Inoffizielles deutsches Xbase-Forum

Reicht es die EXE zu signieren oder muss man auch die DLLs signieren ?

Klaus,

alles. Sonst geht der Virenscanner auch immer skeptisch über die dll.

Jan

Jan,
also auch die von Xbase++, Edgar, etc ?

Hallo Klaus,

nein, natürlich nicht. Du kannst ja nicht einfach dll signieren, die nicht von Dir sind. Auch wenn ich natürlich das Problem sehe. Meine dll sind OK, aber bei den Alaska-Runtimes meckert der Virenscanner dann doch wieder. Weil Alaska eben halt nicht signiert. Aber schon rein rechtlich wird das vermutlich nicht gehen.

Ich selber signiere ausschließlich meine exe und dll. Und das ist schon ein enormer Fortschritt.

Jan

Und auch die Installationsdateien.

Danke euch.

Hi

Habe mir jetzt auch ein Zertifikat besorgt (von kSign). Von Performance Steigerung hab ich nichts bemerkt,. egal.
Spaßeshalber hab ich auch (neben EXE) Xclass.dll zertifiziert, wollte sehen, wie sich das auf die Performance auswirkt.
Aber jetz kann ich nicht mehr die DLL debuggen. Die unsignierte geht, nach dem Signieren springt die Workbench nicht mehr in den Xclass Code.
Und (nur) ein Kunde kann nicht seine HKEY_CURRENT_USER Einträge lesen.
Ist das "normal" ?
Was ändert denn aus Sicht von Windows ein Zertifikat. Ausser vertrauenswürdig.

** Beitrag wegen Kritik entfernt

Der englische Wikipedia-Eintrag erklärt einiges, ansonsten einfach mal nach "Code Signing Benefits" googeln. https://en.wikipedia.org/wiki/Code_signing

Hallo Marcus,

ich signiere hauptsächlich aus zwei Gründen: Um diese elendigliche Meldung von Windows weg zu bekommen, wo der Button zum Beenden riesig groß und einladen ist, und der Link zum doch ausführen unscheinbar und versteckt. Und um zu verhindern das Virenscanner sich das Teil krallen und in Quarantäne schieben.

Debugged habe ich eine signierte exe oder dll noch nie. geht auch nicht, weil ich vor dem Signieren alles als Auslieferungsbereit kompiliere. Da ist also kein Debugcode mehr drin.

Jan

Hallo zusammen,
möchte nur mitteilen, dass ich seit 4 Tagen versuche über ksoftware ein Zertifikat zu bekommen. Die vermitteln nur weiter an Sectigo, wo das Zertifikat zwar wesentlich günstiger gewesen wäre, dafür aber habe ich es immer noch nicht. Sectigo sind mit den zugesandten Unterlagen nicht zufrieden (z.B. Rechnungen, Gewerbeschein) und haben den geforderten Eintrag bei Infobel nicht gefunden. Den habe ich jetzt auch weitergeleitet. Ich glaube die haben Probleme mit Umlauten, europäischer Schreibweise etc. jedenfalls konnten sie meine Telefonnummer +43 ... nicht verifizieren! Entweder sind die unfähig oder unwillig, rate daher von diesem Anbieter ab.

Hi

Ich habe vor kurzem auch ein Zertifikat über den gleichen Weg wie du gekauft. Hat ungefähr eine Woche gedauert, weil Sectigo dich überprüfen, müssen ja für das Zertifikat gerade stehen.
Das mit der Telefonnummer, du bekommst eine Mail mit Link für einen Rückruf zur Validierung deiner Telefonnummer. Lies die Mail genau durch, ich habs auch erst beim 2. Lesen kapiert.
Von ksoftware gibt es ein Tool zum Signieren, sehr praktisch, kann gleich in xpj mit post_build eingebaut werden.

Marcus, danke für die Info und den Tipp.

Wäre diese Schreibweise OK? Wie könnte man einstellen, dass dies nur für "Auslieferbereit" und nicht mit "DEBUG" erfolgt?

lg
Črtomir

Ist denn das wirklich sinnvoll? Dann würde der ja bei jedem Kompilieren auch mit signieren. Was während der eigentlichen Entwicklung unnötiger Aufwand und Zeitvergeudung ist. In meinen Augen.

Jan

Wir signieren auch nur die Builds, die in die Distribution gehen. Und die Setups.

Jan, deshalb meine Frage ob das bedingt möglich ist. Vielleicht weis das jemand?
Früher habe ich solche Sachen in eine .bat verpackt und mit Parameter aufgerufen um unterschiedliche Ergebnisse zu bekommen. Ginge ja jetzt auch noch, aber wenn schon in der Workbench...
lg

Ich packe die Programme mit "Setup Factory" zur Auslieferung und Installation zusammen. Dieses übernimmt auch die Signierung aller nötigen Dateien und sich selbst.

Hallo Crtomir,

ich hab mir dafür zwei Batches geschrieben. Die erst die einzelnen Dateien, und nach dem Erstellen des Setups auch dieses signieren und in die korrekten Ordner schiebt.

Ich hab meine Signatur übrigens auch von ksoftware (bin letztes Jahr gewechelt, weil der vorige Lieferant gar nicht mehr ging). War etwas holprig, aber der gute Mann war sehr zuvorkommend und hilfsbereit. Und war natürlich auch recht günstig.

Jan

àh, ich hab 2 verschiedene xpj für Debug/Entwicklung und Auslieferung.
Weil ich in beiden auch andere DLL lade, das kann ich in einer XPJ nicht steuern. Das fehlt noch in einer XPJ, dass man abhängig von DEBUG Einstellungen Sektionen mit ein/ausschliessen kann.
POST_BUILD macht natürlich nur Sinn, wenn man nur ab und zu Ausliefer EXE erstellt.

Inno Setup für das CodeSigning mit kSoftware/sectigo einrichten

• Voraussetzungen

Das Zertifikat muss als .pfx-Datei extrahiert worden sein und das Passwort dazu existieren.

• Herunterladen des M$ Signtools von:

https://developer.microsoft.com/de-de/w ... ws-10-sdk/

• Installation nur der Signtools

Ort des Tools:
C:\Program Files (x86)\Windows Kits\10\bin\10.0.19041.0\x64\signtool.exe

• Das Signier-Tool in der Inno Setup Compiler – IDE definieren

Inno, bei mir in der Version 6.0.3(u)) im Menü Tools > Configure Sign Tools:

Name of the Sign Tool: msSigntool
Command of the Sign Tool:

Musterdefinition:
"C:\\Program Files (x86)\\Windows Kits\\10\\bin\\10.0.18362\\x64\\signtool.exe" sign /f "C:\\path\\to\\MyCertificate.pfx" /p MyCertificatePassword /tr http://timestamp.digicert.com /td sha256 /td sha256 $p

Die folgenden speziellen Sequenzen können in Sign Tool-Parametern und -Befehlen verwendet werden:
$f, ersetzt durch den angegebenen Dateinamen der zu signierenden Datei. (erforderlich)
$p, ersetzt durch die Sign Tool-Parameter.
$q, ersetzt durch ein Anführungszeichen, nützlich zum Definieren eines Zeichenwerkzeugs, das Anführungszeichen aus der Befehlszeile enthält.
$$, ersetzt durch ein einzelnes $-Zeichen.

Meine Eintragung für SECTIGO in „Command oft he Sign Tool": TIPP: Die .pfx-Datei MUSS sich auf einem lokalen Laufwerk befinden!

• In der .ISS Datei in der Sektion [SETUP] trage wie folgt ein:

Muster:
SignTool=TheNameGivenToTheTool /d $qAppName$q /du $qhttps://thewebsiteoftheapp$q $f

Mein Eintrag:

• Zu signierende Dateien kennzeichnen

In der .iss-Datei bei den zu signierenden .dll und .exe folgendes Attribut anhängen:
; Flags: signonce

Hallo zusammen,
nachdem ich für das Codesigning bisher ca. EUR 60,-/Jahr bezahlt habe und kSoftware/sectigo die Preise drastisch erhöht haben (nach Rabatten EUR 808,- für 3 Jahre mit einem Hardwaretoken) habe ich nach einem neuen Zertifizierer gesucht und gefunden. Bei SSLmentor.de/certum kostet mich das jetzt EUR 97,-/Jahr wobei deren Tool einen Token simuliert. Ich setze das ganze mit InnoSetup ein.

Meine Eintragung für CERTUM in „Command of the Sign Tool" im InnoSetup: TIPP: Der Token des SymplySign-Desktop gilt ca. 2 Stunden und muss dann aufgefrischt werden.
Falsche Anführungszeichen („“) beim fingerabdruck führten zum Fehler „Signtool command failed with exit code 0x1“

lg
CRT