EXE Datei signieren ?

Von der Installation bis zur Auslieferung der Applikation

Moderator: Moderatoren

Benutzeravatar
Koverhage
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2470
Registriert: Fr, 23. Dez 2005 8:00
Wohnort: Aalen
Hat sich bedankt: 102 Mal
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Koverhage »

Reicht es die EXE zu signieren oder muss man auch die DLLs signieren ?
Gruß
Klaus
Benutzeravatar
Jan
Marvin
Marvin
Beiträge: 14641
Registriert: Fr, 23. Sep 2005 18:23
Wohnort: 49328 Melle
Hat sich bedankt: 21 Mal
Danksagung erhalten: 87 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Jan »

Klaus,

alles. Sonst geht der Virenscanner auch immer skeptisch über die dll.

Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Koverhage
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2470
Registriert: Fr, 23. Dez 2005 8:00
Wohnort: Aalen
Hat sich bedankt: 102 Mal
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Koverhage »

Jan,
also auch die von Xbase++, Edgar, etc ?
Gruß
Klaus
Benutzeravatar
Jan
Marvin
Marvin
Beiträge: 14641
Registriert: Fr, 23. Sep 2005 18:23
Wohnort: 49328 Melle
Hat sich bedankt: 21 Mal
Danksagung erhalten: 87 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Jan »

Hallo Klaus,

nein, natürlich nicht. Du kannst ja nicht einfach dll signieren, die nicht von Dir sind. Auch wenn ich natürlich das Problem sehe. Meine dll sind OK, aber bei den Alaska-Runtimes meckert der Virenscanner dann doch wieder. Weil Alaska eben halt nicht signiert. Aber schon rein rechtlich wird das vermutlich nicht gehen.

Ich selber signiere ausschließlich meine exe und dll. Und das ist schon ein enormer Fortschritt.

Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Wolfgang Ciriack
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2932
Registriert: Sa, 24. Sep 2005 9:37
Wohnort: Berlin
Hat sich bedankt: 13 Mal
Danksagung erhalten: 34 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Wolfgang Ciriack »

Und auch die Installationsdateien.
Viele Grüße
Wolfgang
Benutzeravatar
Koverhage
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2470
Registriert: Fr, 23. Dez 2005 8:00
Wohnort: Aalen
Hat sich bedankt: 102 Mal
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Koverhage »

Danke euch.
Gruß
Klaus
Benutzeravatar
Marcus Herz
1000 working lines a day
1000 working lines a day
Beiträge: 851
Registriert: Mo, 16. Jan 2006 8:13
Wohnort: Allgäu
Hat sich bedankt: 39 Mal
Danksagung erhalten: 192 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Marcus Herz »

Hi

Habe mir jetzt auch ein Zertifikat besorgt (von kSign). Von Performance Steigerung hab ich nichts bemerkt,. egal.
Spaßeshalber hab ich auch (neben EXE) Xclass.dll zertifiziert, wollte sehen, wie sich das auf die Performance auswirkt.
Aber jetz kann ich nicht mehr die DLL debuggen. Die unsignierte geht, nach dem Signieren springt die Workbench nicht mehr in den Xclass Code.
Und (nur) ein Kunde kann nicht seine HKEY_CURRENT_USER Einträge lesen.
Ist das "normal" ?
Was ändert denn aus Sicht von Windows ein Zertifikat. Ausser vertrauenswürdig.
Gruß Marcus

Erkenne, was du findest, dann weißt du, wonach du gesucht hast
ramses
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2513
Registriert: Mi, 28. Jul 2010 17:16
Hat sich bedankt: 12 Mal
Danksagung erhalten: 77 Mal

Re: EXE Datei signieren ?

Beitrag von ramses »

** Beitrag wegen Kritik entfernt
Zuletzt geändert von ramses am Fr, 04. Dez 2020 10:38, insgesamt 2-mal geändert.
Valar Morghulis

Gruss Carlo
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 9345
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 100 Mal
Danksagung erhalten: 359 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Tom »

Der englische Wikipedia-Eintrag erklärt einiges, ansonsten einfach mal nach "Code Signing Benefits" googeln. https://en.wikipedia.org/wiki/Code_signing
Herzlich,
Tom
Benutzeravatar
Jan
Marvin
Marvin
Beiträge: 14641
Registriert: Fr, 23. Sep 2005 18:23
Wohnort: 49328 Melle
Hat sich bedankt: 21 Mal
Danksagung erhalten: 87 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Jan »

Hallo Marcus,

ich signiere hauptsächlich aus zwei Gründen: Um diese elendigliche Meldung von Windows weg zu bekommen, wo der Button zum Beenden riesig groß und einladen ist, und der Link zum doch ausführen unscheinbar und versteckt. Und um zu verhindern das Virenscanner sich das Teil krallen und in Quarantäne schieben.

Debugged habe ich eine signierte exe oder dll noch nie. geht auch nicht, weil ich vor dem Signieren alles als Auslieferungsbereit kompiliere. Da ist also kein Debugcode mehr drin.

Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
CRT
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 123
Registriert: Mo, 18. Aug 2008 9:33
Wohnort: Kärnten / Österreich
Hat sich bedankt: 10 Mal
Danksagung erhalten: 2 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von CRT »

Hallo zusammen,
möchte nur mitteilen, dass ich seit 4 Tagen versuche über ksoftware ein Zertifikat zu bekommen. Die vermitteln nur weiter an Sectigo, wo das Zertifikat zwar wesentlich günstiger gewesen wäre, dafür aber habe ich es immer noch nicht. Sectigo sind mit den zugesandten Unterlagen nicht zufrieden (z.B. Rechnungen, Gewerbeschein) und haben den geforderten Eintrag bei Infobel nicht gefunden. Den habe ich jetzt auch weitergeleitet. Ich glaube die haben Probleme mit Umlauten, europäischer Schreibweise etc. jedenfalls konnten sie meine Telefonnummer +43 ... nicht verifizieren! Entweder sind die unfähig oder unwillig, rate daher von diesem Anbieter ab.
Zeiterfassung . Zutrittskontrolle
www.CRT-software.com
:wav:
Benutzeravatar
Marcus Herz
1000 working lines a day
1000 working lines a day
Beiträge: 851
Registriert: Mo, 16. Jan 2006 8:13
Wohnort: Allgäu
Hat sich bedankt: 39 Mal
Danksagung erhalten: 192 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Marcus Herz »

Hi

Ich habe vor kurzem auch ein Zertifikat über den gleichen Weg wie du gekauft. Hat ungefähr eine Woche gedauert, weil Sectigo dich überprüfen, müssen ja für das Zertifikat gerade stehen.
Das mit der Telefonnummer, du bekommst eine Mail mit Link für einen Rückruf zur Validierung deiner Telefonnummer. Lies die Mail genau durch, ich habs auch erst beim 2. Lesen kapiert.
Von ksoftware gibt es ein Tool zum Signieren, sehr praktisch, kann gleich in xpj mit post_build eingebaut werden.
Gruß Marcus

Erkenne, was du findest, dann weißt du, wonach du gesucht hast
CRT
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 123
Registriert: Mo, 18. Aug 2008 9:33
Wohnort: Kärnten / Österreich
Hat sich bedankt: 10 Mal
Danksagung erhalten: 2 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von CRT »

Marcus, danke für die Info und den Tipp.

Wäre diese Schreibweise OK?

Code: Alles auswählen

post_build=irgendwas.exe parameter1 parameter2
Wie könnte man einstellen, dass dies nur für "Auslieferbereit" und nicht mit "DEBUG" erfolgt?

lg
Črtomir
Zeiterfassung . Zutrittskontrolle
www.CRT-software.com
:wav:
Benutzeravatar
Jan
Marvin
Marvin
Beiträge: 14641
Registriert: Fr, 23. Sep 2005 18:23
Wohnort: 49328 Melle
Hat sich bedankt: 21 Mal
Danksagung erhalten: 87 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Jan »

Ist denn das wirklich sinnvoll? Dann würde der ja bei jedem Kompilieren auch mit signieren. Was während der eigentlichen Entwicklung unnötiger Aufwand und Zeitvergeudung ist. In meinen Augen.

Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 9345
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 100 Mal
Danksagung erhalten: 359 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Tom »

Wir signieren auch nur die Builds, die in die Distribution gehen. Und die Setups.
Herzlich,
Tom
CRT
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 123
Registriert: Mo, 18. Aug 2008 9:33
Wohnort: Kärnten / Österreich
Hat sich bedankt: 10 Mal
Danksagung erhalten: 2 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von CRT »

Jan, deshalb meine Frage ob das bedingt möglich ist. Vielleicht weis das jemand?
Früher habe ich solche Sachen in eine .bat verpackt und mit Parameter aufgerufen um unterschiedliche Ergebnisse zu bekommen. Ginge ja jetzt auch noch, aber wenn schon in der Workbench...
lg
Zeiterfassung . Zutrittskontrolle
www.CRT-software.com
:wav:
ramses
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2513
Registriert: Mi, 28. Jul 2010 17:16
Hat sich bedankt: 12 Mal
Danksagung erhalten: 77 Mal

Re: EXE Datei signieren ?

Beitrag von ramses »

Ich packe die Programme mit "Setup Factory" zur Auslieferung und Installation zusammen. Dieses übernimmt auch die Signierung aller nötigen Dateien und sich selbst.
Valar Morghulis

Gruss Carlo
Benutzeravatar
Jan
Marvin
Marvin
Beiträge: 14641
Registriert: Fr, 23. Sep 2005 18:23
Wohnort: 49328 Melle
Hat sich bedankt: 21 Mal
Danksagung erhalten: 87 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Jan »

Hallo Crtomir,

ich hab mir dafür zwei Batches geschrieben. Die erst die einzelnen Dateien, und nach dem Erstellen des Setups auch dieses signieren und in die korrekten Ordner schiebt.

Ich hab meine Signatur übrigens auch von ksoftware (bin letztes Jahr gewechelt, weil der vorige Lieferant gar nicht mehr ging). War etwas holprig, aber der gute Mann war sehr zuvorkommend und hilfsbereit. Und war natürlich auch recht günstig.

Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Marcus Herz
1000 working lines a day
1000 working lines a day
Beiträge: 851
Registriert: Mo, 16. Jan 2006 8:13
Wohnort: Allgäu
Hat sich bedankt: 39 Mal
Danksagung erhalten: 192 Mal
Kontaktdaten:

Re: EXE Datei signieren ?

Beitrag von Marcus Herz »

àh, ich hab 2 verschiedene xpj für Debug/Entwicklung und Auslieferung.
Weil ich in beiden auch andere DLL lade, das kann ich in einer XPJ nicht steuern. Das fehlt noch in einer XPJ, dass man abhängig von DEBUG Einstellungen Sektionen mit ein/ausschliessen kann.
POST_BUILD macht natürlich nur Sinn, wenn man nur ab und zu Ausliefer EXE erstellt.
Gruß Marcus

Erkenne, was du findest, dann weißt du, wonach du gesucht hast
CRT
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 123
Registriert: Mo, 18. Aug 2008 9:33
Wohnort: Kärnten / Österreich
Hat sich bedankt: 10 Mal
Danksagung erhalten: 2 Mal
Kontaktdaten:

Anleitung - EXE u. DLL Datei signieren mit Inno u. kSign/sectigo

Beitrag von CRT »

Inno Setup für das CodeSigning mit kSoftware/sectigo einrichten
  • Voraussetzungen
Das Zertifikat muss als .pfx-Datei extrahiert worden sein und das Passwort dazu existieren.
  • Herunterladen des M$ Signtools von:
https://developer.microsoft.com/de-de/w ... ws-10-sdk/
  • Installation nur der Signtools
Ort des Tools:
C:\Program Files (x86)\Windows Kits\10\bin\10.0.19041.0\x64\signtool.exe
  • Das Signier-Tool in der Inno Setup Compiler – IDE definieren
Inno, bei mir in der Version 6.0.3(u)) im Menü Tools > Configure Sign Tools:

Name of the Sign Tool: msSigntool
Command of the Sign Tool:

Musterdefinition:
"C:\\Program Files (x86)\\Windows Kits\\10\\bin\\10.0.18362\\x64\\signtool.exe" sign /f "C:\\path\\to\\MyCertificate.pfx" /p MyCertificatePassword /tr http://timestamp.digicert.com /td sha256 /td sha256 $p

Die folgenden speziellen Sequenzen können in Sign Tool-Parametern und -Befehlen verwendet werden:
$f, ersetzt durch den angegebenen Dateinamen der zu signierenden Datei. (erforderlich)
$p, ersetzt durch die Sign Tool-Parameter.
$q, ersetzt durch ein Anführungszeichen, nützlich zum Definieren eines Zeichenwerkzeugs, das Anführungszeichen aus der Befehlszeile enthält.
$$, ersetzt durch ein einzelnes $-Zeichen.

Meine Eintragung für SECTIGO in „Command oft he Sign Tool":

Code: Alles auswählen

$qC:\Program Files (x86)\Windows Kits\10\bin\10.0.19041.0\x64\signtool.exe$q sign /f $qC:\Daten\Zertifikat\CRT_software.pfx$q /p MeinZertifikatsPasswort /tr http://timestamp.sectigo.com /td sha256 $p $f
TIPP: Die .pfx-Datei MUSS sich auf einem lokalen Laufwerk befinden!
  • In der .ISS Datei in der Sektion [SETUP] trage wie folgt ein:
Muster:
SignTool=TheNameGivenToTheTool /d $qAppName$q /du $qhttps://thewebsiteoftheapp$q $f

Mein Eintrag:

Code: Alles auswählen

[SETUP]
...
SignTool=msSigntool
  • Zu signierende Dateien kennzeichnen
In der .iss-Datei bei den zu signierenden .dll und .exe folgendes Attribut anhängen:
; Flags: signonce

Code: Alles auswählen

[Files]
; P r o g r a m m
Source: "G:\CRT\Technik\PROD\AZE_\AZL\AZLWIN\DISK\*.exe"; DestDir: "{app}"; check: KompAnw()[b]; Flags: signonce[/b]
Source: "G:\CRT\Technik\PROD\AZE_\AZL\AZLWIN\DISK\*.dll"; DestDir: "{app}"; check: KompAnw()[b]; Flags: signonce[/b]
Zeiterfassung . Zutrittskontrolle
www.CRT-software.com
:wav:
CRT
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 123
Registriert: Mo, 18. Aug 2008 9:33
Wohnort: Kärnten / Österreich
Hat sich bedankt: 10 Mal
Danksagung erhalten: 2 Mal
Kontaktdaten:

certum signtool innosetup

Beitrag von CRT »

Hallo zusammen,
nachdem ich für das Codesigning bisher ca. EUR 60,-/Jahr bezahlt habe und kSoftware/sectigo die Preise drastisch erhöht haben (nach Rabatten EUR 808,- für 3 Jahre mit einem Hardwaretoken) habe ich nach einem neuen Zertifizierer gesucht und gefunden. Bei SSLmentor.de/certum kostet mich das jetzt EUR 97,-/Jahr wobei deren Tool einen Token simuliert. Ich setze das ganze mit InnoSetup ein.

Meine Eintragung für CERTUM in „Command of the Sign Tool" im InnoSetup:

Code: Alles auswählen

$qC:\Program Files (x86)\Windows Kits\10\bin\10.0.19041.0\x64\signtool.exe$q sign /sha1 “122..fingerabdruck_des_cert...abc“ /tr http://time.certum.pl /td sha256 /v $p $f
TIPP: Der Token des SymplySign-Desktop gilt ca. 2 Stunden und muss dann aufgefrischt werden.
Falsche Anführungszeichen („“) beim fingerabdruck führten zum Fehler „Signtool command failed with exit code 0x1“

lg
CRT
Zeiterfassung . Zutrittskontrolle
www.CRT-software.com
:wav:
Antworten