Das wollte ich damit sagen. Womit sich die Frage stellt, ob diese Zertifikate bzw. deren Distribution prinzipbedingt für die Softwaresignierung ungeeignet sind.

Laut ksoftware gibt es jetzt wohl unterschiedliche Zertifikate: EV (mit Hardware-Token, deutlich teurer) und OV (wie bislang lediglich als Datei)
https://support.ksoftware.net/suppor...-certificates-

Wenn Codehunter ein EV-Zertifikat hat, würde es das erklären.

Hat schon jemand Erfahrung mit beiden Zertifikatstypen im direkten Vergleich?

Du meinst hoika.

Ups, ja, sorry. Hatte hochgescrollt und den Namen im ersten Posting kopiert ... war aber die zweite Seite.

Demnach wären EVs für Delphi-Programme gar nicht nötig sondern nur für Kernelmode-Treiber. Die können wir ja sowieso nicht erzeugen.

@hoika: Einfach mal bei eurer CA fragen, ob sie euch das einmal bezahlte EV nochmal als OV zur Verfügung stellen können. Nach meinem Verständnis sollte das OV ja ein Subset des EV sein.

Hallo,
GlobalSign bietet nur noch dieses Zertifikat an ;(
Und halt mit dem Hinweis, dass es so sein muss.

Komisch ich sehe beide Arten. Standard + EV:

https://www.globalsign.com/de-de/code-signing/

Hallo,
es steht bei beiden aber
Kryptographischer USB-Token

Es sieht so aus also würde keiner die Facebook Delphi Groups lesen...

Also soviel ich verstanden habe.

OV Code Signierung funktioniert per *.pfx Datei.

Hierbei must das Vertrauen erst aufgebaut werden und Windows vertraut diesen Zertifikaten nicht sofort.

EV Code Signierung funktioniert seit diesem Jahr nur noch per USB-Token oder eine PC - Crypto-Karte (HSM) zum Beispiel.

Dafür ist das Vertrauen (Trusted) sofort gegeben und wird entsprechend in Windows angezeigt.

Wenn man den Stick einsteckt, muss man einmal der PW eingeben. So wird es gesagt - wir haben es noch nicht hinbekommen, es wird jedes mal das PW abgefragt.
Natürlich 2x. Einmal für sha256 und einmal für sha1. Angeblich kann man mit EV Code Token-Sticks kein sha1 signieren - geht aber doch. (Also Fehler in der Dokumentation)

Die Lösung von einiges ist ein Tool, dass das Fenster der PW-Eingabe sucht und die Passwort-Zeichen mit einem kleinen Delphi-Tool (also die Tastendrücke) in den Tastaturspeicher per Timer schreibt.

Also alles zum

Grüsse

Mavarik

PS.: Gleiche Informationen von (GloabSign,TrustZone) - Globalsign bietet übrigens ein 7 Tage Rückgaberecht. (Automatisch über die Homepage) danach ggf. per mail an den Support.
Gründe wären zu. Beispiel : Ich muss meine Software auf einen Rechner im Rechenzentrum signieren (Jenkins oder so ). Oder es muss ich einem Docker-Container funktionieren.

Angeblich gibt es die Möglichkeit per Azure Key Vault und einem WebService zu signieren. Hier warte ich noch auf die genauen Infos, wer mit Azure zusammenarbeiten.

Ah. Das hatte ich jetzt übersehen.