Da gibt es eine Anleitung:
codesigningstore.com/visual-st…signing-certificate-guide

@petaod

Habe ich das richtig gelesen (Dein Link)?
Die Signatur stellt nur sicher, dass der Code auf dem Weg vom Publisher zum Endkunden nicht verändert wurde?

Und für "echtes" Code Signaturen (EV Signature um die Defender-Warnungen wegzubekommen) muss man mindestens 260 Euro im Jahr rechnen.

Dabei ist egal ob der Publisher vertrauenswürdig ist oder ein Hacker ?
Worin liegt dann der Sinn hinter der Signatur, außer Kohle machen für die Signaturanbieter und das Wegfallen von Antiviren-Meldungen?

dive26 schrieb:

Worin liegt dann der Sinn hinter der Signatur, außer Kohle machen für die Signaturanbieter und das Wegfallen von Antiviren-Meldungen?

Ich sehe das ähnlich, ich selbst liefer unsigniert aus. Den einzigen Vorteil den ich sehe ist, hat man ein Programm das sehr verbreitet ist und auf vielen Seiten runtergeladen werden kann, kann sich der Enduser sicher sein, Original-Software zu haben. Der VLC z.B. ist OpenSource, jeder kann ihn also kompilieren, das tun auch welche und bieten dann das eigene Kompilat zum DL an. Den Sinn sehe ich nicht, außer wenn man den Code so verändert hat, das man irgendeinen davon Vorteil hat.

VLC Original
videolan.org

VLC Clone(hier würde ich nicht downloaden, die Anwendung ist auch nicht von Videolan signiert.
vlc.de

Den Sinn der Seite VLC.de sehe ich nicht wirklich. Frage mich schon seit Jahren, warum die überhaupt existiert.

Ich möchte mich für dieses Beitragsthema bedanken. Ich habe gestern Nacht noch viel recherchiert und mir dann doch so eine EV Code Signatur bestellt. Knapp 850 Euro für 3 Jahre sind dann gar nicht mehr soooo viel, wenn man bedenkt, dass ich damit meine mittlerweile über 10 Anwendungen damit unlimitiert signieren kann.

Wichtig sind "EV" Signaturzertifikate, weil nur diese den Windows Smartscreen Meldung und die Downloadsperre im Browser deaktivieren.

Jetzt muss ich nur noch ein paar Dokumente zur Identifikation übermitteln und bekomme due Signatur dann auf einem USB Stick (Vermute Kartenleser mit Smartcard).

Ich berichte dann hier weiter wies lief.

@poltrian

Ich bin nun kurz vor dem Code Signieren. Was habe ich bisher gemacht:

1. Eine EV Signatur bei Sectigo bestellt
2. Den Background Check durchlaufen (Übermittlung von Dokumenten, telefonische Beantwortung von Fragen).
3. Bezahlt
4. Token per UPS erhalten.
5. Passwort per Email erhalten.

VS DIREKT FUNKTIONIERT NICHT:
Signatur über Visual Studio funktioniert nicht. Ich habe keine Möglichkeit die Sectigo Signatur auszuwählen, da VS sagt es ginge nicht.


SIGNATUR ÜBER FREMDTOOL FUNKTIONIERT:
Ich habe mir mittlerweile auch das "DigitCertUtil.exe" heruntergeladen. Damit könnte man auch außerhalb von VisualStudio einzelne Dateien signieren.


SIGNATUR ÜBER MEINEN INSTALLER (ADVANCED INSTALLER) FUNKTIONIERT:
Die Installationsdatei kann ich direkt über den Installer (Advanced Installer) signieren lassen.
Habe ich da mehrere .exe Dateien im Installationspaket, dann wird für jede Datei separat die Signatur (bzw. das Passwort) abgefragt.
Es wird also nicht nur die erzeugte Installations-Exe signiert, sondern auch alle darin enthaltenen .exe Dateien.


WAS BRACHTE DAS GANZE?
Ich habe den Regler in der Benutzerkontensteuerung ganz nach oben gedreht.
Dann habe ich jeweils ein unsigniertes und ein signiertes Setup heruntergeladen.
Das unsignierte hat natürlich zuerst der Browser verworfen und auch beim Start der Installation meckerte der SmartScreen Filter.
Das signierte Setup lies sich anstandslos herunterladen und beim Start der Installation fragte SmartScreen Filter lediglich nach, ob die Software aus vertrauenswürdiger Quelle XY installiert werden soll.


FAZIT: gar nicht so schwer, wenn man es einmal probiert hat.
Nun signiere ich alles was nur geht.

Hallo zusammen,

eine kurze Zusammenfassung zum Codesignieren.

Man benötigt ein Zertifikat der Version 3. Dabei ist zu beachten, das die Zertifikatskette mindestens 3 Elemente enthält und das das Codesigning-Flag aktiviert wurde.

Vom Anwendungsbereich hängt es ab, ob man ein eigenes Zertifikat (z.B. mit hohnstaedt.de/xca/) baut, über das AD ein erstellt oder ein Kaufzertifikat nimmt.

(Für die Österreicher: ich bin nicht ganz sicher, ob man das Zertifikat der Bürgerkarte auch zum Codesigning verwenden kann.)

Ich finde es schade, dass man hier in das Forum beitritt, eine einzige Frage stellt und dann nie wieder vorbeischaut ;-).