Hi,
1. Was muss ich aus meinem Zertifkatsspeicher alles sichern, damit ich im Falle eine Totalcrash des Rechners/Windows und einer Neuinstallation das Zertikat vollständig wieder herstellen kann?
Bei der Installation des Zertifikats von Comodo hieß es, ich muss das unbedingt auf dem Rechner machen, von dem aus ich das Zertifikat beantragt habe.
Reicht es aus, das Zertifikat über die mmc zu exportieren? Muss ich das Comodo-Zertifikat auch noch exportieren?
Auf jeden Fall den privaten Schlüssel.
2. Wenn ich damit per KSign von KSoftware eine Anwendung signieren möchte, dann verwende ich das exportierte Zertikat (.pfx)?
Eine Signatur funktioniert mit public/private Key Verfahren. Die Signatur enthält nicht den privaten Schlüssel.
3. Der einzige Unterschied, der mir zwischen der nicht zertifierten und der zertifizierten Anwendung auffällt ist, dass das Hinweisfenster (welches kommt, wenn die Anwendung mit Adminrechten ausgeführt wird) eine andere Farbe hat. Klar steht jetzt noch mein Name drin, aber wer liest das denn wirklich. Gibt es noch andere Auswirkungen, die ich bisher noch nicht bemerkt habe (z.B. bei der Ausführung auf einem Server vielleicht)?
Ja, man kann Windows dazu bringen, dass nur signiert Software ausgeführt wird. Treiber müssen sogar signiert sein. Wenn du ein Verisign Zert hättest, dann könntest du noch das Windows Error Reporting nutzen.
5. Mach es Sinn auch eine Serviceanwendung zu zertifizieren? (Mal abgesehen davon, dass er Anwender sich das über die Eigenschaften der EXE anschauen kann).
Jedes Binary sollte signiert sein, alle DLLs und alle EXEn.
Hast du nicht gefragt aber:
6. verwende IMMER einen Timestampserver bei der Signierung.