Interessant, ist es dann dies hier? Als Organization Validation (OV) Code Signing Certificate
https://www.ssl.com/certificates/code-signing/

Ich hatte mir vor der Token-Umstellung noch ein 3-Jahres Signing verpasst,
deshalb habe ich noch etwas Zeit.
Trotzdem muss man mal schauen was so geht, 65 EUR/yr ist ja ziemlich OK, wenn das stimmt.

Und dann gibt es noch Signotaur mit dem man - soweit ich das verstanden habe - das USB-Token zentral verwenden kann, so dass nicht jeder Build-Rechner ein eigenes braucht. Kostet allerdings selbst noch mal $299, zusätzlich zum Zertifikat.

Tönt gut... du musst zwar für 10 Jahre abschliessen, aber ist immer noch extrem günstig. Ich bezahlte für mein Standard für 3 Jahre inkl. USB (und Zollvorweisungsgebühr und MWSt) fast CHF500.

Ach ja, das Kleingedruckte

Ist aber trotzdem noch fair, weil ich auch 650 EUR pro Jahr schon woanders gesehen hatte.
Dann hat man halt 10 Jahre Ruhe, ist doch auch was Wert

VirtualUSB ... USB jeweils vom Host (oder sonstwo im Netz, z.B. von einer Synology) zu je einer VM durchschleifen.

Den Key musst du aber noch extra kaufen oder alternativ ein eSigner Paket für mindesten 15$ pro Monat abschließen.

Ich verwende eine USB-Token von Sectigo (ehemals Comodo) für 3 Jahre kostet das ~770€. Dar Dongle hängt über einen Dongleserver (SEH Technology) an einer VM mit Signotaur (~220€). Damit kann denn jeder in der Firma mit dem Signotaur Client - Tool signieren (auch die CI).

Danke, das kannte ich noch gar nicht.

Ich stehe Ende des Monats vor dem selben Problem: Das Zertifikat erneuern.

Im Prinzip habe ich einen einfacheren Fall, ein Entwickler und Codeeingabe wäre auch kein großes Problem. Also ginge wohl der USB Token. Ich muss auch keine Treiber signieren.
Nach meinen Recherchen und dem lesen hier stellen sich mir aber doch fragen was ich kaufen soll.

Generell: EV oder OV? Bisher hatte ich auch nur OV, aber der Bericht, dass Smart Screen da ewig kein ok gibt macht mich nachdenklich. Man bindet sich ja allgemein 3 Jahre. EV kostet halt ca 600 Euro, OV gut 1000 Euro bei Certum.
Was sind da eure Erfahrungen?

Dann wäre die 2. Frage: Dongle oder Cloud. Die Cloud hat ein signing limit bei ssl.com, was für mich aber reicht.
Aber wie zuverlässig funktioniert das?
Kann man das auch von 2 Rechnern alternativ machen?
Final: würdet ihr das cloud signing empfehlen? Es ist ja doch einiges günstiger.

Schon im Voraus…. Vielen dank für eure Meinungen und Hilfen

Exakt genauso machen wir das auch. Funktioniert super + mit Signotaur hat sich das Neu-Eingeben des Passwords endlich erübrigt.
BTW: Irgendwie habe ich es geschafft, den USB-Token zu töten - ich denke, da war was miut Admin-PW oder so, aber Sectige hat anstandslos eine neuen Token bereitgestellt + die Restlaufzeit angerechnet.