Hallo Zusammen!

Wir haben immer ein Zertifikat von GlobalSign verwendet. Konnten eine *.pfx Datei erzeugen, diese Datei in jede VM und
auf unseren Buildserver kopieren.

Fertig.

Leider gibt es wegen einer "Private Key protection for CodeSigning Certificates" eine neue Regel, dass man ein USB-Token verwenden "muss" und
den privaten Schlüssel nicht mehr exportieren kann.

Der Preis war nicht schlecht (589€ für 3 Jahre), aber mit dieser Einschränken kommen hier viele Probleme auf...

Wie macht Ihr das und welchen Anbieter zu welchem Preis verwendet Ihr?

Grüsse Mavarik

Der Anbieter spielt dabei keine Rolle. Das geht mit normalen Zertifikaten nicht mehr anders als mit USB-Token.

Eine Alternative ist Code Signing as a Service, d.h. das Signieren passiert in der Cloud und nicht mehr lokal. Das bietet unter anderem ssl.com an.

Interessant, ist es dann dies hier? Als Organization Validation (OV) Code Signing Certificate
https://www.ssl.com/certificates/code-signing/

Ich hatte mir vor der Token-Umstellung noch ein 3-Jahres Signing verpasst,
deshalb habe ich noch etwas Zeit.
Trotzdem muss man mal schauen was so geht, 65 EUR/yr ist ja ziemlich OK, wenn das stimmt.

Und dann gibt es noch Signotaur mit dem man - soweit ich das verstanden habe - das USB-Token zentral verwenden kann, so dass nicht jeder Build-Rechner ein eigenes braucht. Kostet allerdings selbst noch mal $299, zusätzlich zum Zertifikat.

Zitat von Rollo62:

Interessant, ist es dann dies hier? Als Organization Validation (OV) Code Signing Certificate
https://www.ssl.com/certificates/code-signing/

Ich hatte mir vor der Token-Umstellung noch ein 3-Jahres Signing verpasst,
deshalb habe ich noch etwas Zeit.
Trotzdem muss man mal schauen was so geht, 65 EUR/yr ist ja ziemlich OK, wenn das stimmt.

Tönt gut... du musst zwar für 10 Jahre abschliessen, aber ist immer noch extrem günstig. Ich bezahlte für mein Standard für 3 Jahre inkl. USB (und Zollvorweisungsgebühr und MWSt) fast CHF500.

Zitat von Michael II:

Tönt gut... du musst zwar für 10 Jahre abschliessen, ...

Ach ja, das Kleingedruckte

Ist aber trotzdem noch fair, weil ich auch 650 EUR pro Jahr schon woanders gesehen hatte.
Dann hat man halt 10 Jahre Ruhe, ist doch auch was Wert

VirtualUSB ... USB jeweils vom Host (oder sonstwo im Netz, z.B. von einer Synology) zu je einer VM durchschleifen.

Zitat von Rollo62:

Zitat von Michael II:

Tönt gut... du musst zwar für 10 Jahre abschliessen, ...

Ach ja, das Kleingedruckte

Ist aber trotzdem noch fair, weil ich auch 650 EUR pro Jahr schon woanders gesehen hatte.
Dann hat man halt 10 Jahre Ruhe, ist doch auch was Wert

Den Key musst du aber noch extra kaufen oder alternativ ein eSigner Paket für mindesten 15$ pro Monat abschließen.

Ich verwendete immer comodo/Sectigo, habe dann vor 6 Monaten zu Certum gewechselt. Wahrscheinlich ist es für dein EV oder OV nicht wesentlich wo du kaufst. Ich bezahle momentan mit meinem Standard Zertifikat ganz toll drauf... selbst nach 6 Monaten warnt microsoft SmartScreen vor dem Download. File Submission oder "Als sicher melden" via Edge nützen nix. Von microsoft 0 Feedback. - Vorher beim Wechsel von sectigo zu sectigo verschwand die Warnung meistens nach wenigen Tagen (bei einem Wechsel wurde sogar gar nie gewarnt).

Zum Signieren via USB. Ich verwende als Installer InstallAware. Ich kann dort einen Hook setzen, welcher von InstallAware immer dann ausgeführt wird, wenn ein File signiert wird. - Da etwa 10 Mal signiert wird und ich nicht jedes Mal den PIN eingeben will, habe ich ein Delphiprogramm X geschrieben. Ich gebe im InstallAware Hook Feld diese App X an, welche das Tool zum Signieren aufruft => PIN Form wird angezeigt, X sucht nach dem PIN Fenster und gibt den PIN und ENTER (Bastellösung ) ein. Auf diese Weise läuft's bei mir wie früher ohne USB Token. (Diverse Zertifikatsanbieter geben eine solche App X gleich mit.)

(Anstatt mit USB Token in der Cloud signieren lassen ist für meinen Fall nix, da InstallAware während dem Buildprozess Files erzeugt und signiert.)

Zitat von Mavarik:

Leider gibt es wegen einer "Private Key protection for CodeSigning Certificates" eine neue Regel, dass man ein USB-Token verwenden "muss" und
den privaten Schlüssel nicht mehr exportieren kann.

Wir hatten das Thema vor ein paar Monaten auch mal beim "Frühstück", weil ich auch danach gefragt hatte. In der Runde wurde das "Code Signing in the Cloud" von Certum als recht tauglich gesehen - https://shop.certum.eu/ev-code-signi...the-cloud.html.

Kannst du ggf. auch mal Gerd zu ansprechen, der hat schon seit einiger Zeit Erfahrungen damit und war wohl recht zufrieden.