel W.
|
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
| Erstellt von | For | Type | Datum |
| Bei EXE im Autorun immer Abfrage von Win7 ob starten - Delphi-Forum.de | This thread | Refback | 1. Nov 2011 07:44 |
| Signieren und als .MSI packen | This thread | Refback | 21. Okt 2011 09:39 |
| myCSharp.de - DIE C# und .NET Community | Entwicklungs- und Laufzeitumgebung (Infrastruktur) | Bei Start der Releaseversion auf anderem Rechner: "Das Programm ist nicht verifiziert" | This thread | Refback | 20. Okt 2011 14:16 |
| Delphi-Forum.de - Bei EXE im Autorun immer Abfrage von Win7 ob starten | This thread | Refback | 16. Aug 2011 19:11 |
| Delphi-Forum.de - Bei EXE im Autorun immer Abfrage von Win7 ob starten | This thread | Refback | 16. Aug 2011 18:00 |
| Untitled document | This thread | Refback | 21. Mär 2011 11:30 |
| Prozess als anderer User mit erhöhten Rechten starten | This thread | Refback | 13. Dez 2010 11:57 |
Linear-Darstellung
