Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Hallo Zusammen!

Wir haben immer ein Zertifikat von GlobalSign verwendet. Konnten eine *.pfx Datei erzeugen, diese Datei in jede VM und
auf unseren Buildserver kopieren.

Fertig.

Leider gibt es wegen einer "Private Key protection for CodeSigning Certificates" eine neue Regel, dass man ein USB-Token verwenden "muss" und
den privaten Schlüssel nicht mehr exportieren kann.

Der Preis war nicht schlecht (589€ für 3 Jahre), aber mit dieser Einschränken kommen hier viele Probleme auf...

Wie macht Ihr das und welchen Anbieter zu welchem Preis verwendet Ihr?

Grüsse Mavarik :coder:

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Der Anbieter spielt dabei keine Rolle. Das geht mit normalen Zertifikaten nicht mehr anders als mit USB-Token.

Eine Alternative ist Code Signing as a Service, d.h. das Signieren passiert in der Cloud und nicht mehr lokal. Das bietet unter anderem ssl.com an.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Interessant, ist es dann dies hier? Als Organization Validation (OV) Code Signing Certificate
https://www.ssl.com/certificates/code-signing/

Ich hatte mir vor der Token-Umstellung noch ein 3-Jahres Signing verpasst,
deshalb habe ich noch etwas Zeit.
Trotzdem muss man mal schauen was so geht, 65 EUR/yr ist ja ziemlich OK, wenn das stimmt.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Und dann gibt es noch Signotaur mit dem man - soweit ich das verstanden habe - das USB-Token zentral verwenden kann, so dass nicht jeder Build-Rechner ein eigenes braucht. Kostet allerdings selbst noch mal $299, zusätzlich zum Zertifikat.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Ich verwendete immer comodo/Sectigo, habe dann vor 6 Monaten zu Certum gewechselt. Wahrscheinlich ist es für dein EV oder OV nicht wesentlich wo du kaufst. Ich bezahle momentan mit meinem Standard Zertifikat ganz toll drauf... selbst nach 6 Monaten warnt microsoft SmartScreen vor dem Download. File Submission oder "Als sicher melden" via Edge nützen nix. Von microsoft 0 Feedback. - Vorher beim Wechsel von sectigo zu sectigo verschwand die Warnung meistens nach wenigen Tagen (bei einem Wechsel wurde sogar gar nie gewarnt).

Zum Signieren via USB. Ich verwende als Installer InstallAware. Ich kann dort einen Hook setzen, welcher von InstallAware immer dann ausgeführt wird, wenn ein File signiert wird. - Da etwa 10 Mal signiert wird und ich nicht jedes Mal den PIN eingeben will, habe ich ein Delphiprogramm X geschrieben. Ich gebe im InstallAware Hook Feld diese App X an, welche das Tool zum Signieren aufruft => PIN Form wird angezeigt, X sucht nach dem PIN Fenster und gibt den PIN und ENTER (Bastellösung ;-)) ein. Auf diese Weise läuft's bei mir wie früher ohne USB Token. (Diverse Zertifikatsanbieter geben eine solche App X gleich mit.)

(Anstatt mit USB Token in der Cloud signieren lassen ist für meinen Fall nix, da InstallAware während dem Buildprozess Files erzeugt und signiert.)

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Tönt gut... du musst zwar für 10 Jahre abschliessen, aber ist immer noch extrem günstig. Ich bezahlte für mein Standard für 3 Jahre inkl. USB (und Zollvorweisungsgebühr und MWSt) fast CHF500.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Ach ja, das Kleingedruckte :-D

Ist aber trotzdem noch fair, weil ich auch 650 EUR pro Jahr schon woanders gesehen hatte.
Dann hat man halt 10 Jahre Ruhe, ist doch auch was Wert :thumb:

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

VirtualUSB ... USB jeweils vom Host (oder sonstwo im Netz, z.B. von einer Synology) zu je einer VM durchschleifen.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Den Key musst du aber noch extra kaufen oder alternativ ein eSigner Paket für mindesten 15$ pro Monat abschließen. :gruebel:

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Ich verwende eine USB-Token von Sectigo (ehemals Comodo) für 3 Jahre kostet das ~770€. Dar Dongle hängt über einen Dongleserver (SEH Technology) an einer VM mit Signotaur (~220€). Damit kann denn jeder in der Firma mit dem Signotaur Client - Tool signieren (auch die CI).

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Danke, das kannte ich noch gar nicht. :thumb:

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Exakt genauso machen wir das auch. Funktioniert super + mit Signotaur hat sich das Neu-Eingeben des Passwords endlich erübrigt.
BTW: Irgendwie habe ich es geschafft, den USB-Token zu töten - ich denke, da war was miut Admin-PW oder so, aber Sectige hat anstandslos eine neuen Token bereitgestellt + die Restlaufzeit angerechnet.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Ich stehe Ende des Monats vor dem selben Problem: Das Zertifikat erneuern.

Im Prinzip habe ich einen einfacheren Fall, ein Entwickler und Codeeingabe wäre auch kein großes Problem. Also ginge wohl der USB Token. Ich muss auch keine Treiber signieren.
Nach meinen Recherchen und dem lesen hier stellen sich mir aber doch fragen was ich kaufen soll.

Generell: EV oder OV? Bisher hatte ich auch nur OV, aber der Bericht, dass Smart Screen da ewig kein ok gibt macht mich nachdenklich. Man bindet sich ja allgemein 3 Jahre. EV kostet halt ca 600 Euro, OV gut 1000 Euro bei Certum.
Was sind da eure Erfahrungen?

Dann wäre die 2. Frage: Dongle oder Cloud. Die Cloud hat ein signing limit bei ssl.com, was für mich aber reicht.
Aber wie zuverlässig funktioniert das?
Kann man das auch von 2 Rechnern alternativ machen?
Final: würdet ihr das cloud signing empfehlen? Es ist ja doch einiges günstiger.

Schon im Voraus…. Vielen dank für eure Meinungen und Hilfen

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Also unsere Firma benutzt DigiCert. Davon kann ich allen nur abraten! Furchtbare, verwirrende Webseiten, katastrophal unübersichtliche Anleitung, überhaupt nicht hilfreiche Fehlermeldungen ("...failed." end of story).

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Nach noch mal etwas rechnen scheint cloud signing bei ssl.com doch recht teuer wegen der 15 Euro/Monat.
Bei Certrum gibt es auch ein code signing in der cloud für gut 400 Euro für ein OV Certifikat für 3 Jahre. Das hört sich preislich schon ganz gut an. Gibt es da Erfahrungen?

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Wir benutzen seit vielen Jahren nur OV von Sectigo. Seit kurzem auch mit USB. Wir hatten damit noch nie einen Smartscreen. Kunden haben auch nichts in dieser Richtung berichtet. Die Cloud-Dienste sind grundsätzlich nicht an eine Maschine gebunden und können von beliebig vielen Rechnern aus verwendet werden.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Ich dachte das wurde grade deswegen auf USB/Cloud geändert, damit es nicht raubkopiert und nicht "einfach so" sonstwo ausgeführt werden kann?

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Verschwörungstheorie on
Das wurde als Grund vorgeschoben, in Wahrheit ging es darum, mit den Zertifikaten mehr Geld verdienen zu können, und dabei idealerweise die lästigen Einzelprogrammierer und kleinen Firmen aus dem Markt zu drängen. Ach ja: Und Microsoft wollte dabei auch mitverdienen, indem sie den Cloudservice anbieten.
Verschwörungstheorie off

Cloud heißt im Prinzip ja immer auch eine Authentifizierung des Clients gegenüber dem Server. Ohne das jetzt zu wissen: Ich hätte das als Serviceprovider aus Sicherheitsgründen so implementiert, dass man die Clients, die signieren dürfen, beim Server registrieren muss. Dabei aber nicht einfach nur irgendwelche Anmelde-Informationen übermittelt werden sondern etwas kryptographisch sicheres, wie z.B. Private/Public-Key Paare ähnlich wie bei ssh, wo man den Public Key auf den Server laden muss. Vermutlich ist das aber natürlich nicht direkt so gelöst, sondern das macht eine Client-Software für einen unter der Haube.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Es gab auch die Möglichkeit ein kostenloses SSL-Rootzertifikat z.B. des Firefox zu nutzen, für die CodeSignierung.
Es gibt/gab SSL-Zertifikate, welche auf ein Zertifikat aufbauen, das Windows kennt (und auch Linux), womit ein Teil auch durch Windows validiert werden konnte.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Wir hatten das Thema vor ein paar Monaten auch mal beim "Frühstück", weil ich auch danach gefragt hatte. In der Runde wurde das "Code Signing in the Cloud" von Certum als recht tauglich gesehen - https://shop.certum.eu/ev-code-signi...the-cloud.html.

Kannst du ggf. auch mal Gerd zu ansprechen, der hat schon seit einiger Zeit Erfahrungen damit und war wohl recht zufrieden.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Wer ist Gerd?

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Ich. ;-)

bBommel, Mavarik, ich und ein paar andere gehören zur Kölner Usergroup. Wir treffen uns in unregelmäßigen Abständen Samstags zum Frühstück (meist bis zum späten Mittag). Immer sehr interesant.

Und genau dieses Thema hatten wir beim letzten Frühstück.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Super. Vielen Dank für den Kontakt.

Kannst du da noch etwas zu deinen Erfahrungen mit "Code Signing in the Cloud" von Certum berichten?
Das scheint derzeit auch mein Favorit zu sein.

Wenn ich das richtig sehe ist man für 419 Euro für 3 Jahre OV Zertifikat in der cloud dabei. Ein limit für Signierungen gibt es wohl nicht. Braucht man noch was zusätzlich?
Funktioniert das dann problemlos, oder hast du schon irgendwelche Probleme entdeckt?

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Was soll ich sagen. Läuft.

Allerdings muss man vor der Signierung ein Einmalpasswort (Über die mitgelieferte App SimplySign) eingeben. Dann kann man ca. eine Stunde (habe es nicht wirklich gestoppt) so viel signieren wie man will.

Ein Build über Nacht mit anschließender Signierung könnte also problematisch werden. Habe ich aber nie benötigt.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Bir mir läuft es auch problemlos (mit Inno setup), man muss halt sein Smartphone greifbar haben.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Also nichts für automatische builds - oder?

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Danke, dann wird es wohl demnächst Certum werden.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Das ist für mich auch ein K.O. Kriterium. Ich arbeite aktuell mit Signotaur und einem Zertifikatsfile. Wenn das demnächst abläuft werde ich auf ein USB-Zertifikat wechseln, wobei ich da noch klären muss, welcher Key mit meiner VM-Umgebung harmoniert. Netterweise sind Vincent Parrett und sein Team in dieser Hinsicht sehr hilfsbereit und leisten eindeutig den Löwenanteil an der notwendigen Recherche.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Da muss ich doch mal nachfragen. Alles in allem dauert der Build meiner Software 1-5 Min.

Das Build starte ich manuell. Danach wird signiert. Dazu wird lediglich ein Einmalpasswort abgefragt (mal eben aufs Handy schauen). Und alles ist signiert.

Weshalb muss ein Build unbeaufsichtigt durchgeführt werden. (z.B. bei Uwe oder Freimatz)

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Da muss man wirklich aufpassen. Mein Sectigo-USB soll angeblich mit so ziemlich allem funktionieren - außer mit RDP. Das bedeutet: Selbst wenn der USB-Stick im Host steckt und ich per RDP mit dem Host verbunden bin, kann ich nicht auf den USB zugreifen. Per VNC funktioniert es. Ein bißchen genervt bin ich von diesen Hilfskrücken schon...

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Wir kompilieren via FinalBuilder, aber ein Teil läuft automatisiert.

Aktuell nur der Datenbankteil, welcher beim Git-Push, angestoßen wird, also wo eine TestDB erzeugt und anschließend getestet wird,
aber per se wäre es auch möglich, dass der Delphi-Branch genommen, alles kompiliert und dann getestet wird.
(im GitHub ein Trigger, der auf 'nem eigenem Rechner oder in der Cloud das Programm erzeugt)

Es gibt auch Projekte, wo das Kompilieren ewig dauert ... geht von 15 Minuten, bis mehrere Stunden.
Und teilweise wird (auch deswegen) regelmäßig automatisch kompiliert und z.B. oft Nachts eine neuer Build erzeugt und zum Download bereitgestellt.



Ja, für interne Dinge könnte man auch selbsterstellte Zertifikate nutzen, welche keinen USB/Cloud/... benötigen.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Kommt sicher auf die Gegebenheiten an. Bei mir ist es einfach Bequemlichkeit und Überzeugung. Ein Build startet entweder von selbst, z.B. durch ein Push in das entsprechende Repository, oder mit einem Klick auf den passenden Button im Dashboard, z.B. um eine neues Release anzustoßen.

Bei mir werden alle erzeugten EXE-, DLL- und Setup-Dateien (ja, sind auch EXE) automatisch im Build signiert (man weiß nie wer das mal eben zum Testen in die Finger kriegt). Ausnahme, frühe Beta-Versionen bei einem neuen Delphi, solange das Build-System das noch nicht unterstützt - ist aber in der Regel nicht lang.

Pushe ich einen Branch, triggert das automatisch ein Build dieses Branches mit Vergabe einer eindeutigen Build-Nummer, mit der das ChangeSet auch gleich getagged wird. Durch den Automatismus wird sofort geprüft, ob die Änderungen auch vollständig im System sind (wer hat nicht schonmal vergessen eine neue Datei einzuchecken?) und sich auch alle zugehörigen Projekte erzeugen lassen und nicht nur das, an dem ich gerade gearbeitet habe. Da das allein durch das Push ausgelöst wird, kann ich sofort mit was anderem weitermachen. Läuft alles gut - sehr schön, falls nicht bekomme ich vom Build-System eine Nachricht und kann das zeitnah beheben (so ein roter Fleck im Dashboard ist halt schon recht lästig).

Für ein vollständiges Release wird manuell gestartet und da kann die Build-Zeit schon mal etwas länger dauern. Da werden Screenshots mit dem frischen Compilat gemacht, in die Dokumentation übernommen und als CHM und PDF bereitgestellt - alles in den unterstützen Sprachen. Die Setups werden dann automatisch hochgeladen und (wenn möglich automatisch) auf den zugehörigen Seiten bereitgestellt. Heißt, ich klicke auf den Build Release Button des entsprechenden Projekts und der Rest läuft dann ganz alleine.

Jetzt kann man natürlich einwenden: Ist das nicht ein wenig over-engineered für einen einzelnen Developer? Vielleicht, aber gerade wenn man allein ist, sollte man soviel wie möglich automatisieren, finde ich. Sobald das aber in einem Team stattfindet, bin ich fest davon überzeugt, dass man viel zu viel kostbare Zeit vergeudet, wenn man das nicht so weit automatisiert. Wenn ich mir da die eine oder andere Software-Schmiede (oder Software-Team) ansehe in die ich mal reinschnuppern durfte, da gibt es oft noch ein gehöriges Potential die Entwickler effizienter zu machen. Stattdessen wird soviel Zeit in Routineaufgaben vergeudet - aber an den Kosten für Freiberufler sparen wollen...

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Für Einzelentwickler sicher kein muss. Aber Mavarik schrieb "wir".
Bei uns geht vieles ähnlich wie bei Uwe.
Auch wir haben etliche Branches (ich heute ca. 5 neue). Für jeden wird automatisch ein Job erstellt. Wenn man dann etwas neues pushed läuft automatisch die Pipeline an und hinten kommt ein Setup raus. Bei uns dauert ein Build ca. zwei Stunden. Man kann konfigurieren ob ein branch gleich auch zertifiziert wird. Zudem kann man automatische UI-Tests laufen lassen um sicherer zu sein, dass man nichts verbastelt hat. (Siehe auch "DevOps")