|
Eigene Anwendungen digital signieren - eine Mini-Einführung
Selbst Code signieren
Das ist die absolute Kurzfassung für diejenigen, die mal eben mit digitalen Signaturen herumspielen möchten. In diesem Beispiel wird ein eigenes digitales Zertifikat erzeugt und dann lokal auf dem Rechner installiert. Warum selbst signieren? Wird eine nicht signierte Anwendung unter Vista als Administrator ausgeführt, so erscheint das Fenster der Benutzerkonten-Steuerung in recht hässlicher Art und Weise: Eine digital signierte Anwendung lässt dieses Fenster schon etwas angenehmer ausschauen: Im professionellen Einsatz wird man um den Erwerb eines Zertifikates nicht umhin kommen, doch für erste Gehversuche auf dem lokalen Rechner kann diese „Spar-Variante“ ausreichen. Kleiner Bonus am Rande: Man kann hiermit auch Treiber signieren und damit zum Beispiel die Vista-Varianten zufriedenstellen, die auf digital signierte Treiber bestehen. Eine weitere Einsatzmöglichkeit für dieses Zertifikat wäre das digitale Signieren einer Anwendung, die nur haus-intern eingesetzt wird, wo der Erwerb eines Zertifikates also nicht zwingend notwendig wäre. Mit den folgenden zwei Befehlen wird ein Minimal-Zertifikat erstellt und auf dem lokalen Rechner installiert. In meinem Beispiel wird das Zertifikat in der Datei „d:\my_certificate.cer“ gesichert, diesen Pfad müsst Ihr ggf. an Euer System anpassen. Für die Installation des Zertifikates in Schritt #2 werden administrative Rechte benötigt. Die beiden verwendeten Werkzeuge „makecert“ und „signtool“ sind Bestandteile des .NET SDK von Microsoft und finden sich im .\BIN-Verzeichnis der .NET-SDK-Installation. 1) Zertifikat erzeugen:
Code:
2) Das frisch erzeugte Zertifikat In den Speicher vertrauenswürdiger Stammzertifizierungsstellen installieren:
makecert.exe -$ individual -r -pe -ss "DP Certificate Store" -n CN="DP Signierung" "d:\my_certificate.cer"
Code:
Nun können wir dieses Zertifikat auf unserem lokalen Rechner nutzen. Soll das Zertifikat auch auf anderen Rechnern genutzt werden, so muss die Zertifikatsdatei auf den anderen Rechner kopiert werden und danach der Schritt #2 auf diesem Rechner ausgeführt werden (ebenfalls mit Admin-Rechten).
certmgr.exe /add "d:\my_certificate.cer " /s /r localMachine root
3) Eine Datei mit dem neuen Zertifikat digital signieren:
Code:
4) Die Signatur der Datei verifizieren:
signtool.exe sign /v /s "DP Certificate Store" /n " DP Signierung " {DATEINAME}
Code:
Das als Mini-Einführung. Als weitere Referenz seien die Dokumentationen der beiden genutzten Werkzeuge erwähnt.
signtool.exe verify /pa /v {DATEINAME}
|
Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
Ich habe mein Programm digital signiert, wie oben beschrieben. Mein Vista erkennt das Programm nun als vertrauenswürdig. Nun habe ich die signierte Datei auf einen anderen Vista-Rechner kopiert und ausgeführt. Und hier wieder das selbe: unbekannter Herausgeber. In den Eingenschaften der Datei kann man lesen, das eine digitale Signatur zwar gefunden wurde, gehört aber nicht zu den vertrauenswürdigen Herausgebern.
Wie lässt sich ein Zertifikat auf einen anderen Rechner übertragen? |
Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
Moin romber,
Zitat:
|
Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
Nett :)
Aber wo bekommt man dann eigentlich echte Zertifikate her, wer überprüft deren Authentizität, und was kostet der Spass :? ? |
Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
Zitat:
VeriSign  www.verisign.comEs sind Jahreslizenzen. Ab 499,- USD/Jahr. Nicht ganz so billig, aber wer die Software kommerziell entwickelt, sollte (leider) eine digitale Signatur besorgen, um den Kunden das Leben ein bißchen leichter zu machen. Besonders unter Vista ist es extrem. Da starten nicht mal Autostart-Programme, wenn diese unsigniert sind. |
Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
[... Link entfernt, da nicht mehr gültig ...] VeriSign ist übrigens der Mercedes unter den Authorities (was den Preis angeht) - Thawte gibt's für 199$/Jahr und Comodo schon für 179$/Jahr - schon ein Unterschied zu den 499$/Jahr, die VeriSign haben will.
|
Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
warum überhaupt ein solches Zertifikat von verysign etc.? Man kann doch mit der normalen Installation des Programmes auch gleich das eigene Zertifikat mit installieren.
|
Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
Zitat:
VeriSign - selbst nutze ich Comodo - ist der einzige Anbieter, welcher vollständig von MS unterstützt wird. Das merkt man beim Fehlerberichtreporting, welche auf http://winqual.microsoft.com hinterlegt werden, das geht leider ausschließlich mit VeriSign. Gleiches gilt für Vista-Certification, unterstützt MS nur mit VeriSign :roll:...:cat:... |
Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
Was ich nicht verstanden habe: muss man für jedes Produkt eine neues Zertifikat erwerben oder reicht ein Zertifikat?
|
Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
Zitat:
...:cat:... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:24 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz