Das Verschicken der Hardware hat bei mir 2 Tage gedauert.
Es kam per DHL Express

Ja das Verschicken der Hardware hat auch nur 2 Tage gedauert und hat 18,- EUR gekostet. Hat mir aber auch nichts genützt, da das Erstellen der Rechnung 15 Tage! gedauert hat. Sie haben es daher erst 15 Tage nach Bestellung verschickt. Plus 2 Tage Versand. Also 17 Tage gewartet. Aber egal, ist ja nun hier.

Nun habe ich ein anderes Problem: Das Signieren klappt nicht:

Ergibt die Meldung:

E:\test.exe bekommt keine Signatur ohne weiter Meldungen. Stick ist aktiv, blinkt, proCertum CardManger läuft. Was mache ich falsch?

Bei mir habe ich noch mit /v /f "e:\softtouch.cer" mit drin, klappt einwandfrei.
Hast Du denn das .cer file exportiert (Control Panel->Internet Options->Content->Certificates)?

Das hatte ich erst nicht drin, klappt damit aber auch nicht. Dann habe ich mal geschaut, von wann meine signtool.exe ist und die gegen die aktuelle Version aus dem aktuellen SDK getauscht und nun klappt es!

Kannst du SHA1 und SHA256 signieren?

Die SHA1 Signatur klappt bei mir ohne Probleme.
Bei SHA256 kommt immer ein SignTool Error.
Egal ob als Dual Signature oder Standalone.

Ich hab es mit unterschiedlichen Aufrufparametern versucht.

Hier der Aufruf für Dual Signature (Sha1 schon gemacht)

und hier mal als Test auf einer nicht signierten Exe (also ohne Dual Signature)



signtoolbin ist der pfad zur signtool exe hier: C:\Program Files (x86)\Windows Kits\10\bin\10.0.22621.0\x64\signtool.exe
cert_fprint ist der SHA1 fingerprint meines Zertifikats

ich habe es anstelle des Fingerprints auch schon mit dem Namen des Zertifikatinhabers versucht.
Klappt auch bei SHA1, klappt auch nicht bei SHA256...

Die Parameter hab ich aus dem PDF von Certum übernommen:

https://files.certum.eu/documents/ma...d_signtool.pdf

Habe gerade auch eine Mail über das ablaufende (OV) Zertifikat von KSign erhalten.

Statt 200 Euro für 3 Jahre (in 2021) soll es nun 660 Euro kosten.
Was für eine saftige und unverschämte Preiserhöhung, für die es keinen erkennbaren Grund gibt.

Wenn ich keinen vernünftigen Ersatz finden sollte, dann überlege ich mit selbst signierten Zertifikaten zu arbeiten oder halt ganz ohne, da ich sowieso ganz überwiegend Update-Käufe von Bestandskunden habe (und die OV-Zertifikate eh auch schon mal zu Meldungen führten ("Dieses Programm wurde nicht oft heruntergeladen"). Kann man ja auch auf der Homepage entsprechend erläutern.

Jedenfalls diese Preise zahle ich nicht.

Die Zertifikate erfüllen ihren Zweck: Hobby-Programmierer haben schon aufgegeben, Einzelentwickler werden bald aufgeben, zur Not werden die Preise halt weiter angehoben. Ihre Software wird nicht (mehr) signiert.

Bleiben die großen Softwarehäuser, die sich das leisten können und die jetzt einen weiteren Vorteil haben: Ihre Software wird von Windows als "besser" erkannt als die der "kleinen". Es wird nicht mehr lange dauern, bis Windows unsignierte Software gar nicht mehr ausführt.

Nächster Schritt: Installation nur noch via Microsoft Store.

(Ich wünschte, ich würde jetzt nur eine Verschwörungstheorie zum Besten geben, aber leider glaube ich wirklich, dass dies zumindest ein willkommener Nebeneffekt der Zertifikatsprüfungen in Windows ist.)