Seit mehreren Monaten versuche ich meine Delphi-Programme zu lizensieren.

Es klappt einfach nicht. Habe über die Firma Comodo ein Code Signing Tool (kurz CSR) gekauft, importiert und aufs Desktop exportiert und versuche nun damit ein Programm von mir zu lizensieren. Es kommt die Fehlermeldung in der Komandozeile
SignTool Error: The specified PFX password is not correct.

Und die Support Firma Sectigo sagt, sie könne nichts machen, ich müsse für das Code Signing Tool eine Neuerlaubnis (reissue) holen. Das habe ich jetzt mehrfach (kostenlos) gemacht. Aber ich komme nicht weiter. Ich drehe mich praktisch im Kreise.

Habt ihr von ähnlichen Schwierigkeiten schon gehört?
Kennt ihr andere Lizensierungsfirmen?
Ist soetwas mal nicht über Embarcadero selbst möglich?

Ich möchte ja, meine Delphi-Programme beim Download als vertrauenswürdig eingestuft werden!!

Danke für Rückmeldungen

Ach ja, habe in der Kommandozeile eingegeben:
C:\Program Files (x86)\Windows Kits\10\App Certification Kit";%PATH%

(ohne Fehlermeldung) und dann genau nach Support-Anweisung (zur Lizensierung von "tryhrml.exe"

SignTool sign /f C:\Users\SoftwPC\Desktop\MyComodoCertificate.pfx /tr http://timestamp.sectigo.com /td sha256 /fd sha256 "C:\SoftwPC\Delphi7\Anwendg\Internet\tryhtml\tryht ml.exe"

Ich denke das heist eher "Signieren", nicht "Lizensieren".

Ich verwende dafür einen Aufruf wie

S:\....\signtool.exe sign /f X:\Zertifikat.pfx /p "passwort" /d "Mein tolles Programm" /du "https://www.tollewebsite.com" /t "http://timestamp.digicert.com" MeinProgramm.exe

/td sha256 /fd sha256 habe ich nie gebraucht. In deinem Aufruf fehlt das passwort.

Ja, tatsächlich mit Passwort funktioniert es.
Mir hatte der Sectigo-Support geschrieben, dass ich kein Passwort bräuchte und mich zum "reissue" gewiesen.

Und ich hatte ihm geglaubt.

Der Support hatte auch den Befehl mit timestamp gefordert. Beides geht aber.

Danke!!

Ich hoffe, es ergeben sich nun keine weiteren Probleme.

Die Zertifikate sind mit Passwörtern geschützt, welche du üblicherweise beim Ausstellungsprozess/Export fest legst.

Die Fehlermeldung

vom Signtool sagt aus, dass du entweder kein Passwort angibst beim Signieren oder du ein falsches angibst.

Mir kommt es komisch vor, dass jemand anderes dein Passwort festlegen kann.
Das würde heißen das jemand anderes den privaten Schlüssel hat.

Jetzt habe ich von meinem Programm mittels Installationssoftware ein Setup-Programm erstellt.

Nun wird aber unbekannter Herausgeber angeführt und gewarnt.

Muss ich / kann ich / darf ich das Setup-Programm auch zertifizieren?

Danke für eine Antwort

Ja!

Bei der Signatur geht es da drum, dass JEDER ausführbarer Code durch die Signatur gegen veränderungen geschützt wird.
D.h. alle DLLs, EXEs, MSIs usw. solltest du signieren.

Dabei ist egal ob die irgendwo eingepackt sind oder nicht.

Ein typisch Prozess ist es bei uns für ein Release die Quelltext zu kompilieren, dann werden diese Binaries signiert.
Anschließend wird ein Setup drum gebaut.
Dieses wird auch signiert.






Thematisch im Coding Bott Youtube-Channel:
Code-Signierung - Wie ihr eure Programme und Firma schützen könnt
https://www.youtube.com/watch?v=UhhaNX2zQwY

Und der Timestamp Server sorgt dafür, dass das Programm auch noch nach dem Ablauf des Zertifikates startet. Ist also eine sinnvolle Option. Denk ich.

Es kommt drauf an, wofür die Signatur gebraucht wird.
z.B. Windows XP versteht nicht das Selbe, wie Windows 7 und 10.
Aus diesem Grund hat/hatte so Mancher seine Dateien auch doppelt signiert, mit je einer Version, damit alle Windowse es verstehen können (welche das Zertifikat prüfen).

https://support.ksoftware.net/suppor...-certificates-
Ich denke mal, dass SHA256 inzwischen die Standardeinstellung ist, wenn du nichts angibst.
Nee, in der Hilfe steht immernoch
Also besser/unbedingt die SHA256 nicht vergessen.
Aber wer Warnungen nicht liest, ist auch selbst Schuld, wenn es dann eventuell nicht richtig läuft.