Das Tutorial ist in der Tat hoffnungslos veraltet. Selbst die KB-Artikel der diversen CAs sind meist hoffnungslos veraltet. Die Dokumentation von Microsoft existiert teils in so vielen widersprüchlichen Versionen, daß einem schlecht wird. Wer des Englischen mächtig ist, ist noch immer mit dieser Abhandlung am besten bedient. Wird von Zeit zu Zeit aktualisiert und ist besser als jegliche Informationen der vorgenannten Quellen.

Ich habe auch festgestellt, daß es durchaus ein paar Minuten dauern kann, bis eine Signatur als gültig angesehen wird. Das kann man selber testen indem man eine signierte und auf einem anderen System geprüfte Datei, welche Elevation erfordert, auf ein anderes System kopiert und startet. Zuerst kommt üblicherweise eine Warnung, während ein paar Minuten später das übliche blaue oder grüne Häkchen im Dialog auftaucht. Grund ist vermutlich, daß hier vom System auch noch die CRLs konsultiert werden und eben nicht nur der lokale Zertifikatsspeicher.

... auf? Klingt vielleicht seltsam, aber /verify basiert bspw. auf den systemspezifischen Policies. Ein Windows 10 wird sich hier also anders verhalten als ein Windows 7. Egal ob du nun das signtool aus dem neuesten Windows 10 SDK nutzt oder nicht. Sprich: benutzt du dasselbe signtool (inklusive entsprechender DLLs) auf einer anderen Windowsversion, bekommst du ein anderes Verhalten. Sogar Windows 10 1803 kann sich anders verhalten als 1809 ... aber das sind üblicherweise kleinere Sprünge als eben Windows 7 auf 10.

Übrigens gibt es nicht das Windows 10 SDK. Mittlerweile dürfte es ein halbes Dutzend geben. Auf meinem System habe ich zumindest allein vier verschiedene Windows 10 SDKs installiert (10.0.10240.0, 10.0.16299.0, 10.0.17134.0, 10.0.17763.0).

Ein Zeitstempel ist immer optional, korrekt. Aber ohne Zeitstempel läuft die Signatur zusammen mit dem Zertifikat aus. Das ist eher selten gewünscht. Zumal man aus Sicherheitsgründen immer ein Zertifikat mit einer eher beschränkten Gültigkeitsdauer benutzt.

Sollte das Verhalten gewünscht sein, daß die Signatur mit der Zertifikatsgültigkeit verfällt, kann im Zertifikat noch die EKU 1.3.6.1.4.1.311.10.3.13 (Lifetime Signing) gesetzt werden ... oder man läßt halt den Zeitstempel weg. Das ist aber wiederum so unkonventionell, daß es üblicherweise auf einen Fehler des Anwenders verweist. Die EKU kannst du mit "makecert -eku 1.3.6.1.4.1.311.10.3.13" setzen ...

Falls hier die Angst bestehen sollte, daß der Zeitstempel von einem bestimmten Anbieter sein muß, so darf ich das als unbegründet zurückweisen. Beispielsweise bietet Certum keinen SHA256-gehashten-Zeitstempel an, weshalb sie auf andere Anbieter von Zeitstempelservern verweisen. Für WinDirStat benutze ich dann http://timestamp.digicert.com für SHA256 und http://time.certum.pl für SHA1.

Übrigens, als Admin würde ich an die Decke gehen wenn ein kommerzieller Softwareanbieter selbstsignierte Zertifikate benutzt und mglw. sogar noch die Zertifikate ohne deutlichen Hinweis als vertrauenswürdig installiert. Ist aber ein anderes Thema und du schreibst ja es sei allein für interne Zwecke.

Irrelevant wo das Zertifikat (bspw. Zertifikat und privater Schlüssel) herkommt. Der Zertifikatsspeicher ist aber definitiv sicherer als eine PFX-Datei die womöglich noch nicht einmal paßwortgeschützt ist.

Was du übersehen, bzw. "verschlafen" hast, sind die teils drastisch verschärften Anforderungen an Zertifikate und damit erstellte Signaturen. Siehe auch (aber nicht nur) hier.

Was darauf hindeutet, daß signtool womöglich ein anderes Zertifikat zum Signieren aussucht, als du dachtest (mit höheren Verbosity-Leveln kannst du schauen was genau signtool da macht). Schließlich hat signtool ganz eigene Regeln welches Zertifikat genommen wird (bspw. mit der längsten Gültigkeit) wenn man nur den Namen benutzt um das Zertifikat zu identifizieren. Stattdessen sollte man eigentlich den Fingerabdruck des Zertifikats benutzen, muß dann aber das entsprechende Skript alle paar Jahre aktualisieren.

Auch immer dran denken, daß zum Signieren das Zertifikat und der passende private Schlüssel verfügbar sein müssen. Zertifikat allein reicht nur zum verifizieren einer Signatur, aber eben nicht zum Signieren.

Und dann noch ein paar Notizen ...

• Zertifikate werden üblicherweise von einer CA (Certification Authority) signiert, diese Signatur ist üblicherweise mit SHA1 oder SHA-256 (also SHA2 mit 256bit) gehasht, die Zertifikate werden in diesem Sinn als SHA1 oder SHA2 kategorisiert
• Die Zertifikate bis hinauf zur Wurzel sollten alle Signaturen mit dem gleichen Hash-Algorithmus gehasht sein
• Zertifikate ohne Wurzel sind üblicherweise selbstsigniert, da aber Systeme immer den Zertifikaten aus einer Zertifikatskette vertrauen schenken, muß eben dieses Zertifikat selbst als vertrauenswürdig im System installiert werden
• Man kann ohne weiteres ein SHA1-Zertifikat nehmen um eine Signatur zu erzeugen die einen SHA2-Hash enthält und umgekehrt
• Gleiches gilt für Zeitstempel, auch hier kann man theoretisch mischen wie man will, sollte man aber nicht

Hallöle...

jetzt geht es.

Hörensagen: Ich hatte, vermutlich durch das Ausprobieren, 2 Zertifikate die in das "Raster" gefallen sind. Da ich die "Automatikfunktion " nicht aktiviert hatte, wußte er nicht welches er nehmen sollte. Manchmal hilft es in die Batch eine PAUSE einzubauen um zu sehen was er treibt.

Moin...

...ich muß das mal wieder hochholen. Kurzzeitig hat die Signierung wieder geklappt. Jetzt wieder nicht. Ich habe schon die Zertifikate entfernt, neu erstellt. Delphi (Postbuild Batch) sagt "Successfully signed" ... aber nix in den Eigenschaften.

Ideen?

Danke

Ich signiere per Batch-File außerhalb von Delphi während meiner Auslieferung

"C:\Program Files (x86)\Windows Kits\10\App Certification Kit\signtool.exe" sign /f C:\Daten\Philipp\Delphi-Projects\PhilippHofmannSectigo256.pfx /p [pwd] /fd sha256 /tr http://timestamp.comodoca.com/?td=sha256 /du https://ictrainer.com /td sha256 /v C:\Daten\Philipp\Delphi-Projects\icTrainer\Win32\Release\icTrainer.exe

Damit funktioniert es.

...ich auch.
...nix anderes als dein Aufruf nur ohne "pfx"
...nö. Bei mir grad nicht. Manchmal ja, manchmal nein. Gerade stehe ich bei NEIN.

Hast du denn mal "signtool verify" benutzt anstatt den Eigenschaftendialog? Da bekommst du deutlich mehr Infos. Selbst sigverify aus der Sysinternals-Reihe von Werkzeugen könnte hier helfen. Auch läßt sich der Signiervorgang mithilfe von "/v" gesprächiger machen, womit sich wiederum auch das eine oder andere Problem finden läßt.

Also was ich bei dir aber absolut nicht verstehe ist, daß du dich auf die automatische Auswahl eines Zertifikats verläßt. Lies mal bitte hier nach was für Stolperfallen es da so geben kann.

Auf die Wichtigkeit eines Zeitstempels wollte ich nochmal verweisen

Moin...
...immer. Aber was bedeutet "Successfully verified" Aber die EXE ist nicht signiert.
Noch mal der Hinweis: Wir reden nicht über ein gekauftes Zertifikat sondern über ein selbst erstelltes und nur in der Firma intern benutztes.

Faszinierend. Und du schaust dir auch 100%ig exakt die gleiche Datei an? Das klingt dann doch sehr mysteriös. Welches signtool verwendest du da exakt? Kommt eine seiner Abhängigkeiten (DLLs) vielleicht aus einem anderen Verzeichnis? Und vor allem du verifizierst die gleiche Datei welche du auch signierst?

Mir fiel da das Leerzeichen im Pfad auf ... haste die Argumente sauber in Anführungszeichen übergeben?