AW: Code Sign Zertifikat
 

Leider hatte ich in den letzten Tagen kaum Zeit mich darum zu kümmern wie es weiter geht. Aber heute habe ich mich nochmal damit befasst und bin weiter gekommen. Als ich mich über die Certum Webseite eingeloggt habe stand dort im Dashboard "no products", dann habe ich aber nochmal die E-Mails hervorgeholt. Da gibt es noch einen anderen Link zum einloggen um den Aktivierungsprozess zu starten. Ich habe dann den Aktivierungsprozess gestartet und meine Daten nochmal eingegeben, die E-Mail Adresse verifiziert und die PIN und PUK im Cardmanager hinterlegt. Nach der E-Mail Verifizierung habe ich dann einen Link zur Identitätsprüfung erhalten. Dort muss man Dokumente z.B. ein Bild vom Personalausweis hochladen. Dann schaltet sich die Kamera ein und man muss einmal in die Kamera schauen und dann den Kopf drehen. Das hat alles geklappt. Momentan steht der Aktivierungsstatus auf "Awaiting". Es dauert wohl noch etwas bis die Identifizierung abgeschlossen ist. Sobald das passiert ist werde ich mich nochmal melden. Zum Glück hat mein Thinkpad L13 Yoga einen CryptoCard Reader. Wozu der USB-Token zusätzlich vorhanden ist habe ich noch nicht herausgefunden.

AW: Code Sign Zertifikat
 

Hi Kuba,

danke schon mal für die Infos.
Ich gehe davon aus, dass du mit Windows arbeitest.
Es wird noch sehr interessant, wie das Signierungsprozess läuft.
Braucht man zum Signieren die Karte oder Usb-Stick?

Gruß,
Eric

AW: Code Sign Zertifikat
 

Hallo,

Certum benötigt meines Wissens die Anwendung SimplySign. Mit dem Token kannst Du dein Zertifikat zum signieren (signtool.exe) zeitlich begrenzt freischalten lassen.

MfG

AW: Code Sign Zertifikat
 

Mein Zertifikat wurde heute aktiviert und ich konnte es auf die CryptoCard importieren. Im Programm SmartSign erscheint es jedoch nicht. Momentan ist es mir noch ein Rätsel wie das funktioniert. Leider ist die Dokumentation nur in Polnisch verfügbar. Ich frage morgen mal einen Arbeitskollegen, der kann Polnisch. Mit dem Google Übersetzer bin ich nicht wirklich weiter gekommen. Schön wäre es wenn ich meine Dateien mit SmartSign Tool signieren könnte. Was mich auch etwas stutzig macht, dass ich bei meinen letzten Zertifikaten erst eine persönliche Kopie mit einem persönlichen Passwort erstellen musste. Falls noch jemand was dazu sagen kann wäre das hoffentlich auch sehr hilfreich ...

AW: Code Sign Zertifikat
 

Hallo,
also das hier englisch

https://www.files.certum.eu/document...2.3.pdf#page16

Zum Signieren selbst dient also signtool.exe aus dem Windows-SDK.
https://www.gradenegger.eu/?p=14119

AW: Code Sign Zertifikat
 

DeepL kann Polnisch und ist in der Regel besser als Google Translate. Polnisch habe ich allerdings noch nicht ausprobiert.

AW: Code Sign Zertifikat
 

Vielen Dank ! Das funktioniert. Um mehrere Dateien zu signieren werde ich mir selbst ein Tool programmieren.

AW: Code Sign Zertifikat
 

Muss beim Signieren die Crypto Card immer angeschloßen sein?

AW: Code Sign Zertifikat
 

Hallo,
ja .

AW: Code Sign Zertifikat
 

Hallo zusammen,

ich hab mich jetzt auch für ein Standard Code Signing Zertifikat bei Certum entschieden da KSoftware ja scheinbar mit der Zuverlässigkeit Probleme hat.
Das will ich lieber nicht riskieren...

Das Zertifikat bei Certum ist beantragt, bezahlt und scheinbar auch schon validiert.
Jetzt wurde ich aufgefordert das Zertifikat zu aktivieren.
Leider habe ich keine Anleitung gefunden, wie das Zertifikat aktiviert werden muss...

Hat da jemand Erfahrung damit?

Viele Grüße
Bastian

AW: Code Sign Zertifikat
 

Kaum hab ich hier geschrieben hab ich es glaub gefunden.
Die verlinken nur leider auf die falsche Seite...

Ich teste weiter

AW: Code Sign Zertifikat
 

hmmm....

Kann es sein, dass für die Aktivierung die Smartcard benötigt wird?
Ich hab mich jetzt ein paar Schritte durchgeklickt und nun will er die Keys auf der "Certum SmartCard" ablegen.
Diese ist mir jedoch noch nicht zugeschickt worden.

AW: Code Sign Zertifikat
 

ja, da gab es ne Änderung in den Anforderungen zu den Code Sign Zertifikaten. Musst Du ggf. bei denen die Smartcard extra bestellen?

Grüße

AW: Code Sign Zertifikat
 

Ja, dort muss man die Karte und ggf. den Kartenleser separat bestellen soweit ich weiß. Beides kostet um die 30€ glaube ich. Schau mal dort im Shop nach.

AW: Code Sign Zertifikat
 

Hier gibt es auch ein Paket: Zertifikat + Karte + Kartenleser:

https://certum.store/certum-ev-code-sigining.html

Habe ich gerade gestern bestellt. Hat jemand das EV-CodeSigning Zertifikt da schon mal bestellt? Kommen die jetzt auf mich zu, um meine Identität zu überpüfen? Ich habe nur eine Bestellbestätigung und keine weiteren Infos.

AW: Code Sign Zertifikat
 

Habe das Paket mit Zertifikat, Kartenleser und Smartcard bestellt.
Die Hardware wurde heute verschickt.

Wie macht ihr das bei euch, wenn mehrere Leute in der Lage sein sollen ihre binärdaten zu signieren?
Kann man die SmartCard zentral an einen Server stecken und gibt es von Certum ein Stück Software?

Wenn nicht, hätte ich an 2 potentielle Optionen gedacht:
1) Verteilen der Smartcard mittels USB/IP
2) Aufsetzen eines einfachen Stück Software, dass auf dem Server mit gesteckter Karte läuft und die Daten dort signiert

AW: Code Sign Zertifikat
 

Gute Frage, ich habe die Dokumente pro-aktiv hochgeladen. Ich habe alles zusammengesucht, in ein passwortgeschütztes ZIP gepackt und per Mail zusammen mit der Auftragsnummer an ccp@certum.pl geschickt
Das Passwort muss separat an einen Ansprechpartner geschickt werden

AW: Code Sign Zertifikat
 

Wo hast Du den Ansprechpartner her?

AW: Code Sign Zertifikat
 

ich schick dir die Kontaktdaten mal per PN zu.
Der ist des Englischen mächtig und hat mir gut weitergeholfen.

AW: Code Sign Zertifikat
 

Danke! Wie lange hat es gedauert, bis Du nach der Bestellung Dein Paket hattest? Bei mir sind jetzt schon 7 Tage vorbei und es ist noch nicht mal verschickt! Hier der Schriftverkehr mit Certum (nach jeder Anfrage von mir ist immer ein Tag vergangen):

Einfach unfassbar, dass es 7 Tage (mit heute) dauert, nur die Rechnung zu erstellen. Und die Rechnung ist ja immer noch nicht fertig.

AW: Code Sign Zertifikat
 

Das Verschicken der Hardware hat bei mir 2 Tage gedauert.
Es kam per DHL Express

AW: Code Sign Zertifikat
 

Ja das Verschicken der Hardware hat auch nur 2 Tage gedauert und hat 18,- EUR gekostet. Hat mir aber auch nichts genützt, da das Erstellen der Rechnung 15 Tage! gedauert hat. Sie haben es daher erst 15 Tage nach Bestellung verschickt. Plus 2 Tage Versand. Also 17 Tage gewartet. Aber egal, ist ja nun hier.

Nun habe ich ein anderes Problem: Das Signieren klappt nicht:

Ergibt die Meldung:

E:\test.exe bekommt keine Signatur ohne weiter Meldungen. Stick ist aktiv, blinkt, proCertum CardManger läuft. Was mache ich falsch?

AW: Code Sign Zertifikat
 

Bei mir habe ich noch mit /v /f "e:\softtouch.cer" mit drin, klappt einwandfrei.
Hast Du denn das .cer file exportiert (Control Panel->Internet Options->Content->Certificates)?

AW: Code Sign Zertifikat
 

Das hatte ich erst nicht drin, klappt damit aber auch nicht. Dann habe ich mal geschaut, von wann meine signtool.exe ist und die gegen die aktuelle Version aus dem aktuellen SDK getauscht und nun klappt es!

AW: Code Sign Zertifikat
 

Kannst du SHA1 und SHA256 signieren?

Die SHA1 Signatur klappt bei mir ohne Probleme.
Bei SHA256 kommt immer ein SignTool Error.
Egal ob als Dual Signature oder Standalone.

Ich hab es mit unterschiedlichen Aufrufparametern versucht.

Hier der Aufruf für Dual Signature (Sha1 schon gemacht)

und hier mal als Test auf einer nicht signierten Exe (also ohne Dual Signature)



signtoolbin ist der pfad zur signtool exe hier: C:\Program Files (x86)\Windows Kits\10\bin\10.0.22621.0\x64\signtool.exe
cert_fprint ist der SHA1 fingerprint meines Zertifikats

ich habe es anstelle des Fingerprints auch schon mit dem Namen des Zertifikatinhabers versucht.
Klappt auch bei SHA1, klappt auch nicht bei SHA256...

Die Parameter hab ich aus dem PDF von Certum übernommen:

https://files.certum.eu/documents/ma...d_signtool.pdf

AW: Code Sign Zertifikat
 

Habe gerade auch eine Mail über das ablaufende (OV) Zertifikat von KSign erhalten.

Statt 200 Euro für 3 Jahre (in 2021) soll es nun 660 Euro kosten.
Was für eine saftige und unverschämte Preiserhöhung, für die es keinen erkennbaren Grund gibt.

Wenn ich keinen vernünftigen Ersatz finden sollte, dann überlege ich mit selbst signierten Zertifikaten zu arbeiten oder halt ganz ohne, da ich sowieso ganz überwiegend Update-Käufe von Bestandskunden habe (und die OV-Zertifikate eh auch schon mal zu Meldungen führten ("Dieses Programm wurde nicht oft heruntergeladen"). Kann man ja auch auf der Homepage entsprechend erläutern.

Jedenfalls diese Preise zahle ich nicht.

AW: Code Sign Zertifikat
 

Die Zertifikate erfüllen ihren Zweck: Hobby-Programmierer haben schon aufgegeben, Einzelentwickler werden bald aufgeben, zur Not werden die Preise halt weiter angehoben. Ihre Software wird nicht (mehr) signiert.

Bleiben die großen Softwarehäuser, die sich das leisten können und die jetzt einen weiteren Vorteil haben: Ihre Software wird von Windows als "besser" erkannt als die der "kleinen". Es wird nicht mehr lange dauern, bis Windows unsignierte Software gar nicht mehr ausführt.

Nächster Schritt: Installation nur noch via Microsoft Store.

(Ich wünschte, ich würde jetzt nur eine Verschwörungstheorie zum Besten geben, aber leider glaube ich wirklich, dass dies zumindest ein willkommener Nebeneffekt der Zertifikatsprüfungen in Windows ist.)

AW: Code Sign Zertifikat
 

Früher sollte man eine Bank gründen, um reich zu werden - heute eine CA.

AW: Code Sign Zertifikat
 

Also ich habe von meiner Homepage mal ein ganz altes Setup-Programm aus 2009 runter geladen, wo die Signierungs-Zertifikate längst abgelaufen sind. Der Aufruf dieser Dateien wird von Windows nicht beanstandet, sondern ganz normal das blaue Fenster angezeigt und ich werde als verifizierter Herausgeber genannt.

Wenn also eine einmal signierte Setup-Datei "auf ewig" akzeptiert wird, dann könnte ich ja letztlich meine Setup-Variante ändern:

Ich erstelle nicht jedesmal ein Setup-Paket (eine EXE-Datei), welche mein jeweiliges Programm enthält, sondern ich erstelle (mit meinem derzeit ja noch gültigen Signierungs-Zertifikat) eine für alle Setup-Projekte verwendbare Setup.exe Datei. Die enthält dann nicht mehr selbst alle Programmteile, sondern Sie entpackt eine mitgelieferte Ressourcen-Datei (oder zIP-Datei), welche anhand einer Setuplist einen eben variablen Inhalt haben kann.

Alles das packe ich in einer ZIP-Datei, der User lädt die von meiner Homepage, entpackt das in einen Ordner und führt die Setup.exe Datei aus, welche das Programm wie bisher installiert (müsste da kaum was an dem Setup-Programm ändern, statt die Dateien aus der eigenen Resource zu laden, lädt das Programm die eben aus einer externen Datei).

Dann würde ich kein neues Codesigning Zertifikat mehr benötigen (jedenfalls solange ich nichts an der Setup-Datei ändere).

Oder begehe ich hier einen Denkfehler?

AW: Code Sign Zertifikat
 

Jo, die Gültigkeit des Zertifikats, bezieht sich normal auf die Anwendung, also den Zeitpunkt der Signierung, nicht wann es geprüft/verifiziert wird.

Damit wäre aber auch nur dein Setup betroffen.
Die ausgeführte Anwendung, welche dein Setup installiert, wäre somit nicht signiert und Windows könnte sich beim Start weigern.


Es kommt aber auch immer darauf an, ob und wie eine Signatur geprüft wird.
Wenn ich mich nicht täusche, dann prüft Delphi nur, ob eine Signatur in seinen DLLs/Packages enthalten sind/waren,
aber nicht, ob dieses Zertifikat auch gültig ist und ob es von Emba selbst stammt ... bei sowas könnte ein "Angreifer" das also leicht aushebeln.

* ist (irgendeine) Signatur vorhanden
* lässt sie sich verifizieren
* am besten noch gegen eine externe Stelle
* ist sie auch vom "erlaubten" Besitzer/Ersteller
* wie sieht es mit dem Ablaufdatum aus
* wurde diese Signatur/RootZertifikat/Ausgabestelle gesperrt
* ...


Bei den gekauften Zertifikaten wird von Windows nicht deine Signaur selbst geprüft, da dich niemand kennt, aber bei den Vorvahren wird dann einfach geschaut, ob mindestens dem RootZertifikat (Ausgabestelle) vertraut wird
und dann wird gehofft, dass Diese dir trauen.

AW: Code Sign Zertifikat
 

Most likely as himitsu pointed, will not work.

Also i want to correct or elaborate on the time of signing he mentioned, digital signature doesn't have timestamps by themselves nor have time at all, their structure and specification doesn't have that, but these signature can be timestamped with additional and specific timestamp signature, preferably form trusted TimeStamp Issuer, in other words you can have your digital signature with your CA trusted issued certificate and without the timestamp, no way to verify its singing time, has it signed after expiry date ?!!

The normal behavior is to not trust it, yet it might simply be marked as can't verify, while might show the publisher detail with this can't verify!

And this what i want to ask you to test, sign it with an old CA trusted issued certificate, but don't not timestamp it, please share your finding with us, specially if you have Windows 11.
ps: you can try with an old one where expired CA if you have one, but also you might have one where its CA is still valid, try both if you can, if you are up to testing something new and unorthodox, also for educational purposes ;)

AW: Code Sign Zertifikat
 

Solange die installierte Anwendung keine Admin-Rechte braucht, glaube ich nicht, dass Windows gegen einen Start der Anwendung etwas einzuwenden hätte.

AW: Code Sign Zertifikat
 

aber evtl. ein Virenscanner. ist eine Exe signiert, gibt das ordentlich Pluspunkte.

AW: Code Sign Zertifikat
 

Ich kann mehrfach bestätigen, dass dem nicht so ist und es dennoch was dagegen hat. :(

AW: Code Sign Zertifikat
 

Evtl. liegt das auch an einer speziellen Konstellation bei Dir? Jedenfalls habe ich schon oft zum Testen eine nicht signierte Datei auf einem anderen PC in das Programmverzeichnis kopiert und dort ausgeführt. Kein Problem. Auch in Problemfällen hatte ich unsignierte EXE-Dateien Usern zum Testen zur Verfügung gestellt, die Programme waren problemlos ausführbar.

Wenn ein Programm ordnungsgemäß im Programmverzeichnis installiert wurde, macht es auch keinen Sinn, wenn Windows hier was zeigen oder bemängeln würde, nur weil eine Datei nicht signiert wurde. Das macht es allenfalls bei Downloads, die gerade frisch herunter geladen und ausgeführt werden sollen.

AW: Code Sign Zertifikat
 

Noch Windows 10 oder schon 11?

Aber OK, in diesem Verzeichnis war es selten installiert.


Einfach EXE auf Desktop kopiert, oder in eigenen Verzeichnissen installiert (welche dann oft im Intranet freigegeben werden)

AW: Code Sign Zertifikat
 

Sowohl Windows 10 als auch Windows 11. Und natürlich in C:\Program files(x86) oder für 64 bit in "C:\Program Files".

Ich werde die Setup-Daten Daten nun einfach in eine DLL packen, aus der kann das Setup-Programm dann die Daten lesen und das Programm installieren...

AW: Code Sign Zertifikat
 

Ich habe mir zwar jetzt schon eine alternative Lösung ausgedacht, aber bevor ich das endgültig voran treibe, doch hier noch mal die Frage, ob Ihr Alternativen zu dem Unternehmen, wo ich bislang war (KSoftware) empfehlen könnt, eben mit preisgünstigeren Angeboten?

Habt Ihr evtl. ähnliche Erfahrungen hinsichtlich solcher Preissteigerungen gemacht? Wie habt Ihr reagiert, das hingenommen, nachverhandelt oder z.B. statt 3 Jahre erst mal nur ein Jahr genommen?

Kennt jemand die Ursachen für diese enormen Preissteigerungen (wie gesagt, hier bei mir von 200 auf 660 Euro)?

AW: Code Sign Zertifikat
 

Quasimonpol ... die Wenigen können den Preis frei bestimmen
und jetzt auch noch zwangsweise mit Hardwaredongles und so, damit es "verständlicherweise" noch teurer wird.


Ich glaub da gab es schon irgendwo genug Threads, wo es um Wunschalternativen ging:
* sowas wie Let's Encrypt für Developer, also für ein hier passendes Zertifikat
* oder z.B. ein kostenloses/günstiges Entwicklerzertifikat über die MS-AppStore (ähnlich wie bei Android und Apple) oder irgendwas über Embarcadero.

Und warum ist die "hauseigene" Funktion für Zertifikate im Delphi (integrierter Signtool-Aufruf) nur für AppStore nutzbar und nicht auch beim normalen Kompilieren?

AW: Code Sign Zertifikat
 

Es ist wohl im Wesentlichen dem Hardware-Zwang geschuldet. Ich hatte im April 23 noch für $115.83 ein Zertifikat für drei Jahre bei SSL2Buy bekommen, aber die wollen aktuell auch schon $678.30 dafür haben und da kommen noch $80 für den Versand drauf.

Grundsätzlich würde ich das ja auch bezahlen, aber ich muss erst sicher sein, dass die Signierung auch automatisch in meinem Build-Prozess stattfinden kann. Na ja, ich habe ja noch ein paar Monate Zeit das zu recherchieren. Vielleicht gibt es bis dahin ja noch ein paar Erfahrungsberichte.