MeinProgramm.exe digital signieren
Moderator: Moderatoren
- satmax
- 1000 working lines a day
- Beiträge: 831
- Registriert: Do, 02. Dez 2010 19:34
- Wohnort: Biberbach in Österreich
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 1 Mal
- Kontaktdaten:
MeinProgramm.exe digital signieren
Aufgrund von Toms Hinweis, das digital signierte Programme nicht ganz so hart von Antiviren - Programmen behandelt werden, habe ich beschlossen zukünftig die eignen Programme ebenfalls digital zu signieren. Ich habe mir dazu heute eine digitale Signatur bei Symantec bestellt. So ich ich das bis jetzt verstanden habe, muss ich nun zum Notar um meine "Echtheit" zu bestätigen. Mal sehen wie lange das nun alles dauert.
Ein paar Gedanken mache ich mir aber schon jetzt. Das erste Problem, ich habe einen Softwareentwickler der auf Basis von C/C++ einige Programm erstellt bzw. betreut. Das Ganze ausschließlich von seinem Home Office aus. Und dann eben noch mich der ein Xbase++ Programm erstellt / betreut. Wir beide sollten natürlich unsere Programme signieren können. Die Signatur ist aber an einen Rechner bzw. Internetexplorer gebunden. Da ich auch mehrer Terminalserver für meine Kunden im Einsatz habe, würde es sich anbieten, die Signatur auf einem Terminalserver zu installieren auf den wir beide Zugriff haben. So könnten wir beide unabhängig voneinander unserer Programme digital signieren.
Einen 2 Möglichkeit wäre, ich mache das ganze via Batch Job. Wir kopieren beide unsere Programme aufs Netz:
s:\Inst\FertigFürSignatur
und ein Batch Job überwacht dieses Verzeichnis und Signiert die Exe-Files. Anschließend werden Sie in einen Ordner
s:\ftpServer\Release\FertigSigniert
verschoben. Dazu jetzt eine Frage, kann man ein Programm auch via Batch File (cmd) signieren?
Ein paar Gedanken mache ich mir aber schon jetzt. Das erste Problem, ich habe einen Softwareentwickler der auf Basis von C/C++ einige Programm erstellt bzw. betreut. Das Ganze ausschließlich von seinem Home Office aus. Und dann eben noch mich der ein Xbase++ Programm erstellt / betreut. Wir beide sollten natürlich unsere Programme signieren können. Die Signatur ist aber an einen Rechner bzw. Internetexplorer gebunden. Da ich auch mehrer Terminalserver für meine Kunden im Einsatz habe, würde es sich anbieten, die Signatur auf einem Terminalserver zu installieren auf den wir beide Zugriff haben. So könnten wir beide unabhängig voneinander unserer Programme digital signieren.
Einen 2 Möglichkeit wäre, ich mache das ganze via Batch Job. Wir kopieren beide unsere Programme aufs Netz:
s:\Inst\FertigFürSignatur
und ein Batch Job überwacht dieses Verzeichnis und Signiert die Exe-Files. Anschließend werden Sie in einen Ordner
s:\ftpServer\Release\FertigSigniert
verschoben. Dazu jetzt eine Frage, kann man ein Programm auch via Batch File (cmd) signieren?
Gruß
Markus
Markus
- Herbert
- Der Entwickler von "Deep Thought"
- Beiträge: 1991
- Registriert: Do, 14. Aug 2008 0:22
- Wohnort: Gmunden am Traunsee, Österreich
- Danksagung erhalten: 3 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Habe diese Anleitung gefunden. Weicht das von dem ab, was du, Tom, bei dir machst?
http://www.eulanda.de/inside/entwickler ... efault.htm
http://www.eulanda.de/inside/entwickler ... efault.htm
Grüsse Herbert
Immer in Bewegung...
Immer in Bewegung...
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9387
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 104 Mal
- Danksagung erhalten: 362 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Für die Signatur - es geht um "Authenticode" - verwende ich das Signtool von Microsoft, das je nach Windows-Installation enthalten ist oder per Download besorgt werden muss. Nach Erhalt des Zertifikats und dessen Installation wird in der Zertifikateverwaltung - über den Explorer - eine PFX-Datei als Export des Zertifikats erzeugt. Die Signierung erfolgt dann beispielsweise so:
Der Schlüssel wird bei der Installation des Zertifikats festgelegt. Es kann jede beliebige EXE zertifiziert werden, die noch nicht zertifiziert ist. Mit DLLs habe ich das noch nicht probiert.
Code: Alles auswählen
signtool.exe sign /f \<Pfad>\<ZertifikatExport>.pfx /p <PrivaterSchlüssel> /t http://timestamp.verisign.com/scripts/timstamp.dll /v <Laufwerk>:\<AppPfad>\<AppName>.exe
Herzlich,
Tom
Tom
- satmax
- 1000 working lines a day
- Beiträge: 831
- Registriert: Do, 02. Dez 2010 19:34
- Wohnort: Biberbach in Österreich
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 1 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Das wird jetzt noch ein paar Tage dauern, am Montag bin ich wegen der Beglaubigung beim Notar.
Gruß
Markus
Markus
- satmax
- 1000 working lines a day
- Beiträge: 831
- Registriert: Do, 02. Dez 2010 19:34
- Wohnort: Biberbach in Österreich
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 1 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
So, Zertifikat erhalten und auch schon mit dem signtool signiert.
Einziger Fehler: ich habe den Bestellvorgang von einem falschen Computer/Browser aus gemacht und musste das Zertifikat dann auf diesen Rechner installieren. Also schon beim bestellen aufpassen.
Jetzt muss ich mich schlau machen ob/wie ich das Zertifikat auf einen anderen Rechner/Browser bringe.
Einziger Fehler: ich habe den Bestellvorgang von einem falschen Computer/Browser aus gemacht und musste das Zertifikat dann auf diesen Rechner installieren. Also schon beim bestellen aufpassen.
Jetzt muss ich mich schlau machen ob/wie ich das Zertifikat auf einen anderen Rechner/Browser bringe.
Gruß
Markus
Markus
- Herbert
- Der Entwickler von "Deep Thought"
- Beiträge: 1991
- Registriert: Do, 14. Aug 2008 0:22
- Wohnort: Gmunden am Traunsee, Österreich
- Danksagung erhalten: 3 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Bin auf deine Erfahrungen gespannt.
Grüsse Herbert
Immer in Bewegung...
Immer in Bewegung...
- Wolfgang Ciriack
- Der Entwickler von "Deep Thought"
- Beiträge: 2936
- Registriert: Sa, 24. Sep 2005 9:37
- Wohnort: Berlin
- Hat sich bedankt: 13 Mal
- Danksagung erhalten: 34 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Auf diese bin ich auch gespannt.
Kannst du dann auch noch einmal etwas zu den Anbietern und Kosten sagen ?
Kannst du dann auch noch einmal etwas zu den Anbietern und Kosten sagen ?
Viele Grüße
Wolfgang
Wolfgang
- satmax
- 1000 working lines a day
- Beiträge: 831
- Registriert: Do, 02. Dez 2010 19:34
- Wohnort: Biberbach in Österreich
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 1 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Anbieter gibt es mehrere, ich habe mich für Symantec entschieden: http://www.symantec.com/page.jsp?id=cod ... n-center#3
Dort kostet das Zertifikat USD 499.- für ein Jahr, für 2, 3 oder 5 Jahre gibt es dann besserer Preise, aber ich wollte erst mal testen
Man kann alle EXE und auch DLL's signieren. Unter Eigenschaften gibt es dann einen neuen Reiter "Digitale Signaturen". *.chm oder *.pdf kann man nicht signieren. Ich werde heute am Abend bei einem Kunden die signierte EXE installieren.
Wie weit das jetzt Sinn mach, alle DLL's der Runtime zu signieren,? Keine Ahnung.
Richtig Erfahrung wird man erst in einigen Wochen haben.
Und, ganz wichtig, bereits beim Bestellen darauf achten auf welchem Rechner das laufen soll.
So ich ich das jetzt mitbekommen habe kann man den exportierten Schlüssel dann aber sehr wohl auf einen anderen Rechner kopieren und dort unabhängig vom Internet Explorer Programme signieren.
Dort kostet das Zertifikat USD 499.- für ein Jahr, für 2, 3 oder 5 Jahre gibt es dann besserer Preise, aber ich wollte erst mal testen
Man kann alle EXE und auch DLL's signieren. Unter Eigenschaften gibt es dann einen neuen Reiter "Digitale Signaturen". *.chm oder *.pdf kann man nicht signieren. Ich werde heute am Abend bei einem Kunden die signierte EXE installieren.
Wie weit das jetzt Sinn mach, alle DLL's der Runtime zu signieren,? Keine Ahnung.
Richtig Erfahrung wird man erst in einigen Wochen haben.
Und, ganz wichtig, bereits beim Bestellen darauf achten auf welchem Rechner das laufen soll.
So ich ich das jetzt mitbekommen habe kann man den exportierten Schlüssel dann aber sehr wohl auf einen anderen Rechner kopieren und dort unabhängig vom Internet Explorer Programme signieren.
Gruß
Markus
Markus
- AUGE_OHR
- Marvin
- Beiträge: 12911
- Registriert: Do, 16. Mär 2006 7:55
- Wohnort: Hamburg
- Hat sich bedankt: 19 Mal
- Danksagung erhalten: 46 Mal
Re: MeinProgramm.exe digital signieren
das wäre ja eine "Eingriff" in die Runtime DLLs ...satmax hat geschrieben:... alle DLL's der Runtime zu signieren,?
im Prinzip sollte Alaska die Runtime DLLs signiert ausliefern !
gruss by OHR
Jimmy
Jimmy
- satmax
- 1000 working lines a day
- Beiträge: 831
- Registriert: Do, 02. Dez 2010 19:34
- Wohnort: Biberbach in Österreich
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 1 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Ja, das sehe ich auch so. Aber wenn die es nicht tun mache ich es selbst.AUGE_OHR hat geschrieben:das wäre ja eine "Eingriff" in die Runtime DLLs ...satmax hat geschrieben:... alle DLL's der Runtime zu signieren,?
im Prinzip sollte Alaska die Runtime DLLs signiert ausliefern !
Gruß
Markus
Markus
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9387
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 104 Mal
- Danksagung erhalten: 362 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
So isses. Du exportierst das Zertifikat (nicht den Schlüssel) ja - üblicherweise mit einem zusätzlichen privaten Schlüssel versehen. Diese Exportdatei (.PFX) ist ortsunabhängig verwendbar, wenn man das Signtool einsetzt. Man muss nur den Schlüssel (im Haus) weitergeben. Siehe Beispielaufruf für das Signtool im anderen Thread.So ich ich das jetzt mitbekommen habe kann man den exportierten Schlüssel dann aber sehr wohl auf einen anderen Rechner kopieren und dort unabhängig vom Internet Explorer Programme signieren.
Herzlich,
Tom
Tom
- satmax
- 1000 working lines a day
- Beiträge: 831
- Registriert: Do, 02. Dez 2010 19:34
- Wohnort: Biberbach in Österreich
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 1 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Ich habe mir am File Server einen Zeitplanungsdienst eingerichtet der alle 5 Minuten ein cmd file aufruft. Dieses cmd File kontrolliert 3 Verzeichnisse, ist eine (oder mehrere) exe oder dll darin, wird (werden) diese signiert und in das endgültige Verzeichnis verschoben.
Gruß
Markus
Markus
- satmax
- 1000 working lines a day
- Beiträge: 831
- Registriert: Do, 02. Dez 2010 19:34
- Wohnort: Biberbach in Österreich
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 1 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Ja, eindeutig!brandelh hat geschrieben:Du vertraust deinen Mitarbeitern =D>
Sicher besser wie das ganze Zertifikat hergeben. Und, im Prinzip hat nur ein Mitarbeiter außer mir Zugriffe auf diese Verzeichnisse. Bei meiner Lösung hat er eben keinen Zugriff auf des Zertifikat, aber ich bekomme alles was er signiert als Copy.
Gruß
Markus
Markus
- Herbert
- Der Entwickler von "Deep Thought"
- Beiträge: 1991
- Registriert: Do, 14. Aug 2008 0:22
- Wohnort: Gmunden am Traunsee, Österreich
- Danksagung erhalten: 3 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Darf ich nachfragen? Warum hast du dich für Symantec entscheiden? Ich bin am Duchforsten der Anbieter und sehe irgendwie nicht ganz durch. Mitbewerber (z.B. Thawte) offerieren dasselbe mit deutlich weniger Kosten...satmax hat geschrieben:Anbieter gibt es mehrere, ich habe mich für Symantec entschieden
Grüsse Herbert
Immer in Bewegung...
Immer in Bewegung...
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9387
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 104 Mal
- Danksagung erhalten: 362 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
So ging es mir auch. Und deshalb habe ich mich vor drei Jahren für Symantec entschieden. Allerdings ist auch bei denen z.B. das Support- und Dokumentationsportal ein ziemliches Durcheinander, aber immerhin reagiert der echtmenschliche Support ziemlich fix.Ich bin am Duchforsten der Anbieter und sehe irgendwie nicht ganz durch.
Herzlich,
Tom
Tom
- satmax
- 1000 working lines a day
- Beiträge: 831
- Registriert: Do, 02. Dez 2010 19:34
- Wohnort: Biberbach in Österreich
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 1 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Ganz ehrlich: ich habe keinen Preisvergleich gemacht und habe mich einfach an Tom gehalten. Ich bin mir aber relativ sicher das es mit Thawte genau so geht. Auch deren Zertifikat ist bei einer Grundinstallation des Betriebssystems vorhanden.
Ich habe das Zertifikat auch nur mal auf ein Jahr gemacht um zu sehen was es bringt. Aktuell sieht das aber sehr vielversprechend aus, der Beobachtungszeitraum ist aber noch zu kurz. Ich hatte aber seither keinen dieser vereinzelten ominösen Fehler mehr.
Ich habe das Zertifikat auch nur mal auf ein Jahr gemacht um zu sehen was es bringt. Aktuell sieht das aber sehr vielversprechend aus, der Beobachtungszeitraum ist aber noch zu kurz. Ich hatte aber seither keinen dieser vereinzelten ominösen Fehler mehr.
Gruß
Markus
Markus
- Herbert
- Der Entwickler von "Deep Thought"
- Beiträge: 1991
- Registriert: Do, 14. Aug 2008 0:22
- Wohnort: Gmunden am Traunsee, Österreich
- Danksagung erhalten: 3 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Danke. Ist immer gut, Erfahrungswerte zu bekommen.
Nur, signieren denn so wenig Leute ihre .EXE- oder .DLL-Dateien?
Ich habe dies bis jetzt auch nicht gemacht.
Nur, signieren denn so wenig Leute ihre .EXE- oder .DLL-Dateien?
Ich habe dies bis jetzt auch nicht gemacht.
Grüsse Herbert
Immer in Bewegung...
Immer in Bewegung...
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9387
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 104 Mal
- Danksagung erhalten: 362 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Hallo, Herbert.
Die meisten größeren Softwarehersteller liefern signierte Programme aus. Es wird nach meiner Erfahrung zumindest von jenen Kunden, die gewisse IT-Kenntnisse haben, als Qualitätsmerkmal erkannt. DLLs signieren wir übrigens nicht; es gab bislang auch nicht das Erfordernis. Bei statischen DLLs ist es nach meinem Eindruck auch überflüssig.
Ich denke, dass das bislang nur wenige tun, weil es erstens Geld kostet - so oder so um die 200 bis 400 Locken pro Jahr - und zweitens nicht ganz trivial ist. Es gibt zig unterschiedliche Zertifizierungsverfahren und -arten. Dem steht beim Programmstart die Meldung "Unbekannter Hersteller" gegenüber, und das nicht eben kleine (tatsächlich: wachsende) Problem, dass Virenscanner inzwischen weit mehr tun als nur Dateien bei deren Öffnung zu untersuchen.
Die meisten größeren Softwarehersteller liefern signierte Programme aus. Es wird nach meiner Erfahrung zumindest von jenen Kunden, die gewisse IT-Kenntnisse haben, als Qualitätsmerkmal erkannt. DLLs signieren wir übrigens nicht; es gab bislang auch nicht das Erfordernis. Bei statischen DLLs ist es nach meinem Eindruck auch überflüssig.
Ich denke, dass das bislang nur wenige tun, weil es erstens Geld kostet - so oder so um die 200 bis 400 Locken pro Jahr - und zweitens nicht ganz trivial ist. Es gibt zig unterschiedliche Zertifizierungsverfahren und -arten. Dem steht beim Programmstart die Meldung "Unbekannter Hersteller" gegenüber, und das nicht eben kleine (tatsächlich: wachsende) Problem, dass Virenscanner inzwischen weit mehr tun als nur Dateien bei deren Öffnung zu untersuchen.
Herzlich,
Tom
Tom
- Herbert
- Der Entwickler von "Deep Thought"
- Beiträge: 1991
- Registriert: Do, 14. Aug 2008 0:22
- Wohnort: Gmunden am Traunsee, Österreich
- Danksagung erhalten: 3 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Ja, deshalb möchte ich auch als seriöser Anbieter da stehen
Daher eigentlich die Frage in die Runde, wer sonst noch signiert und vor allem auch womit...
Daher eigentlich die Frage in die Runde, wer sonst noch signiert und vor allem auch womit...
Grüsse Herbert
Immer in Bewegung...
Immer in Bewegung...
Re: MeinProgramm.exe digital signieren
Hallo Herbert
Da auch ich in Zukunft meine Programme digital signieren möchte, schliesse ich mich Deiner Frage an und bin gespannt, wer dieses "Prozedere" (allenfalls mit anderen Anbietern) schon hinter sich hat.
Grüsse aus der Schweiz
Marco
Da auch ich in Zukunft meine Programme digital signieren möchte, schliesse ich mich Deiner Frage an und bin gespannt, wer dieses "Prozedere" (allenfalls mit anderen Anbietern) schon hinter sich hat.
Grüsse aus der Schweiz
Marco
- satmax
- 1000 working lines a day
- Beiträge: 831
- Registriert: Do, 02. Dez 2010 19:34
- Wohnort: Biberbach in Österreich
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 1 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
So, eine Woche ist vorbei, hier meine Erfahrungen bisher (Netzwerk mit ca. 10 aktiven Usern): Vor der Signierung hatte ich manchmal das Problem, das die Verbindung zu Datenbank verloren, bzw. mein Datenobjekt (SQLExpress) ungültig wurde.Herbert hat geschrieben:Bin auf deine Erfahrungen gespannt.
Es hatte immer den Anschein das es mit dem Netzwerk Probleme geben würde. Das konnte ich aber praktisch ausschließen, da auf all diesen Rechnern auch ein anderes Programm von uns ohne Probleme lief. Der Unterschied ist nur, das andere Programm ist in VC++ geschrieben.
Auf einem PC war das Problem ganz extrem, Rechner neu starten, Programm starten, eine (einfache) bestimmte Aktion ausführen, Absturz. Im LOG des (Kaspersky) Virenscanners waren Einträge wie
zu finden. Ging dieser Benutzer auf einen anderen PC funktionierte das.Verhalten besitzt Ähnlichkeit mit PDM.DNS Query.
Diese Probleme haben sich seit dem signieren erledigt und sind nicht mehr aufgetreten.
Was ich nicht verstehe:
1) unsere VC++ Programme waren davon nicht betroffen. Hängt das eventuell damit zusammen, das diese mit einem MS Entwicklungssystem erstellt wurden?
2) auch das Ausschließen der EXE oder des Pfades aus dem Virenscanner brachte keine Änderung.
Gruß
Markus
Markus
- Herbert
- Der Entwickler von "Deep Thought"
- Beiträge: 1991
- Registriert: Do, 14. Aug 2008 0:22
- Wohnort: Gmunden am Traunsee, Österreich
- Danksagung erhalten: 3 Mal
- Kontaktdaten:
Re: MeinProgramm.exe digital signieren
Aus aktuellem Anlass wärme ich diesen Thread nochmals auf. Es scheint, als ob die Signierung auch bei meinen zwei Kunden das Problem von Netzunterbrüchen behebt.satmax hat geschrieben:So, eine Woche ist vorbei, hier meine Erfahrungen bisher (Netzwerk mit ca. 10 aktiven Usern): Vor der Signierung hatte ich manchmal das Problem, das die Verbindung zu Datenbank verloren, bzw. mein Datenobjekt (SQLExpress) ungültig wurde.Herbert hat geschrieben:Bin auf deine Erfahrungen gespannt.
Es hatte immer den Anschein das es mit dem Netzwerk Probleme geben würde. Das konnte ich aber praktisch ausschließen, da auf all diesen Rechnern auch ein anderes Programm von uns ohne Probleme lief. Der Unterschied ist nur, das andere Programm ist in VC++ geschrieben.
Diese Probleme haben sich seit dem signieren erledigt und sind nicht mehr aufgetreten.
Wer also Ähnliches erlebt, dem sei geraten, sich das Geld einer Registrierung zu überlegen. Ich hatte den Eintrag hier von Satmax nicht ernst genug gelesen gehabt.
Grüsse Herbert
Immer in Bewegung...
Immer in Bewegung...