Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Hallo Zusammen!

Wir haben immer ein Zertifikat von GlobalSign verwendet. Konnten eine *.pfx Datei erzeugen, diese Datei in jede VM und
auf unseren Buildserver kopieren.

Fertig.

Leider gibt es wegen einer "Private Key protection for CodeSigning Certificates" eine neue Regel, dass man ein USB-Token verwenden "muss" und
den privaten Schlüssel nicht mehr exportieren kann.

Der Preis war nicht schlecht (589€ für 3 Jahre), aber mit dieser Einschränken kommen hier viele Probleme auf...

Wie macht Ihr das und welchen Anbieter zu welchem Preis verwendet Ihr?

Grüsse Mavarik :coder:

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Der Anbieter spielt dabei keine Rolle. Das geht mit normalen Zertifikaten nicht mehr anders als mit USB-Token.

Eine Alternative ist Code Signing as a Service, d.h. das Signieren passiert in der Cloud und nicht mehr lokal. Das bietet unter anderem ssl.com an.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Interessant, ist es dann dies hier? Als Organization Validation (OV) Code Signing Certificate
https://www.ssl.com/certificates/code-signing/

Ich hatte mir vor der Token-Umstellung noch ein 3-Jahres Signing verpasst,
deshalb habe ich noch etwas Zeit.
Trotzdem muss man mal schauen was so geht, 65 EUR/yr ist ja ziemlich OK, wenn das stimmt.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Und dann gibt es noch Signotaur mit dem man - soweit ich das verstanden habe - das USB-Token zentral verwenden kann, so dass nicht jeder Build-Rechner ein eigenes braucht. Kostet allerdings selbst noch mal $299, zusätzlich zum Zertifikat.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Ich verwendete immer comodo/Sectigo, habe dann vor 6 Monaten zu Certum gewechselt. Wahrscheinlich ist es für dein EV oder OV nicht wesentlich wo du kaufst. Ich bezahle momentan mit meinem Standard Zertifikat ganz toll drauf... selbst nach 6 Monaten warnt microsoft SmartScreen vor dem Download. File Submission oder "Als sicher melden" via Edge nützen nix. Von microsoft 0 Feedback. - Vorher beim Wechsel von sectigo zu sectigo verschwand die Warnung meistens nach wenigen Tagen (bei einem Wechsel wurde sogar gar nie gewarnt).

Zum Signieren via USB. Ich verwende als Installer InstallAware. Ich kann dort einen Hook setzen, welcher von InstallAware immer dann ausgeführt wird, wenn ein File signiert wird. - Da etwa 10 Mal signiert wird und ich nicht jedes Mal den PIN eingeben will, habe ich ein Delphiprogramm X geschrieben. Ich gebe im InstallAware Hook Feld diese App X an, welche das Tool zum Signieren aufruft => PIN Form wird angezeigt, X sucht nach dem PIN Fenster und gibt den PIN und ENTER (Bastellösung ;-)) ein. Auf diese Weise läuft's bei mir wie früher ohne USB Token. (Diverse Zertifikatsanbieter geben eine solche App X gleich mit.)

(Anstatt mit USB Token in der Cloud signieren lassen ist für meinen Fall nix, da InstallAware während dem Buildprozess Files erzeugt und signiert.)

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Tönt gut... du musst zwar für 10 Jahre abschliessen, aber ist immer noch extrem günstig. Ich bezahlte für mein Standard für 3 Jahre inkl. USB (und Zollvorweisungsgebühr und MWSt) fast CHF500.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Ach ja, das Kleingedruckte :-D

Ist aber trotzdem noch fair, weil ich auch 650 EUR pro Jahr schon woanders gesehen hatte.
Dann hat man halt 10 Jahre Ruhe, ist doch auch was Wert :thumb:

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

VirtualUSB ... USB jeweils vom Host (oder sonstwo im Netz, z.B. von einer Synology) zu je einer VM durchschleifen.

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Den Key musst du aber noch extra kaufen oder alternativ ein eSigner Paket für mindesten 15$ pro Monat abschließen. :gruebel:

AW: Anwendungen signieren - welcher Zertifikat-Anbieter?
 

Ich verwende eine USB-Token von Sectigo (ehemals Comodo) für 3 Jahre kostet das ~770€. Dar Dongle hängt über einen Dongleserver (SEH Technology) an einer VM mit Signotaur (~220€). Damit kann denn jeder in der Firma mit dem Signotaur Client - Tool signieren (auch die CI).