eigenes Zertifikat
 

Hallo...:P

Tutorial: https://www.delphipraxis.net/90725-e...nfuehrung.html

Ich habe schon eigene Zertifikate erstellt und die EXEn signiert. Diesmal will er nicht. :?

1. Das Zertifikat ist im Store. (Bild Zertifikat)
2. Über eine Batch (PostBuild) wird die EXE signiert.
3. Aber die Eigenschaften (Bild Eigenschaften) haben keinen Reiter "Digitale Signaturen" und mich grinst immer noch das gelbe Bild an. :evil:

Nachtrag: W10

Danke für Ideen...

AW: eigenes Zertifikat
 

Wie sehen die signtool Parameter denn aus?

AW: eigenes Zertifikat
 

Danke...
PS: ich habe auch das SignTool aus dem W10 SDK genommen...wie gehabt.

AW: eigenes Zertifikat
 

Mit Windows 10 SDK signtool habe ich noch nicht gearbeitet...

unter Windows 7 und mit signtool.exe aus dem Windows 8 SDK sieht das Skript so aus:

Laufzeitumgebung ist Windows 7 Enterprise (Desktop-Virtualisierung unter VMWare)

AW: eigenes Zertifikat
 

Danke...

Wir reden über unterschiedliche Dinge...ich habe keine pfx Datei, ich habe kein Paßwort, ich habe keinen Timestamp. :? Das Tutorial hat immer funktioniert...was habe ich übersehen? :?

AW: eigenes Zertifikat
 

Ja, ist mir auch aufgefallen, es macht aber keinen großen Unterschied ob man mit oder ohne PFX arbeitet. Timestamp ist optional (wenn es bisher auch ohne funktioniert hat).
Werden denn die früher signierten Anwendungen weiterhin korrekt als signiert auf diesem Windows Rechner angezeigt?

AW: eigenes Zertifikat
 

Du sollst nicht mehr nur mit SHA1 signieren, sondern zusätzlich oder ausschließlich mit SHA256. Und bei SHA256 (zusätzlich) brauchst du auch den Zeitserver.

Das Tutorial ist gut, beschreibt allerdings nur SHA1 und nicht die mehrfach Signierung (SHA1/SHA256) oder eben die mit SHA256, ist somit in der Form veraltet und sollte überarbeitet werden.

AW: eigenes Zertifikat
 

Moin...8-)
Das ist nur interne Software. Mir geht es darum nur den gelben Bildschirm beim Starten des Updaters zu "verhindern". Klar kann man das besser machen. :P
Nach dem ich das andere Zertifikat (DIMOWA®) installiert hatte, wurde die EXE (dSRG.exe) richtig erkannt.

:gruebel:

AW: eigenes Zertifikat
 

Vielleicht eine doofe Frage, da ich generell nur mit pfx-Zertifikaten arbeite: Kannst Du dein Wunschzertifikat nicht im Internet Explorer (ja Internet Explorer, nicht Edge) nicht als pfx exportieren?
Falls doch, dann weiß Du auf jeden Fall durch die Mitgabe als /f-Parameter, welches Zertifikat er beim Signieren verwendet.
Und dann kannst Du das Zertifikat auch als sha256 exportieren, so dass auch dies auf dem Stand der Zeit ist
Und dann sagt dir auch /v genau, was bei diesem Zertifikat nicht stimmt.

AW: eigenes Zertifikat
 

Das Tutorial ist in der Tat hoffnungslos veraltet. Selbst die KB-Artikel der diversen CAs sind meist hoffnungslos veraltet. Die Dokumentation von Microsoft existiert teils in so vielen widersprüchlichen Versionen, daß einem schlecht wird. Wer des Englischen mächtig ist, ist noch immer mit dieser Abhandlung am besten bedient. Wird von Zeit zu Zeit aktualisiert und ist besser als jegliche Informationen der vorgenannten Quellen.

Ich habe auch festgestellt, daß es durchaus ein paar Minuten dauern kann, bis eine Signatur als gültig angesehen wird. Das kann man selber testen indem man eine signierte und auf einem anderen System geprüfte Datei, welche Elevation erfordert, auf ein anderes System kopiert und startet. Zuerst kommt üblicherweise eine Warnung, während ein paar Minuten später das übliche blaue oder grüne Häkchen im Dialog auftaucht. Grund ist vermutlich, daß hier vom System auch noch die CRLs konsultiert werden und eben nicht nur der lokale Zertifikatsspeicher.

... auf? Klingt vielleicht seltsam, aber /verify basiert bspw. auf den systemspezifischen Policies. Ein Windows 10 wird sich hier also anders verhalten als ein Windows 7. Egal ob du nun das signtool aus dem neuesten Windows 10 SDK nutzt oder nicht. Sprich: benutzt du dasselbe signtool (inklusive entsprechender DLLs) auf einer anderen Windowsversion, bekommst du ein anderes Verhalten. Sogar Windows 10 1803 kann sich anders verhalten als 1809 ... aber das sind üblicherweise kleinere Sprünge als eben Windows 7 auf 10.

Übrigens gibt es nicht das Windows 10 SDK. Mittlerweile dürfte es ein halbes Dutzend geben. Auf meinem System habe ich zumindest allein vier verschiedene Windows 10 SDKs installiert (10.0.10240.0, 10.0.16299.0, 10.0.17134.0, 10.0.17763.0).

Ein Zeitstempel ist immer optional, korrekt. Aber ohne Zeitstempel läuft die Signatur zusammen mit dem Zertifikat aus. Das ist eher selten gewünscht. Zumal man aus Sicherheitsgründen immer ein Zertifikat mit einer eher beschränkten Gültigkeitsdauer benutzt.

Sollte das Verhalten gewünscht sein, daß die Signatur mit der Zertifikatsgültigkeit verfällt, kann im Zertifikat noch die EKU 1.3.6.1.4.1.311.10.3.13 (Lifetime Signing) gesetzt werden ... oder man läßt halt den Zeitstempel weg. Das ist aber wiederum so unkonventionell, daß es üblicherweise auf einen Fehler des Anwenders verweist. Die EKU kannst du mit "makecert -eku 1.3.6.1.4.1.311.10.3.13" setzen ...

Falls hier die Angst bestehen sollte, daß der Zeitstempel von einem bestimmten Anbieter sein muß, so darf ich das als unbegründet zurückweisen. Beispielsweise bietet Certum keinen SHA256-gehashten-Zeitstempel an, weshalb sie auf andere Anbieter von Zeitstempelservern verweisen. Für WinDirStat benutze ich dann http://timestamp.digicert.com für SHA256 und http://time.certum.pl für SHA1.

Übrigens, als Admin würde ich an die Decke gehen wenn ein kommerzieller Softwareanbieter selbstsignierte Zertifikate benutzt und mglw. sogar noch die Zertifikate ohne deutlichen Hinweis als vertrauenswürdig installiert. Ist aber ein anderes Thema und du schreibst ja es sei allein für interne Zwecke.

Irrelevant wo das Zertifikat (bspw. Zertifikat und privater Schlüssel) herkommt. Der Zertifikatsspeicher ist aber definitiv sicherer als eine PFX-Datei die womöglich noch nicht einmal paßwortgeschützt ist.

Was du übersehen, bzw. "verschlafen" hast, sind die teils drastisch verschärften Anforderungen an Zertifikate und damit erstellte Signaturen. Siehe auch (aber nicht nur) hier.

Was darauf hindeutet, daß signtool womöglich ein anderes Zertifikat zum Signieren aussucht, als du dachtest (mit höheren Verbosity-Leveln kannst du schauen was genau signtool da macht). Schließlich hat signtool ganz eigene Regeln welches Zertifikat genommen wird (bspw. mit der längsten Gültigkeit) wenn man nur den Namen benutzt um das Zertifikat zu identifizieren. Stattdessen sollte man eigentlich den Fingerabdruck des Zertifikats benutzen, muß dann aber das entsprechende Skript alle paar Jahre aktualisieren.

Auch immer dran denken, daß zum Signieren das Zertifikat und der passende private Schlüssel verfügbar sein müssen. Zertifikat allein reicht nur zum verifizieren einer Signatur, aber eben nicht zum Signieren.

Und dann noch ein paar Notizen ...

• Zertifikate werden üblicherweise von einer CA (Certification Authority) signiert, diese Signatur ist üblicherweise mit SHA1 oder SHA-256 (also SHA2 mit 256bit) gehasht, die Zertifikate werden in diesem Sinn als SHA1 oder SHA2 kategorisiert
• Die Zertifikate bis hinauf zur Wurzel sollten alle Signaturen mit dem gleichen Hash-Algorithmus gehasht sein
• Zertifikate ohne Wurzel sind üblicherweise selbstsigniert, da aber Systeme immer den Zertifikaten aus einer Zertifikatskette vertrauen schenken, muß eben dieses Zertifikat selbst als vertrauenswürdig im System installiert werden
• Man kann ohne weiteres ein SHA1-Zertifikat nehmen um eine Signatur zu erzeugen die einen SHA2-Hash enthält und umgekehrt
• Gleiches gilt für Zeitstempel, auch hier kann man theoretisch mischen wie man will, sollte man aber nicht