Hallo,
wir hatten bisher von GlobalSign ein Zertifikat (pfx).
Das habe ich in den Zertifikatspeicher importiert und dabei als exportierbar gekennzeichnet.
Dann exportiert mit Passwort und mir eine eigene Bat-Datei gebaut, die das MS signtool aufruft.
In der Bat-Datei konnte sogar das Passwort angegeben werden, Stichwort Continous Delivery,
also die Abends erstellten Exe'n konnten so signiert werden.
(Es war keine Bat, sondern eine Exe-Datei selbst, aber spielt hier keine Rolle)

Aber:
Jetzt will GlobalSign, dass ich einen Security-Token auf einem USB-Stick benutze,
ein separates Programm zum Signieren installiere und bei jedem Signieren das Passwort eingebe!!!

Angeblich soll das seit 01.01.2017 Pflicht sein, kann ich aber so nicht glauben.


Meine Frage:
Womit signiert ihr denn eure Exe'n?

Genau so.
Wir nutzen digicert-zertifikat auch mit signtool in Batch im Jenkins laufend.

Also wenn GlobalSign unbrauchbare Anpassungen nötig macht, einfach auf anderen Anbieter wechseln.

wir haben dafür ein Tool gebaut, das das Passwort automatisch einträgt. Finde ich aber schrecklich, da muss dann ständig ein user angemeldet sein,....

unser Zertifikat läuft schon ne zeitlang, gut, wenn es Anbiter gibt, die das anders machen, muss ich mir merken, damit wir hier aktiv werden..

Hallo,
danke.

Ich nutze seit vielen Jahren kSoftware (früher comodo, heute Sectigo Reseller), habe gerade wieder ein Zertifikat gekauft und signiere wie bisher via Batchdatei oder via die aktuelle "Installaware Developer" Version.

Von der von dir erwähnten neuen Vorschrift habe ich nix gelesen/gehört. Wenn du einen Link hast, dann lese ich das "gern" mal durch.

Hallo,
https://www.globalsign.com/en/blog/c...or-developers/

Private Keys Need to be Stored on Cryptographic Hardware
Da ist genau der Haken.
Bisher war mein private key eine Datei.

Aber schicke mal meinem Admin diesen Thread.
Dummerweise haben wir bereits gezahlt für den Murks ;(

Wir signieren mit dem GlobalSign Security-Token. Passworteingabe ist nötig. Funktioniert aber ohne Probleme.

Hallo,
danke für die Info.
Dadurch ist aber kein Batch-Betrieb möglich, also kein Continious Delivery.

Besten Dank für den Link.

Es macht natürlich durchaus Sinn Schlüssel und Passwort nicht auf einer Kiste zu speichern, welche auch im Netz hängt.

Ich werde Key und Passwort von nun an zusätzlich verschlüsselt abspeichern - einfach nicht über meine Augen; dass dies auch schief gehen kann wissen wir alle spätestens seit James Bond.

Es betraf nicht alle Zertifikate, aber ist an sich nichts Neues. Dass es nun mehr Anbieter auch wirklich so handhaben, ist an sich gut, wenn auch mit einigem Aufwand verbunden.