Ist es nicht?
Bei Microsoft ist es aber gelistet:
http://download.microsoft.com/downlo...ber%202009.pdf

Ich werde nachher mal eine frische VM aufsetzen und prüfen, was bei meinen Anwendungen so angezeigt wird.

Updates der Stammzertifikate werden von Microsoft per Windows-Update ausgeliefert.
Man kann das auch manuell nachinstallieren:
http://support.microsoft.com/kb/931125

Hallo,

die Frage, welche CAs bei welchen Windows-Versionen default-mäßig "mit dabei" sind, interessiert mich auch brennend. Für die Code-Signierung besonders interessant wäre zu wissen, welche CAs bei Windows Vista "mit ausgeliefert" wurden. Leider liefert die verlinkte PDF-Datei keine Antwort auf diese Frage - da steht zwar, welche CAs schon vor dem Update vorhanden waren, aber nicht seit wann. Ich habe zwar nach älteren Versionen der PDF-Datei gegooglet, aber das älteste was ich gefunden habe war März 2009, alle anderen verlinken nur die Microsoft-Knowledge-Base-Seite, und wenn man den Links folgt landet man auf der aktuellen Version der Seite, nicht auf der "alten". Da hilft scheinbar wirklich nur ein frisches Vista installieren und damit testen...

Erschwerend kommt hinzu, dass die Root-Certificate-Updates zwar per Windows Update ausgeliefert werden, aber leider nur als optionale Updates. Frag' mal ein paar Benutzer, ob sie schon mal optionale Updates installiert haben, die meisten werden gar nicht wissen, wie sie das machen sollen...

Edit: laut http://www.entrust.net/knowledge-bas...te.cfm?tn=7740 lädt Windows Vista ein unbekanntes Root-Zertifikat automatisch nach, wenn es dem Windows-Update-Server bekannt ist, ohne dass der User was davon merkt. Außer natürlich er hat in dem Moment grad keine Internet-Verbindung, oder das Zertifikat-Update wurde vom Administrator deaktiviert, oder oder oder...

Noch ein Tipp - wenn du deine Software bei Microsoft registrieren möchtest
um z.b. Punkte im Partnerprogramm zu erhalten (nur relevant für Unternehmen) oder ein Logo wie "Compatible with Windows 7" u.a.
musst du ein Verisign Zertifikat verwenden Alle anderen werden komischweise nicht akzeptiert.

:-mschmidt

Und ein Zertifikat von VeriSign ist mit das teuerste

Hallo,

wie oben versprochen ein kleines Tutorial zum Thema Code signing mit startssl.

Viele Grüße ...

Das ist ja mal gut beschrieben, danke hierfür! Dort werde ich mir mal ein Zertifikat für privat gönnen.

Ach das passt gerade schön. Hatte gerade neue Preise rausgesucht.

Preis pro Jahr bei jeweils der längst möglichen Laufzeit.

49USD (34,4421 EUR) / einmalig?
https://www.startssl.com/
s.h. auch https://forum.startcom.org/viewtopic.php?f=15&t=1654

75USD (52,665 EUR) / Jahr
https://secure.ksoftware.net/code_signing.html

118€ / Jahr
http://www.trustcenter.de/products/t...thenticode.htm

135€/ Jahr
http://www.certum.eu/certum/cert,offer_code_signing.xml

159€ / Jahr
https://globalsign.wis.de/certs/info/object/

167€ / Jahr
http://www.instantssl.com/code-signing/

264€ / Jahr
http://www.thawte.com/code-signing/index.html

432€ / Jahr
http://www.verisign.de/code-signing/...ode/index.html
oder per Promotion Code 99 USD für nur 1 Jahr (und nicht länger)
https://securitycenter.verisign.com/...Code=THEDEAL99



Nur mit dem Verisign Zertifikaten ist die Nutzung der zusätzlichen Dienste von Microsoft möglich.
http://www.microsoft.com/whdc/winlog.../StartWER.mspx


Erfahrungen:
Bei KSoftware war mein Browser beim Kaufvorgang damals (vor ca. 5 Jahren) ausgestiegen und ich musste viele Emails schreiben, bis ich den bezahlten Kauf bekommen hatte.

Bei StartSSL funktioniert ganz gut. Gekauft habe ich dort allerdings nie etwas. Unbedingt das Clientzertifikat sichern, wenn ihr euch dort angemeldet habt. Ohne dem Zertifikat könnt ihr euch dort nicht mehr anmelden!

Comodo und Thawte laufen auch problemlos. Bei den beiden kaufe ich SSL Zertifikate über die deutsche Firma PSW Group (http://www.psw.net/).

Von Thawte ist mein aktuelles Code Signing Zertifikat. Lief bis jetzt ohne Probleme.

Guckste bei "signtool.exe verify /kp ..." nach. Auch die Kernel Signing Policy (KP) erfordert VeriSign plus cross-signing mit dem MS-VeriSign-Root-Cert. VeriSign-Zertifikate gibt's derzeit für $99 (ein Jahr, nur erstes Jahr und dennoch nicht für KP geeignet) über WinQual, aber generell nur für Firmen.

Um die Regeln der KP kommt man bspw. nicht herum wenn die eigene Anwendung/DLL für AppInit funzen soll, mit dem WSC kommunizieren soll usw. ... Treiber ja ohnehin (sagt ja schon der Name ).

WinQual wird meines Wissens nach für derlei Dienste kostenpflichtig. Und bei Delpianwendungen ist madExcept (usw) ohnehin die bessere Lösung.

Übrigens ist das mit "nur signtool" sei wichtig vermutlich dann hinfällig wenn man am Logo-Programm teilnimmt. Denn für diverse Methoden des Signierens muß das Zertifikat im "Certificate Store" (in der Registry) liegen und darf eben nicht als .pfx auf der Platte sein. Frag mich nicht warum, aber es geht dann wirklich nicht mehr mit .pfx ... signtool weigert sich dann nur noch.