Hallo,
wir hatten bisher von GlobalSign ein Zertifikat (pfx).
Das habe ich in den Zertifikatspeicher importiert und dabei als exportierbar gekennzeichnet.
Dann exportiert mit Passwort und mir eine eigene Bat-Datei gebaut, die das MS signtool aufruft.
In der Bat-Datei konnte sogar das Passwort angegeben werden, Stichwort Continous Delivery,
also die Abends erstellten Exe'n konnten so signiert werden.
(Es war keine Bat, sondern eine Exe-Datei selbst, aber spielt hier keine Rolle)

Aber:
Jetzt will GlobalSign, dass ich einen Security-Token auf einem USB-Stick benutze,
ein separates Programm zum Signieren installiere und bei jedem Signieren das Passwort eingebe!!!

Angeblich soll das seit 01.01.2017 Pflicht sein, kann ich aber so nicht glauben.


Meine Frage:
Womit signiert ihr denn eure Exe'n?

Genau so.
Wir nutzen digicert-zertifikat auch mit signtool in Batch im Jenkins laufend.

Also wenn GlobalSign unbrauchbare Anpassungen nötig macht, einfach auf anderen Anbieter wechseln.

wir haben dafür ein Tool gebaut, das das Passwort automatisch einträgt. Finde ich aber schrecklich, da muss dann ständig ein user angemeldet sein,....

unser Zertifikat läuft schon ne zeitlang, gut, wenn es Anbiter gibt, die das anders machen, muss ich mir merken, damit wir hier aktiv werden..

Hallo,
danke.

Ich nutze seit vielen Jahren kSoftware (früher comodo, heute Sectigo Reseller), habe gerade wieder ein Zertifikat gekauft und signiere wie bisher via Batchdatei oder via die aktuelle "Installaware Developer" Version.

Von der von dir erwähnten neuen Vorschrift habe ich nix gelesen/gehört. Wenn du einen Link hast, dann lese ich das "gern" mal durch.

Hallo,
https://www.globalsign.com/en/blog/c...or-developers/

Private Keys Need to be Stored on Cryptographic Hardware
Da ist genau der Haken.
Bisher war mein private key eine Datei.

Aber schicke mal meinem Admin diesen Thread.
Dummerweise haben wir bereits gezahlt für den Murks ;(

Es betraf nicht alle Zertifikate, aber ist an sich nichts Neues. Dass es nun mehr Anbieter auch wirklich so handhaben, ist an sich gut, wenn auch mit einigem Aufwand verbunden.

Bei den Preisen die sie aufrufen könnte man meinen, sie lieferten den automatischen Passworteintipper (Codewort "Praktikant") gleich mit

Spaß beiseite: Ich bin mir sicher dass noch mehr Leute dieses Problem haben werden. Da wirds sicherlich auch Lösungen für geben.

Einerseits finde ich signierte Anwendungen ja gut. Andererseits gibt man damit Dritten aber auch die Möglichkeit, einem den Boden unter den Füßen weg zu ziehen. Siehe als abschreckendes Exempel die Geschichte zwischen Google und Symantec. Und Comodo war ja auch schon in der Kritik. Insofern schwieriges Thema.

Das ist dabei das größere Problem:
Für den Fall wird sicherlich immer ein Geheimnisträger, der sonst nichts Besseres zu tun hat, diesen anspruchsvollen Job übernehmen.

Ironie aus...
Und die Folge ist dann, dass die Passwörter nicht so gut geschützt werden wie bei einer automatisierten Buildmaschine, auf die nur wenige autorisierte Personen Zugriff haben.

Das wollte ich damit sagen. Womit sich die Frage stellt, ob diese Zertifikate bzw. deren Distribution prinzipbedingt für die Softwaresignierung ungeeignet sind.