Hallo Leute,

wir erstellen schon seit über 10 Jahren für einen Stammkunden Windows-Programme.
Das Zertifizieren der Exe-Dateien und der Installer wird jedoch durch den Kunden vorgenommen. Das bedeutet einen Mehraufwand, da jede neue Exe/Installer zunächst zum Kunden hochgeladen werden muss und wir warten müssen, bis jemand beim Kunden diese signiert und uns zurückschickt. Danach erstellen wir den Installer und dieser wird dann wiederum vom Kunden signiert....

Uns wäre es natürlich lieber und aus unsere Sicht für alle einfacher, wenn der Kunde uns sein Zertifikat zur Verfügung stellt. Leider können wir ihn nicht überzeugen, uns dieses zu geben, um das Signieren in den Build-Prozess zu integrieren.

1. Argumente/Vorschläge
   Hat jemand ein paar Argumente/Vorschläge, wie man den Kunden "überzeugen" kann?
2. technische Umsetzung/Ideen
   Momentan ist es so, dass der Mitarbeiter des Kunden die Exe-Dateien im Kunden-Intranet auf einem Server hochlädt und die signierte Datei zurück bekommt.
   Hat jemand da evtl. noch ne Idee/Anmerkung wie wir das nutzen können?

Vermutlich ist es auch rechtlich nicht erlaubt, ich kenne keine Verträge bzgl. Signaturen, da wir selbst noch keins gebraucht haben.

Na ja, beim Signieren geht es ja um Vertrauen, dein Kunde "unterschreibt" ja quasi deine Exe damit andere dieser vertrauen.

Würde er sein Zertifikat an dich weitergeben, wärest du in der Lage in seinem Namen beliebige andere Programme (auch Trojaner oder Viren) in seinem Namen zu "unterschreiben". Alle Anwender würden dem vertrauen und im Schadenfall deinen Kunden verhauen . Ehrlich gesagt hätte ich auch was dagegen.

Das Problem ließe sich auch nicht aus der Welt schaffen, wenn dein Kunde eine Möglichkeit schaffen würde, dir das Signieren deiner Anwendung irgendwie zu ermöglichen. Es sei denn er prüft z.B. den Name der Exe. Aber selbst dann könntest du beliebigen Code mit dem richtigen Namen der Exe signieren lassen. Also auch nicht gut.

Du könntest den Spieß rumdrehen. Stelle deinem Kunden eine Build-Umgebung zur Verfügung und lasse ihn die Exe und das Setup selbst bauen. Du musst dann nur noch den Quellcode zur Verfügung stellen.

Moin...

Gedankenspiele:
+1

Idee1:
VPN zum Kunden. Auf der Kundenseite läuft eine "Mini" Exe oder Batch die nur die Signierung macht...EXE kommt dann direkt zurück. Die EXE kann man in den Build Process einbinden.
Idee2:
Webseite des Kunden mit Zugangsdaten aufrufen. Auf der Kundenseite läuft eine "Mini" Exe oder Batch die nur die Signierung macht...EXE kommt dann direkt als Download zurück. Kann man in den Build Process einbinden.

Imho kommt ihr damit nie direkt an das Zertifikat...