Seit dem 1. Juni 2023 müssen alle Private Keys zum Code-Signieren auf Hardware Tokens gespeichert werden. Diese Vorgabe des Gesetzgebers hat anschliessend die Preise für Codesign-Zertifikate vervielfacht. Dieser Beitrag zeigt, wie man trotzdem weiterhin günstig Code signieren kann – ganz ohne teure USB Hardware-Token.
Windows Codesign ohne Hardware-Token
SSL-Mentor bietet günstige Certum SSL-Zertifikate zur Code-Signierung an. Der private Key wird dabe nicht auf einem Hardware-Token beim User gespeichert, sondern verbleibt in der Cloud des Anbieters. Dort wird er ebenfalls sicher verwahrt und erfüllt somit die gesetzlichen Vorgaben.
Anstatt beim Code-Signieren das USB Hardware-Token zu stecken, generiert eine Authentifizierungs App einen Code, den der User in eine Desktop-App eingibt. Diese schaltet dann das Codesign-Zertifikat für 2 Stunden zum Signieren frei. Eine sehr elegante und vor allem günstige Lösung.
So belaufen sich die Kosten für ein 3 Jahre gültiges Certum Codesign-Zertifikat auf lediglich 97 EUR pro Jahr:
Codesign ohne Hardware-Key: Zertifizierung und Installation
Der Zertifizierungsprozess läuft wie folgt ab:
- Es werden Adressdaten und Ust-Ident-Nummer eingegeben.
- Die Emailadresse wir über einen Bestätigungslink verifiziert.
- Danach wird eine Auweiskopie hoch geladen.
- Ein Face-Scan per Webcam gleicht dann das Gesicht mit dem Ausweis ab.
Nach Zertifizierung und Kauf:
- Über einen Authentifizierungs-Code Kann des Codesign-Zertifikat (Public Key im .pem- und .cer-Format) heruntergeladen werden.
- Der private Key bleibt in der Certum Cloud.
- Das Codesign-Zertifkat wird per Doppelklick in den Windows Zertifikatsspeicher installiert.
- Danach installieren wir die Desktop App und laden die mobile App auf unser Handy.
- Per QRCode-Scan wird die mobile App aktiviert.
An dieser Stelle ein großes Lob an SSL-Mentor: Der ganze Prozess samt Portal und Kommunikation sind vorbildlich gestaltet. Nach nur 1 Werktag stand das Zertifikat zur Verfügung, die Rechnung stand 3 Tage später als Download im Portal.
Windows Codesign in der Praxis
Der Signier-Vorgang läuft dann wie folgt ab:
- Aufruf der Codesign Desktop App.
- Erzeugen Auth-Token in der mobilen App.
- Eingabe des Tokens in der Desktop App.
Danach ist das Codesign-Zertifikat für 2 Stunden freigeschaltet. Das Microsoft Sign-Tool bleibt installiert, da es weiterhin benötigt wird.
Vergisst man die CodeSign Desktop App vor dem Signieren zu öffnen, wird sie automatisch gestartet, sobald man das Microsoft SignTool benutzt. Insgesamt ist das eine sehr komfortable Lösung
Codesign ohne Hardware-Token: Was ändert sich in InnoSetup?
Die bisherige Verknüpfung
|
1 |
C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool sign /f W:\certs\current.pfx /tr http://timestamp.digicert.com /td sha256 /fd sha256 /p xxx /v $f |
wird durch diese ersetzt:
|
1 |
C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool sign /a /tr http://timestamp.digicert.com /td sha256 /fd sha256 /v $f |
D.h. der Pfad zur Zertifikatsdatei wird durch /a ersetzt und Parameter -p samt Passwort entfallen.
Details zur Konfiguration von SignTool und InnoSetup findest Du hier.
Weitere Info hier: Günstige Codesign-Zertifikate ohne Hardwaretoken bei SSLMentor.
