MeinProgramm.exe digital signieren

Von der Installation bis zur Auslieferung der Applikation

Moderator: Moderatoren

Antworten
Benutzeravatar
satmax
1000 working lines a day
1000 working lines a day
Beiträge: 831
Registriert: Do, 02. Dez 2010 19:34
Wohnort: Biberbach in Österreich
Hat sich bedankt: 1 Mal
Danksagung erhalten: 1 Mal
Kontaktdaten:

MeinProgramm.exe digital signieren

Beitrag von satmax »

Aufgrund von Toms Hinweis, das digital signierte Programme nicht ganz so hart von Antiviren - Programmen behandelt werden, habe ich beschlossen zukünftig die eignen Programme ebenfalls digital zu signieren. Ich habe mir dazu heute eine digitale Signatur bei Symantec bestellt. So ich ich das bis jetzt verstanden habe, muss ich nun zum Notar um meine "Echtheit" zu bestätigen. :wink: Mal sehen wie lange das nun alles dauert.

Ein paar Gedanken mache ich mir aber schon jetzt. Das erste Problem, ich habe einen Softwareentwickler der auf Basis von C/C++ einige Programm erstellt bzw. betreut. Das Ganze ausschließlich von seinem Home Office aus. Und dann eben noch mich der ein Xbase++ Programm erstellt / betreut. Wir beide sollten natürlich unsere Programme signieren können. Die Signatur ist aber an einen Rechner bzw. Internetexplorer gebunden. Da ich auch mehrer Terminalserver für meine Kunden im Einsatz habe, würde es sich anbieten, die Signatur auf einem Terminalserver zu installieren auf den wir beide Zugriff haben. So könnten wir beide unabhängig voneinander unserer Programme digital signieren.

Einen 2 Möglichkeit wäre, ich mache das ganze via Batch Job. Wir kopieren beide unsere Programme aufs Netz:

s:\Inst\FertigFürSignatur

und ein Batch Job überwacht dieses Verzeichnis und Signiert die Exe-Files. Anschließend werden Sie in einen Ordner

s:\ftpServer\Release\FertigSigniert

verschoben. Dazu jetzt eine Frage, kann man ein Programm auch via Batch File (cmd) signieren?
Gruß
Markus
Benutzeravatar
Herbert
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 1991
Registriert: Do, 14. Aug 2008 0:22
Wohnort: Gmunden am Traunsee, Österreich
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von Herbert »

Habe diese Anleitung gefunden. Weicht das von dem ab, was du, Tom, bei dir machst?
http://www.eulanda.de/inside/entwickler ... efault.htm
Grüsse Herbert
Immer in Bewegung...
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 9345
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 100 Mal
Danksagung erhalten: 359 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von Tom »

Für die Signatur - es geht um "Authenticode" - verwende ich das Signtool von Microsoft, das je nach Windows-Installation enthalten ist oder per Download besorgt werden muss. Nach Erhalt des Zertifikats und dessen Installation wird in der Zertifikateverwaltung - über den Explorer - eine PFX-Datei als Export des Zertifikats erzeugt. Die Signierung erfolgt dann beispielsweise so:

Code: Alles auswählen

signtool.exe sign /f \<Pfad>\<ZertifikatExport>.pfx /p <PrivaterSchlüssel> /t http://timestamp.verisign.com/scripts/timstamp.dll /v <Laufwerk>:\<AppPfad>\<AppName>.exe
Der Schlüssel wird bei der Installation des Zertifikats festgelegt. Es kann jede beliebige EXE zertifiziert werden, die noch nicht zertifiziert ist. Mit DLLs habe ich das noch nicht probiert.
Herzlich,
Tom
Benutzeravatar
satmax
1000 working lines a day
1000 working lines a day
Beiträge: 831
Registriert: Do, 02. Dez 2010 19:34
Wohnort: Biberbach in Österreich
Hat sich bedankt: 1 Mal
Danksagung erhalten: 1 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von satmax »

Das wird jetzt noch ein paar Tage dauern, am Montag bin ich wegen der Beglaubigung beim Notar.
Gruß
Markus
Benutzeravatar
satmax
1000 working lines a day
1000 working lines a day
Beiträge: 831
Registriert: Do, 02. Dez 2010 19:34
Wohnort: Biberbach in Österreich
Hat sich bedankt: 1 Mal
Danksagung erhalten: 1 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von satmax »

So, Zertifikat erhalten und auch schon mit dem signtool signiert.

Einziger Fehler: ich habe den Bestellvorgang von einem falschen Computer/Browser aus gemacht und musste das Zertifikat dann auf diesen Rechner installieren. Also schon beim bestellen aufpassen.

Jetzt muss ich mich schlau machen ob/wie ich das Zertifikat auf einen anderen Rechner/Browser bringe.
Gruß
Markus
Benutzeravatar
Herbert
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 1991
Registriert: Do, 14. Aug 2008 0:22
Wohnort: Gmunden am Traunsee, Österreich
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von Herbert »

Bin auf deine Erfahrungen gespannt.
Grüsse Herbert
Immer in Bewegung...
Benutzeravatar
Wolfgang Ciriack
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2932
Registriert: Sa, 24. Sep 2005 9:37
Wohnort: Berlin
Hat sich bedankt: 13 Mal
Danksagung erhalten: 34 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von Wolfgang Ciriack »

Auf diese bin ich auch gespannt.
Kannst du dann auch noch einmal etwas zu den Anbietern und Kosten sagen ?
Viele Grüße
Wolfgang
Benutzeravatar
satmax
1000 working lines a day
1000 working lines a day
Beiträge: 831
Registriert: Do, 02. Dez 2010 19:34
Wohnort: Biberbach in Österreich
Hat sich bedankt: 1 Mal
Danksagung erhalten: 1 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von satmax »

Anbieter gibt es mehrere, ich habe mich für Symantec entschieden: http://www.symantec.com/page.jsp?id=cod ... n-center#3

Dort kostet das Zertifikat USD 499.- für ein Jahr, für 2, 3 oder 5 Jahre gibt es dann besserer Preise, aber ich wollte erst mal testen

Man kann alle EXE und auch DLL's signieren. Unter Eigenschaften gibt es dann einen neuen Reiter "Digitale Signaturen". *.chm oder *.pdf kann man nicht signieren. Ich werde heute am Abend bei einem Kunden die signierte EXE installieren.

Wie weit das jetzt Sinn mach, alle DLL's der Runtime zu signieren,? Keine Ahnung.

Richtig Erfahrung wird man erst in einigen Wochen haben.

Und, ganz wichtig, bereits beim Bestellen darauf achten auf welchem Rechner das laufen soll.

So ich ich das jetzt mitbekommen habe kann man den exportierten Schlüssel dann aber sehr wohl auf einen anderen Rechner kopieren und dort unabhängig vom Internet Explorer Programme signieren.
Gruß
Markus
Benutzeravatar
AUGE_OHR
Marvin
Marvin
Beiträge: 12903
Registriert: Do, 16. Mär 2006 7:55
Wohnort: Hamburg
Hat sich bedankt: 19 Mal
Danksagung erhalten: 44 Mal

Re: MeinProgramm.exe digital signieren

Beitrag von AUGE_OHR »

satmax hat geschrieben:... alle DLL's der Runtime zu signieren,?
das wäre ja eine "Eingriff" in die Runtime DLLs ... ;)
im Prinzip sollte Alaska die Runtime DLLs signiert ausliefern !
gruss by OHR
Jimmy
Benutzeravatar
satmax
1000 working lines a day
1000 working lines a day
Beiträge: 831
Registriert: Do, 02. Dez 2010 19:34
Wohnort: Biberbach in Österreich
Hat sich bedankt: 1 Mal
Danksagung erhalten: 1 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von satmax »

AUGE_OHR hat geschrieben:
satmax hat geschrieben:... alle DLL's der Runtime zu signieren,?
das wäre ja eine "Eingriff" in die Runtime DLLs ... ;)
im Prinzip sollte Alaska die Runtime DLLs signiert ausliefern !
Ja, das sehe ich auch so. Aber wenn die es nicht tun mache ich es selbst. :D
Gruß
Markus
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 9345
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 100 Mal
Danksagung erhalten: 359 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von Tom »

So ich ich das jetzt mitbekommen habe kann man den exportierten Schlüssel dann aber sehr wohl auf einen anderen Rechner kopieren und dort unabhängig vom Internet Explorer Programme signieren.
So isses. Du exportierst das Zertifikat (nicht den Schlüssel) ja - üblicherweise mit einem zusätzlichen privaten Schlüssel versehen. Diese Exportdatei (.PFX) ist ortsunabhängig verwendbar, wenn man das Signtool einsetzt. Man muss nur den Schlüssel (im Haus) weitergeben. Siehe Beispielaufruf für das Signtool im anderen Thread.
Herzlich,
Tom
Benutzeravatar
satmax
1000 working lines a day
1000 working lines a day
Beiträge: 831
Registriert: Do, 02. Dez 2010 19:34
Wohnort: Biberbach in Österreich
Hat sich bedankt: 1 Mal
Danksagung erhalten: 1 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von satmax »

Ich habe mir am File Server einen Zeitplanungsdienst eingerichtet der alle 5 Minuten ein cmd file aufruft. Dieses cmd File kontrolliert 3 Verzeichnisse, ist eine (oder mehrere) exe oder dll darin, wird (werden) diese signiert und in das endgültige Verzeichnis verschoben.
Gruß
Markus
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von brandelh »

Du vertraust deinen Mitarbeitern =D>
Gruß
Hubert
Benutzeravatar
satmax
1000 working lines a day
1000 working lines a day
Beiträge: 831
Registriert: Do, 02. Dez 2010 19:34
Wohnort: Biberbach in Österreich
Hat sich bedankt: 1 Mal
Danksagung erhalten: 1 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von satmax »

brandelh hat geschrieben:Du vertraust deinen Mitarbeitern =D>
Ja, eindeutig! :)

Sicher besser wie das ganze Zertifikat hergeben. :) Und, im Prinzip hat nur ein Mitarbeiter außer mir Zugriffe auf diese Verzeichnisse. Bei meiner Lösung hat er eben keinen Zugriff auf des Zertifikat, aber ich bekomme alles was er signiert als Copy.
Gruß
Markus
Benutzeravatar
Herbert
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 1991
Registriert: Do, 14. Aug 2008 0:22
Wohnort: Gmunden am Traunsee, Österreich
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von Herbert »

satmax hat geschrieben:Anbieter gibt es mehrere, ich habe mich für Symantec entschieden
Darf ich nachfragen? Warum hast du dich für Symantec entscheiden? Ich bin am Duchforsten der Anbieter und sehe irgendwie nicht ganz durch. Mitbewerber (z.B. Thawte) offerieren dasselbe mit deutlich weniger Kosten...
Grüsse Herbert
Immer in Bewegung...
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 9345
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 100 Mal
Danksagung erhalten: 359 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von Tom »

Ich bin am Duchforsten der Anbieter und sehe irgendwie nicht ganz durch.
So ging es mir auch. Und deshalb habe ich mich vor drei Jahren für Symantec entschieden. :wink: Allerdings ist auch bei denen z.B. das Support- und Dokumentationsportal ein ziemliches Durcheinander, aber immerhin reagiert der echtmenschliche Support ziemlich fix.
Herzlich,
Tom
Benutzeravatar
satmax
1000 working lines a day
1000 working lines a day
Beiträge: 831
Registriert: Do, 02. Dez 2010 19:34
Wohnort: Biberbach in Österreich
Hat sich bedankt: 1 Mal
Danksagung erhalten: 1 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von satmax »

Ganz ehrlich: ich habe keinen Preisvergleich gemacht und habe mich einfach an Tom gehalten. Ich bin mir aber relativ sicher das es mit Thawte genau so geht. Auch deren Zertifikat ist bei einer Grundinstallation des Betriebssystems vorhanden.

Ich habe das Zertifikat auch nur mal auf ein Jahr gemacht um zu sehen was es bringt. Aktuell sieht das aber sehr vielversprechend aus, der Beobachtungszeitraum ist aber noch zu kurz. Ich hatte aber seither keinen dieser vereinzelten ominösen Fehler mehr.
Gruß
Markus
Benutzeravatar
Herbert
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 1991
Registriert: Do, 14. Aug 2008 0:22
Wohnort: Gmunden am Traunsee, Österreich
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von Herbert »

Danke. Ist immer gut, Erfahrungswerte zu bekommen.
Nur, signieren denn so wenig Leute ihre .EXE- oder .DLL-Dateien?
Ich habe dies bis jetzt auch nicht gemacht.
Grüsse Herbert
Immer in Bewegung...
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 9345
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 100 Mal
Danksagung erhalten: 359 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von Tom »

Hallo, Herbert.

Die meisten größeren Softwarehersteller liefern signierte Programme aus. Es wird nach meiner Erfahrung zumindest von jenen Kunden, die gewisse IT-Kenntnisse haben, als Qualitätsmerkmal erkannt. DLLs signieren wir übrigens nicht; es gab bislang auch nicht das Erfordernis. Bei statischen DLLs ist es nach meinem Eindruck auch überflüssig.

Ich denke, dass das bislang nur wenige tun, weil es erstens Geld kostet - so oder so um die 200 bis 400 Locken pro Jahr - und zweitens nicht ganz trivial ist. Es gibt zig unterschiedliche Zertifizierungsverfahren und -arten. Dem steht beim Programmstart die Meldung "Unbekannter Hersteller" gegenüber, und das nicht eben kleine (tatsächlich: wachsende) Problem, dass Virenscanner inzwischen weit mehr tun als nur Dateien bei deren Öffnung zu untersuchen.
Herzlich,
Tom
Benutzeravatar
Herbert
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 1991
Registriert: Do, 14. Aug 2008 0:22
Wohnort: Gmunden am Traunsee, Österreich
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von Herbert »

Ja, deshalb möchte ich auch als seriöser Anbieter da stehen 8)

Daher eigentlich die Frage in die Runde, wer sonst noch signiert und vor allem auch womit...
Grüsse Herbert
Immer in Bewegung...
Benutzeravatar
Scarmo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 188
Registriert: Di, 24. Jul 2007 9:17

Re: MeinProgramm.exe digital signieren

Beitrag von Scarmo »

Hallo Herbert

Da auch ich in Zukunft meine Programme digital signieren möchte, schliesse ich mich Deiner Frage an und bin gespannt, wer dieses "Prozedere" (allenfalls mit anderen Anbietern) schon hinter sich hat. :wink:

Grüsse aus der Schweiz
Marco
Benutzeravatar
satmax
1000 working lines a day
1000 working lines a day
Beiträge: 831
Registriert: Do, 02. Dez 2010 19:34
Wohnort: Biberbach in Österreich
Hat sich bedankt: 1 Mal
Danksagung erhalten: 1 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von satmax »

Herbert hat geschrieben:Bin auf deine Erfahrungen gespannt.
So, eine Woche ist vorbei, hier meine Erfahrungen bisher (Netzwerk mit ca. 10 aktiven Usern): Vor der Signierung hatte ich manchmal das Problem, das die Verbindung zu Datenbank verloren, bzw. mein Datenobjekt (SQLExpress) ungültig wurde.

Es hatte immer den Anschein das es mit dem Netzwerk Probleme geben würde. Das konnte ich aber praktisch ausschließen, da auf all diesen Rechnern auch ein anderes Programm von uns ohne Probleme lief. Der Unterschied ist nur, das andere Programm ist in VC++ geschrieben.

Auf einem PC war das Problem ganz extrem, Rechner neu starten, Programm starten, eine (einfache) bestimmte Aktion ausführen, Absturz. Im LOG des (Kaspersky) Virenscanners waren Einträge wie
Verhalten besitzt Ähnlichkeit mit PDM.DNS Query.
zu finden. Ging dieser Benutzer auf einen anderen PC funktionierte das.

Diese Probleme haben sich seit dem signieren erledigt und sind nicht mehr aufgetreten.

Was ich nicht verstehe:
1) unsere VC++ Programme waren davon nicht betroffen. Hängt das eventuell damit zusammen, das diese mit einem MS Entwicklungssystem erstellt wurden?
2) auch das Ausschließen der EXE oder des Pfades aus dem Virenscanner brachte keine Änderung.
Gruß
Markus
Benutzeravatar
Herbert
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 1991
Registriert: Do, 14. Aug 2008 0:22
Wohnort: Gmunden am Traunsee, Österreich
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: MeinProgramm.exe digital signieren

Beitrag von Herbert »

satmax hat geschrieben:
Herbert hat geschrieben:Bin auf deine Erfahrungen gespannt.
So, eine Woche ist vorbei, hier meine Erfahrungen bisher (Netzwerk mit ca. 10 aktiven Usern): Vor der Signierung hatte ich manchmal das Problem, das die Verbindung zu Datenbank verloren, bzw. mein Datenobjekt (SQLExpress) ungültig wurde.

Es hatte immer den Anschein das es mit dem Netzwerk Probleme geben würde. Das konnte ich aber praktisch ausschließen, da auf all diesen Rechnern auch ein anderes Programm von uns ohne Probleme lief. Der Unterschied ist nur, das andere Programm ist in VC++ geschrieben.

Diese Probleme haben sich seit dem signieren erledigt und sind nicht mehr aufgetreten.
Aus aktuellem Anlass wärme ich diesen Thread nochmals auf. Es scheint, als ob die Signierung auch bei meinen zwei Kunden das Problem von Netzunterbrüchen behebt.
Wer also Ähnliches erlebt, dem sei geraten, sich das Geld einer Registrierung zu überlegen. Ich hatte den Eintrag hier von Satmax nicht ernst genug gelesen gehabt.
Grüsse Herbert
Immer in Bewegung...
Antworten