Code-Signierung (Microsoft Authenticode)

Question

Ich habe ein Programm, das von einer großen Anzahl von Menschen verwendet wird, die nicht immer super Computer-versiert sind. Ich möchte sicherstellen, dass, anstatt meine ausführbare Datei sagen zu lassen, dass es von einem unbekannten Autor ist, dass es sagt, dass es von mir unterzeichnet wurde.

Soweit ich weiß, kann dies mit Microsoft Authenticode getan werden. Ich verstehe, ich brauche ein Zertifikat, um dies zu tun und suchte nach einem zu einem vernünftigen Preis. Ich stolperte über die Seite Microsoft Authenticode Certificates.

Es sieht aus wie GlobalSign hat alles, was ich brauche. Was ist die Erfahrung mit Zertifikaten von ihnen oder gibt es eine bessere Firma? Gibt es irgendwelche guten Tutorials für jemanden, der das zum ersten Mal macht?

Answer 1

I Thawte seit Jahren verwendet, und jetzt benutze ich Comodo (das billigste, US $ 179,95). Vergessen Sie nicht, beim Kauf Ihres Zertifikats Ihren privaten Schlüssel zu speichern. Sie benötigen das Tutorial Code Signing for Developers - An Authenticode How-To.

Answer 2

Meine Organisation hat Verisign und Comodo verwendet (wir verwenden die ehemalige jetzt, da der Windows-Fehlerberichterstattungsdienst ein Comodo-Zertifikat nicht akzeptieren würde - etwas, das zu berücksichtigen ist). Es gibt nicht viel zu tun - Sie können SignTool.exe verwenden, die Teil der .NET SDK ist (möglicherweise gibt es andere Tools, aber dieses ist leicht verfügbar, vor allem, wenn Sie Visual Studio haben).

Wir haben ein Skript, das läuft die folgende (im Skript wird das% _...% Variablen% 1 ist die Datei, die Sie unterzeichnen)

signtool.exe sign /f %_PFXFILE% /p %_PASSWORD% /v /t http://timestamp.verisign.com/scripts/timstamp.dll /d %_DESCRIPTION% /du %_URL% %1 

Answer 3

Comodo ist ein guter Ausgangspunkt, um die günstigste Codesignierungszertifikat zu finden, aber man erhält den besten Preis von einem Händler.

Ich habe grade die Preise von https://author.tucows.com/ überprüften.Sie sind:

• Comodo Codesignierungszertifikat - 1 Jahr: US $ 75
• Comodo Codesignierungszertifikat - 2 Jahre: US $ 140
• Comodo Codesignierungszertifikat - 3 Jahre: US $ 195

Zusätzliche Bedingung sind

• Effektivste Kosten vollständig validiert und vollständige SSL unterstützt Zertifikate verfügbar
• Wie als Verisign vertraut und Thawte, noch einen Bruchteil des Preises
• 99% Browser Allgegenwart
• Industriestandard 128   Bit
• Validierungsprozesse so stark wie Verisign und weit stärker als GeoTrust
• 30 Tage Geld-zurück-Garantie
• 30 Tage kostenlos Ersatz und Reissu e Politik
• unterschiedliche Ebene der Garantie für bestimmte Website muss
• Freien Securityspace Sicherheits-Audit
• Freies Trustlogo (im Wert von $ 119) mit jedem InstantSSL Pro und PremiumSSL Zertifikat

Der einzige Trick, den Preis zu erhalten: Sie müssen sich KOSTENLOS bei autor.tucows.com registrieren.

Noch eine Bemerkung. Unabhängig von der Preisfrage möchte ich eine wichtige Information hinzufügen, um sicherzustellen, dass Sie richtig verstehen, warum Sie die Zeitstempel benötigen. Wenn Sie eine Datei unter Verwendung eines Codesignaturzertifikats signieren, können Sie für die freie Zeitstempelung von jedem Zeitstempelserver wie timestamp.verisign.com (siehe/T-Parameter des SignTool.exe-Dienstprogramms) verwenden. Der praktische Vorteil des Zeitstempelns ist folgender: Wenn Sie ein Codesignaturzertifikat verwenden, das beispielsweise bis Ende 2010 gültig ist, bleibt die Dateisignatur nach Ende 2010 in Ordnung. Ohne Zeitstempeln müssen Sie die Kündigung widerrufen Datei mit dem neuen Zertifikat. Der Zeitstempelserver bestätigt lediglich das Datum der Unterzeichnung. Da Ihr Zertifikat zum Zeitpunkt der Prüfung in Ordnung war, werden Sie später keine Probleme haben. Wenn Sie also nur ein Zertifikat benötigen, um eine Software einmal zu verkaufen, können Sie ein Zertifikat für den minimalen Zeitraum erhalten: ein Jahr. Sie können mehr über Zeitstempel in SSL Certificate Authority and Digital IDs und Trusted timestamping lesen.

In Bezug auf eine weitere Teilfrage Ihrer Frage: Nachdem Sie ein Zertifikat haben, empfehle ich Ihnen einfach SignTool.exe Dienstprogramm verwenden. Es ist einfach, kostenlos und einfach zu bedienen. Sie können Beispiele für die Verwendung von SignTool.exe in Using SignTool to Sign a File und Assembly Signing Example finden oder einfach nur SignTool.exe sign -? starten.

Answer 4

Ich verwende ein Zertifikat von Certum für meine Projekte. Die Preise sind vernünftig, ihre Unterstützung ist schnell und eigentlich ziemlich gut, verglichen mit einigen anderen Firmen.

Und sie bieten die Zertifikate kostenlos, wenn Sie es für ein Open Source-Projekt verwenden. Aber Sie müssen danach fragen, sie werben das nicht auf ihrer Website (oder ich habe es gerade nicht gefunden).

Answer 5

Zertifikat weise haben wir komplett auf StartSSL.com für alle unsere SSL und Code-Signing-Bedürfnisse, weil ihre (nach bestem Wissen und Gewissen) nach wie vor einzigartigen Ansatz zur Validierung und Zertifikate ermöglicht deutlich niedrigere Preise (~ 50 USD für 2 Jahre, unbegrenzte Zertifikate) und viel erhöhte Flexibilität: siehe my answer on Pro Webmasters für einige Vor- und Nachteile in Bezug auf ihre Vorgehensweise im Allgemeinen und SSL-Zertifikate im Besonderen.

Seit einiger Zeit bieten sie auch Codesignaturzertifikate für die Verwendung mit Authenticode an, auch wenn sie noch als beta gekennzeichnet sind - wir verwenden diese erfolgreich für ClickOnce-implementierte Anwendungen an mehreren Kundenstandorten ohne Probleme. Die eine Sache, die auf jeden Fall scheint Beta Qualität ist immer noch ihre time stamping server obwohl, die nicht zu jeder Zeit anspricht, aber es einfach durch einen anderen Anbieter zu ersetzen funktioniert einwandfrei bis jetzt. Während ihre Dokumentation SSL-weise ist in Ordnung, die für Code Signing ist definitiv sehr schwach noch (in der Nähe nicht vorhanden), folglich mussten wir die meisten Informationen aus den Foren oder generischen beraten woanders ausgraben.

Wenn Preisgestaltung und Flexibilität mit Zertifikaten Ihre Hauptsorgen sind, denke ich, dass Sie nicht bedauern werden, ihre Angebote auszuprobieren; Wenn Ihnen andererseits eine gründliche Dokumentation und eine etablierte Prozess- und Kundenbasis für die Code-Signierung wichtiger sind, wird dieser vergleichsweise kleine und unterschiedliche Anbieter Ihre Anforderungen nicht erfüllen (ich persönlich war noch nie mit den jeweiligen Angeboten von größere und/oder teurere Anbieter entweder).

---

Update:

gerade realisiert, dass die related question linked by Kate Gregory bereits ein answer recommending StartSSL auch Funktionen, so dass Sie vielleicht in der Tat die genannten Themen innerhalb dieses Threads überqueren überprüfen.