Lesedauer 2 Minuten

Seit dem 1. Juni 2023 müssen alle Private Keys zum Code-Signieren auf Hardware Tokens gespeichert werden. Diese Vorgabe des Gesetzgebers hat anschliessend die Preise für Codesign-Zertifikate vervielfacht. Dieser Beitrag zeigt, wie man trotzdem weiterhin günstig Code signieren kann – ganz ohne teure USB Hardware-Token.

Windows Codesign ohne Hardware-Token

SSL-Mentor bietet günstige Certum SSL-Zertifikate zur Code-Signierung an. Der private Key wird dabe nicht auf einem Hardware-Token beim User gespeichert, sondern verbleibt in der Cloud des Anbieters. Dort wird er ebenfalls sicher verwahrt und erfüllt somit die gesetzlichen Vorgaben.

Anstatt beim Code-Signieren das USB Hardware-Token zu stecken,  generiert eine Authentifizierungs App einen Code, den der User in eine Desktop-App eingibt. Diese schaltet dann das Codesign-Zertifikat für 2 Stunden zum Signieren frei. Eine sehr elegante und vor allem günstige Lösung.

So belaufen sich die Kosten für ein 3 Jahre gültiges Certum Codesign-Zertifikat auf lediglich 97 EUR pro Jahr:

Windows Codesign: Günstig Code-Signieren ohne Hardware-Token.

Codesign ohne Hardware-Key: Zertifizierung und Installation

Der Zertifizierungsprozess läuft wie folgt ab:

  • Es werden Adressdaten und Ust-Ident-Nummer eingegeben.
  • Die Emailadresse wir über einen Bestätigungslink verifiziert.
  • Danach wird eine Auweiskopie hoch geladen.
  • Ein Face-Scan per Webcam gleicht dann das Gesicht mit dem Ausweis ab.

Nach Zertifizierung und Kauf:

  • Über einen Authentifizierungs-Code Kann des Codesign-Zertifikat (Public Key im .pem- und .cer-Format) heruntergeladen werden.
  • Der private Key bleibt in der Certum Cloud.
  • Das Codesign-Zertifkat wird per Doppelklick in den Windows Zertifikatsspeicher installiert.
  • Danach installieren wir die Desktop App und laden die mobile App auf unser Handy.
  • Per QRCode-Scan wird die mobile App aktiviert.

An dieser Stelle ein großes Lob an SSL-Mentor: Der ganze Prozess samt Portal und Kommunikation sind vorbildlich gestaltet. Nach nur 1 Werktag stand das Zertifikat zur Verfügung, die Rechnung stand 3 Tage später als Download im Portal.

Code-Signieren mit Windows CodeSign Zertifikat, ohne Hardware Token

Windows Codesign in der Praxis

Der Signier-Vorgang läuft dann wie folgt ab:

  • Aufruf der Codesign Desktop App und Eingabe Emailadresse.
  • Erzeugen Auth-Token in der mobilen App.
  • Eingabe des Tokens in der Desktop App.

Danach ist das Codesign-Zertifikat für 2 Stunden freigeschaltet.

Das Microsoft Sign-Tool bleibt installiert, da es weiterhin benötigt wird.

Codesign ohne Hardware-Token: Was ändert sich in InnoSetup?

Die bisherige Verknüpfung

wird durch diese ersetzt:

D.h. der Pfad zur Zertifikatsdatei wird durch /a ersetzt und Parameter -p samt Passwort entfallen.

Details zur Konfiguration von SignTool und InnoSetup findest Du hier.

Weitere Info hier: Günstige Codesign-Zertifikate ohne Hardwaretoken bei SSLMentor.

Hat Dir der Beitrag gefallen?

Wenn Du Fragen oder Anmerkungen zu diesem Beitrag hast, dann starte einen Kommentar. DANKE für Dein Feedback!