EXE Datei signieren ?
Moderator: Moderatoren
- Koverhage
- Der Entwickler von "Deep Thought"
- Beiträge: 2484
- Registriert: Fr, 23. Dez 2005 8:00
- Wohnort: Aalen
- Hat sich bedankt: 117 Mal
- Danksagung erhalten: 3 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Reicht es die EXE zu signieren oder muss man auch die DLLs signieren ?
Gruß
Klaus
Klaus
- Jan
- Marvin
- Beiträge: 14859
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 32 Mal
- Danksagung erhalten: 112 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Klaus,
alles. Sonst geht der Virenscanner auch immer skeptisch über die dll.
Jan
alles. Sonst geht der Virenscanner auch immer skeptisch über die dll.
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
- Jan
- Marvin
- Beiträge: 14859
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 32 Mal
- Danksagung erhalten: 112 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Hallo Klaus,
nein, natürlich nicht. Du kannst ja nicht einfach dll signieren, die nicht von Dir sind. Auch wenn ich natürlich das Problem sehe. Meine dll sind OK, aber bei den Alaska-Runtimes meckert der Virenscanner dann doch wieder. Weil Alaska eben halt nicht signiert. Aber schon rein rechtlich wird das vermutlich nicht gehen.
Ich selber signiere ausschließlich meine exe und dll. Und das ist schon ein enormer Fortschritt.
Jan
nein, natürlich nicht. Du kannst ja nicht einfach dll signieren, die nicht von Dir sind. Auch wenn ich natürlich das Problem sehe. Meine dll sind OK, aber bei den Alaska-Runtimes meckert der Virenscanner dann doch wieder. Weil Alaska eben halt nicht signiert. Aber schon rein rechtlich wird das vermutlich nicht gehen.
Ich selber signiere ausschließlich meine exe und dll. Und das ist schon ein enormer Fortschritt.
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
- Wolfgang Ciriack
- Der Entwickler von "Deep Thought"
- Beiträge: 2999
- Registriert: Sa, 24. Sep 2005 9:37
- Wohnort: Berlin
- Hat sich bedankt: 17 Mal
- Danksagung erhalten: 40 Mal
- Kontaktdaten:
- Marcus Herz
- 1000 working lines a day
- Beiträge: 974
- Registriert: Mo, 16. Jan 2006 8:13
- Wohnort: Allgäu
- Hat sich bedankt: 48 Mal
- Danksagung erhalten: 235 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Hi
Habe mir jetzt auch ein Zertifikat besorgt (von kSign). Von Performance Steigerung hab ich nichts bemerkt,. egal.
Spaßeshalber hab ich auch (neben EXE) Xclass.dll zertifiziert, wollte sehen, wie sich das auf die Performance auswirkt.
Aber jetz kann ich nicht mehr die DLL debuggen. Die unsignierte geht, nach dem Signieren springt die Workbench nicht mehr in den Xclass Code.
Und (nur) ein Kunde kann nicht seine HKEY_CURRENT_USER Einträge lesen.
Ist das "normal" ?
Was ändert denn aus Sicht von Windows ein Zertifikat. Ausser vertrauenswürdig.
Habe mir jetzt auch ein Zertifikat besorgt (von kSign). Von Performance Steigerung hab ich nichts bemerkt,. egal.
Spaßeshalber hab ich auch (neben EXE) Xclass.dll zertifiziert, wollte sehen, wie sich das auf die Performance auswirkt.
Aber jetz kann ich nicht mehr die DLL debuggen. Die unsignierte geht, nach dem Signieren springt die Workbench nicht mehr in den Xclass Code.
Und (nur) ein Kunde kann nicht seine HKEY_CURRENT_USER Einträge lesen.
Ist das "normal" ?
Was ändert denn aus Sicht von Windows ein Zertifikat. Ausser vertrauenswürdig.
Gruß Marcus
Den Kopf in den Sand zu stecken rettet die Welt auch nicht.
Den Kopf in den Sand zu stecken rettet die Welt auch nicht.
-
- Der Entwickler von "Deep Thought"
- Beiträge: 2580
- Registriert: Mi, 28. Jul 2010 17:16
- Hat sich bedankt: 22 Mal
- Danksagung erhalten: 88 Mal
Re: EXE Datei signieren ?
** Beitrag wegen Kritik entfernt
Zuletzt geändert von ramses am Fr, 04. Dez 2020 10:38, insgesamt 2-mal geändert.
Valar Morghulis
Gruss Carlo
Gruss Carlo
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9759
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 130 Mal
- Danksagung erhalten: 441 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Der englische Wikipedia-Eintrag erklärt einiges, ansonsten einfach mal nach "Code Signing Benefits" googeln. https://en.wikipedia.org/wiki/Code_signing
Herzlich,
Tom
Tom
- Jan
- Marvin
- Beiträge: 14859
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 32 Mal
- Danksagung erhalten: 112 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Hallo Marcus,
ich signiere hauptsächlich aus zwei Gründen: Um diese elendigliche Meldung von Windows weg zu bekommen, wo der Button zum Beenden riesig groß und einladen ist, und der Link zum doch ausführen unscheinbar und versteckt. Und um zu verhindern das Virenscanner sich das Teil krallen und in Quarantäne schieben.
Debugged habe ich eine signierte exe oder dll noch nie. geht auch nicht, weil ich vor dem Signieren alles als Auslieferungsbereit kompiliere. Da ist also kein Debugcode mehr drin.
Jan
ich signiere hauptsächlich aus zwei Gründen: Um diese elendigliche Meldung von Windows weg zu bekommen, wo der Button zum Beenden riesig groß und einladen ist, und der Link zum doch ausführen unscheinbar und versteckt. Und um zu verhindern das Virenscanner sich das Teil krallen und in Quarantäne schieben.
Debugged habe ich eine signierte exe oder dll noch nie. geht auch nicht, weil ich vor dem Signieren alles als Auslieferungsbereit kompiliere. Da ist also kein Debugcode mehr drin.
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
-
- Rekursionen-Architekt
- Beiträge: 123
- Registriert: Mo, 18. Aug 2008 9:33
- Wohnort: Kärnten / Österreich
- Hat sich bedankt: 10 Mal
- Danksagung erhalten: 2 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Hallo zusammen,
möchte nur mitteilen, dass ich seit 4 Tagen versuche über ksoftware ein Zertifikat zu bekommen. Die vermitteln nur weiter an Sectigo, wo das Zertifikat zwar wesentlich günstiger gewesen wäre, dafür aber habe ich es immer noch nicht. Sectigo sind mit den zugesandten Unterlagen nicht zufrieden (z.B. Rechnungen, Gewerbeschein) und haben den geforderten Eintrag bei Infobel nicht gefunden. Den habe ich jetzt auch weitergeleitet. Ich glaube die haben Probleme mit Umlauten, europäischer Schreibweise etc. jedenfalls konnten sie meine Telefonnummer +43 ... nicht verifizieren! Entweder sind die unfähig oder unwillig, rate daher von diesem Anbieter ab.
möchte nur mitteilen, dass ich seit 4 Tagen versuche über ksoftware ein Zertifikat zu bekommen. Die vermitteln nur weiter an Sectigo, wo das Zertifikat zwar wesentlich günstiger gewesen wäre, dafür aber habe ich es immer noch nicht. Sectigo sind mit den zugesandten Unterlagen nicht zufrieden (z.B. Rechnungen, Gewerbeschein) und haben den geforderten Eintrag bei Infobel nicht gefunden. Den habe ich jetzt auch weitergeleitet. Ich glaube die haben Probleme mit Umlauten, europäischer Schreibweise etc. jedenfalls konnten sie meine Telefonnummer +43 ... nicht verifizieren! Entweder sind die unfähig oder unwillig, rate daher von diesem Anbieter ab.
- Marcus Herz
- 1000 working lines a day
- Beiträge: 974
- Registriert: Mo, 16. Jan 2006 8:13
- Wohnort: Allgäu
- Hat sich bedankt: 48 Mal
- Danksagung erhalten: 235 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Hi
Ich habe vor kurzem auch ein Zertifikat über den gleichen Weg wie du gekauft. Hat ungefähr eine Woche gedauert, weil Sectigo dich überprüfen, müssen ja für das Zertifikat gerade stehen.
Das mit der Telefonnummer, du bekommst eine Mail mit Link für einen Rückruf zur Validierung deiner Telefonnummer. Lies die Mail genau durch, ich habs auch erst beim 2. Lesen kapiert.
Von ksoftware gibt es ein Tool zum Signieren, sehr praktisch, kann gleich in xpj mit post_build eingebaut werden.
Ich habe vor kurzem auch ein Zertifikat über den gleichen Weg wie du gekauft. Hat ungefähr eine Woche gedauert, weil Sectigo dich überprüfen, müssen ja für das Zertifikat gerade stehen.
Das mit der Telefonnummer, du bekommst eine Mail mit Link für einen Rückruf zur Validierung deiner Telefonnummer. Lies die Mail genau durch, ich habs auch erst beim 2. Lesen kapiert.
Von ksoftware gibt es ein Tool zum Signieren, sehr praktisch, kann gleich in xpj mit post_build eingebaut werden.
Gruß Marcus
Den Kopf in den Sand zu stecken rettet die Welt auch nicht.
Den Kopf in den Sand zu stecken rettet die Welt auch nicht.
-
- Rekursionen-Architekt
- Beiträge: 123
- Registriert: Mo, 18. Aug 2008 9:33
- Wohnort: Kärnten / Österreich
- Hat sich bedankt: 10 Mal
- Danksagung erhalten: 2 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Marcus, danke für die Info und den Tipp.
Wäre diese Schreibweise OK?
Wie könnte man einstellen, dass dies nur für "Auslieferbereit" und nicht mit "DEBUG" erfolgt?
lg
Črtomir
Wäre diese Schreibweise OK?
Code: Alles auswählen
post_build=irgendwas.exe parameter1 parameter2
lg
Črtomir
- Jan
- Marvin
- Beiträge: 14859
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 32 Mal
- Danksagung erhalten: 112 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Ist denn das wirklich sinnvoll? Dann würde der ja bei jedem Kompilieren auch mit signieren. Was während der eigentlichen Entwicklung unnötiger Aufwand und Zeitvergeudung ist. In meinen Augen.
Jan
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9759
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 130 Mal
- Danksagung erhalten: 441 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Wir signieren auch nur die Builds, die in die Distribution gehen. Und die Setups.
Herzlich,
Tom
Tom
-
- Rekursionen-Architekt
- Beiträge: 123
- Registriert: Mo, 18. Aug 2008 9:33
- Wohnort: Kärnten / Österreich
- Hat sich bedankt: 10 Mal
- Danksagung erhalten: 2 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Jan, deshalb meine Frage ob das bedingt möglich ist. Vielleicht weis das jemand?
Früher habe ich solche Sachen in eine .bat verpackt und mit Parameter aufgerufen um unterschiedliche Ergebnisse zu bekommen. Ginge ja jetzt auch noch, aber wenn schon in der Workbench...
lg
Früher habe ich solche Sachen in eine .bat verpackt und mit Parameter aufgerufen um unterschiedliche Ergebnisse zu bekommen. Ginge ja jetzt auch noch, aber wenn schon in der Workbench...
lg
-
- Der Entwickler von "Deep Thought"
- Beiträge: 2580
- Registriert: Mi, 28. Jul 2010 17:16
- Hat sich bedankt: 22 Mal
- Danksagung erhalten: 88 Mal
Re: EXE Datei signieren ?
Ich packe die Programme mit "Setup Factory" zur Auslieferung und Installation zusammen. Dieses übernimmt auch die Signierung aller nötigen Dateien und sich selbst.
Valar Morghulis
Gruss Carlo
Gruss Carlo
- Jan
- Marvin
- Beiträge: 14859
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 32 Mal
- Danksagung erhalten: 112 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
Hallo Crtomir,
ich hab mir dafür zwei Batches geschrieben. Die erst die einzelnen Dateien, und nach dem Erstellen des Setups auch dieses signieren und in die korrekten Ordner schiebt.
Ich hab meine Signatur übrigens auch von ksoftware (bin letztes Jahr gewechelt, weil der vorige Lieferant gar nicht mehr ging). War etwas holprig, aber der gute Mann war sehr zuvorkommend und hilfsbereit. Und war natürlich auch recht günstig.
Jan
ich hab mir dafür zwei Batches geschrieben. Die erst die einzelnen Dateien, und nach dem Erstellen des Setups auch dieses signieren und in die korrekten Ordner schiebt.
Ich hab meine Signatur übrigens auch von ksoftware (bin letztes Jahr gewechelt, weil der vorige Lieferant gar nicht mehr ging). War etwas holprig, aber der gute Mann war sehr zuvorkommend und hilfsbereit. Und war natürlich auch recht günstig.
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
- Marcus Herz
- 1000 working lines a day
- Beiträge: 974
- Registriert: Mo, 16. Jan 2006 8:13
- Wohnort: Allgäu
- Hat sich bedankt: 48 Mal
- Danksagung erhalten: 235 Mal
- Kontaktdaten:
Re: EXE Datei signieren ?
àh, ich hab 2 verschiedene xpj für Debug/Entwicklung und Auslieferung.
Weil ich in beiden auch andere DLL lade, das kann ich in einer XPJ nicht steuern. Das fehlt noch in einer XPJ, dass man abhängig von DEBUG Einstellungen Sektionen mit ein/ausschliessen kann.
POST_BUILD macht natürlich nur Sinn, wenn man nur ab und zu Ausliefer EXE erstellt.
Weil ich in beiden auch andere DLL lade, das kann ich in einer XPJ nicht steuern. Das fehlt noch in einer XPJ, dass man abhängig von DEBUG Einstellungen Sektionen mit ein/ausschliessen kann.
POST_BUILD macht natürlich nur Sinn, wenn man nur ab und zu Ausliefer EXE erstellt.
Gruß Marcus
Den Kopf in den Sand zu stecken rettet die Welt auch nicht.
Den Kopf in den Sand zu stecken rettet die Welt auch nicht.
-
- Rekursionen-Architekt
- Beiträge: 123
- Registriert: Mo, 18. Aug 2008 9:33
- Wohnort: Kärnten / Österreich
- Hat sich bedankt: 10 Mal
- Danksagung erhalten: 2 Mal
- Kontaktdaten:
Anleitung - EXE u. DLL Datei signieren mit Inno u. kSign/sectigo
Inno Setup für das CodeSigning mit kSoftware/sectigo einrichten
C:\Program Files (x86)\Windows Kits\10\bin\10.0.19041.0\x64\signtool.exe
Name of the Sign Tool: msSigntool
Command of the Sign Tool:
Musterdefinition:
"C:\\Program Files (x86)\\Windows Kits\\10\\bin\\10.0.18362\\x64\\signtool.exe" sign /f "C:\\path\\to\\MyCertificate.pfx" /p MyCertificatePassword /tr http://timestamp.digicert.com /td sha256 /td sha256 $p
Die folgenden speziellen Sequenzen können in Sign Tool-Parametern und -Befehlen verwendet werden:
$f, ersetzt durch den angegebenen Dateinamen der zu signierenden Datei. (erforderlich)
$p, ersetzt durch die Sign Tool-Parameter.
$q, ersetzt durch ein Anführungszeichen, nützlich zum Definieren eines Zeichenwerkzeugs, das Anführungszeichen aus der Befehlszeile enthält.
$$, ersetzt durch ein einzelnes $-Zeichen.
Meine Eintragung für SECTIGO in „Command oft he Sign Tool":
TIPP: Die .pfx-Datei MUSS sich auf einem lokalen Laufwerk befinden!
SignTool=TheNameGivenToTheTool /d $qAppName$q /du $qhttps://thewebsiteoftheapp$q $f
Mein Eintrag:
; Flags: signonce
- Voraussetzungen
- Herunterladen des M$ Signtools von:
- Installation nur der Signtools
C:\Program Files (x86)\Windows Kits\10\bin\10.0.19041.0\x64\signtool.exe
- Das Signier-Tool in der Inno Setup Compiler – IDE definieren
Name of the Sign Tool: msSigntool
Command of the Sign Tool:
Musterdefinition:
"C:\\Program Files (x86)\\Windows Kits\\10\\bin\\10.0.18362\\x64\\signtool.exe" sign /f "C:\\path\\to\\MyCertificate.pfx" /p MyCertificatePassword /tr http://timestamp.digicert.com /td sha256 /td sha256 $p
Die folgenden speziellen Sequenzen können in Sign Tool-Parametern und -Befehlen verwendet werden:
$f, ersetzt durch den angegebenen Dateinamen der zu signierenden Datei. (erforderlich)
$p, ersetzt durch die Sign Tool-Parameter.
$q, ersetzt durch ein Anführungszeichen, nützlich zum Definieren eines Zeichenwerkzeugs, das Anführungszeichen aus der Befehlszeile enthält.
$$, ersetzt durch ein einzelnes $-Zeichen.
Meine Eintragung für SECTIGO in „Command oft he Sign Tool":
Code: Alles auswählen
$qC:\Program Files (x86)\Windows Kits\10\bin\10.0.19041.0\x64\signtool.exe$q sign /f $qC:\Daten\Zertifikat\CRT_software.pfx$q /p MeinZertifikatsPasswort /tr http://timestamp.sectigo.com /td sha256 $p $f
- In der .ISS Datei in der Sektion [SETUP] trage wie folgt ein:
SignTool=TheNameGivenToTheTool /d $qAppName$q /du $qhttps://thewebsiteoftheapp$q $f
Mein Eintrag:
Code: Alles auswählen
[SETUP]
...
SignTool=msSigntool
- Zu signierende Dateien kennzeichnen
; Flags: signonce
Code: Alles auswählen
[Files]
; P r o g r a m m
Source: "G:\CRT\Technik\PROD\AZE_\AZL\AZLWIN\DISK\*.exe"; DestDir: "{app}"; check: KompAnw()[b]; Flags: signonce[/b]
Source: "G:\CRT\Technik\PROD\AZE_\AZL\AZLWIN\DISK\*.dll"; DestDir: "{app}"; check: KompAnw()[b]; Flags: signonce[/b]
-
- Rekursionen-Architekt
- Beiträge: 123
- Registriert: Mo, 18. Aug 2008 9:33
- Wohnort: Kärnten / Österreich
- Hat sich bedankt: 10 Mal
- Danksagung erhalten: 2 Mal
- Kontaktdaten:
certum signtool innosetup
Hallo zusammen,
nachdem ich für das Codesigning bisher ca. EUR 60,-/Jahr bezahlt habe und kSoftware/sectigo die Preise drastisch erhöht haben (nach Rabatten EUR 808,- für 3 Jahre mit einem Hardwaretoken) habe ich nach einem neuen Zertifizierer gesucht und gefunden. Bei SSLmentor.de/certum kostet mich das jetzt EUR 97,-/Jahr wobei deren Tool einen Token simuliert. Ich setze das ganze mit InnoSetup ein.
Meine Eintragung für CERTUM in „Command of the Sign Tool" im InnoSetup:
TIPP: Der Token des SymplySign-Desktop gilt ca. 2 Stunden und muss dann aufgefrischt werden.
Falsche Anführungszeichen („“) beim fingerabdruck führten zum Fehler „Signtool command failed with exit code 0x1“
lg
CRT
nachdem ich für das Codesigning bisher ca. EUR 60,-/Jahr bezahlt habe und kSoftware/sectigo die Preise drastisch erhöht haben (nach Rabatten EUR 808,- für 3 Jahre mit einem Hardwaretoken) habe ich nach einem neuen Zertifizierer gesucht und gefunden. Bei SSLmentor.de/certum kostet mich das jetzt EUR 97,-/Jahr wobei deren Tool einen Token simuliert. Ich setze das ganze mit InnoSetup ein.
Meine Eintragung für CERTUM in „Command of the Sign Tool" im InnoSetup:
Code: Alles auswählen
$qC:\Program Files (x86)\Windows Kits\10\bin\10.0.19041.0\x64\signtool.exe$q sign /sha1 “122..fingerabdruck_des_cert...abc“ /tr http://time.certum.pl /td sha256 /v $p $f
Falsche Anführungszeichen („“) beim fingerabdruck führten zum Fehler „Signtool command failed with exit code 0x1“
lg
CRT