Seit dem 1. Juni 2023 müssen alle Private Keys zum Code-Signieren auf Hardware Tokens gespeichert werden. Diese Vorgabe des Gesetzgebers hat anschliessend die Preise für Codesign-Zertifikate vervielfacht. Dieser Beitrag zeigt, wie man trotzdem weiterhin günstig Code signieren kann – ganz ohne teure USB Hardware-Token.
Windows Codesign ohne Hardware-Token
SSL-Mentor bietet günstige Certum SSL-Zertifikate zur Code-Signierung an. Der private Key wird dabe nicht auf einem Hardware-Token beim User gespeichert, sondern verbleibt in der Cloud des Anbieters. Dort wird er ebenfalls sicher verwahrt und erfüllt somit die gesetzlichen Vorgaben.
Anstatt beim Code-Signieren das USB Hardware-Token zu stecken, generiert eine Authentifizierungs App einen Code, den der User in eine Desktop-App eingibt. Diese schaltet dann das Codesign-Zertifikat für 2 Stunden zum Signieren frei. Eine sehr elegante und vor allem günstige Lösung.
So belaufen sich die Kosten für ein 3 Jahre gültiges Certum Codesign-Zertifikat auf lediglich 97 EUR pro Jahr:
Codesign ohne Hardware-Key: Zertifizierung und Installation
Der Zertifizierungsprozess läuft wie folgt ab:
- Es werden Adressdaten und Ust-Ident-Nummer eingegeben.
- Die Emailadresse wir über einen Bestätigungslink verifiziert.
- Danach wird eine Auweiskopie hoch geladen.
- Ein Face-Scan per Webcam gleicht dann das Gesicht mit dem Ausweis ab.
Nach Zertifizierung und Kauf:
- Über einen Authentifizierungs-Code Kann des Codesign-Zertifikat (Public Key im .pem- und .cer-Format) heruntergeladen werden.
- Der private Key bleibt in der Certum Cloud.
- Das Codesign-Zertifkat wird per Doppelklick in den Windows Zertifikatsspeicher installiert.
- Danach installieren wir die Desktop App und laden die mobile App auf unser Handy.
- Per QRCode-Scan wird die mobile App aktiviert.
An dieser Stelle ein großes Lob an SSL-Mentor: Der ganze Prozess samt Portal und Kommunikation sind vorbildlich gestaltet. Nach nur 1 Werktag stand das Zertifikat zur Verfügung, die Rechnung stand 3 Tage später als Download im Portal.
Windows Codesign in der Praxis
Der Signier-Vorgang läuft dann wie folgt ab:
- Aufruf der Codesign Desktop App und Eingabe Emailadresse.
- Erzeugen Auth-Token in der mobilen App.
- Eingabe des Tokens in der Desktop App.
Danach ist das Codesign-Zertifikat für 2 Stunden freigeschaltet.
Das Microsoft Sign-Tool bleibt installiert, da es weiterhin benötigt wird.
Codesign ohne Hardware-Token: Was ändert sich in InnoSetup?
Die bisherige Verknüpfung
1 |
C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool sign /f W:\certs\current.pfx /tr http://timestamp.digicert.com /td sha256 /fd sha256 /p xxx /v $f |
wird durch diese ersetzt:
1 |
C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool sign /a /tr http://timestamp.digicert.com /td sha256 /fd sha256 /v $f |
D.h. der Pfad zur Zertifikatsdatei wird durch /a ersetzt und Parameter -p samt Passwort entfallen.
Details zur Konfiguration von SignTool und InnoSetup findest Du hier.
Weitere Info hier: Günstige Codesign-Zertifikate ohne Hardwaretoken bei SSLMentor.