Es gibt bestimmt welche mit Daumen, aber ich glaub die Meisten sind ohne.
Und die interne Variante, z.B. als PCIe-Karte, da geht das mit dem Daumen eh nicht.

Für Daheim/Büro ginge es z.B. auch so (theoretisch), dass man den Stick an die Synology, QNAP oder USB-LAN-Adapter steckt, via VirtualHere den USB-Port/Device zum PC durch's LAN/WLAN reicht und es lokal über einen virtuellen USB-Treiber nutzen kann.
Wenn man danach trennt, kann anschließend der nächste Kollege.

Drum wollte ich aber auch das Zertifikat noch schnell ohne Stick, um überhaupt erstmal mit Signieren anfangen zu können, und dann dieser Scheiß noch bissl Zeit gehabt hätte.
Aber bevor das jetzt kommt, werde ich wohl vorher noch dazu kommen mit einem KurzzeitMiet-Cloud-MAC privat mal für iOS/MacOS kompilieren zu können.

Bei mir signiert Innosetup, das hat den Vorteil, dass auch der Installer und der Uninstaller gleich signiert ist.
Aktuell habe ich ein OV Zertifikat, das 'nur' eine Pin (nennt sich hier Token) braucht, den ich über eine App auf dem Smartphone erzeuge.
Es läuft glücklicherweise auch noch fast zwei Jahre ....

So, ich habe jetzt mal meine angedachte Lösung testweise implementiert, wobei ich mich freuen würde, wenn jemand sich das mal ansehen könnte. Könnte ja evtl. auch eine Blaupause für eine eigene Lösung sein. Oder Ihr macht mir klar, dass ich auf dem Holzweg bin )

Ich habe jetzt mal ein Programm nicht als Setup.exe auf meine HP gelegt, sondern als Setup_HTMLEditor.zip.
Das ist kein offizieller Link, poste ich nur hier:

https://www.hastasoft.de/Setup_HTMLEditor.zip

Diese Datei runter laden, alles in einen Ordner entpacken und die "Setup.exe" starten. Die Setup.exe ist sozusagen meine "Ewigkeits-Setup.exe", weil ich die nie mehr ändern muss. Die habe ich jetzt noch mit dem KSoftware-Zertifikat signiert und mit dieser Datei hat ja Windows keine Probleme (auch wenn das Zertifikat zeitlich abgelaufen ist), sollte also ohne Probleme mit "blauem Schild" und verifiziertem Herausgeber starten.

Die Setup.exe holt sich aus der Setup_Resources.dll die benötigten Setupdateien. Die DLL ist mit meinem selbst ausgestelltem Zertifikat signiert, damit mir keiner da was anderes unterschieben kann (wird auch überprüft). Während des Setups bekommt der User das Angebot das Hastasoft Stammzertifikat auf seinem PC zu installieren (man muss die Checkbox aktivieren).

Wenn man den Hilfe-Schalter drückt, bekommt man auch den Hinweis auf die

https://www.hastasoft.de/Zertifikate.htm

(auch noch kein offizieller Link), wo man sich die Informationen zum Stamm- und zum Codesigning Zertifikat ansehen kann.

Das kann man dann vergleichen mit dem Fingerprint, den Windows bei seiner Warnung ausgibt, dass ein Stammzertifikat eines unbekannten Herstellers auf dem PC installiert werden soll.

Eigentlich alles ganz transparent und sicher.

Oder was meint Ihr?

Die Installation funktioniert auch ohne Installation des Stamm-Zertifkats, man kann auch alle Programme ausführen. Aber das eigene, selbst erstellte Zertifikat in "HTMLEd.exe" kann man eben nur verifizieren, wenn man das Hastasoft Stamm-Zertifkat auf dem PC installiert hat.

Kommt eigentlich die Smartscreen Warnung auch, wenn ein signiertes Programm ein unsigniertes startet? Sonst könntest du doch noch einen Launcher signieren, der das eigentliche Programm startet...

signierte Explorer.exe -> unsigniertes Programm starten -> Peng

Von welcher Konstellation sprichst Du und was meinst Du mit "Peng"?

Nein kommt nicht. Aber für spezielle Fälle hatte ich mir so etwas ähnliches auch schon überlegt.

Bei mir kommt dann erstmal der Virenscanner, der einen "vom Administrator geforderten" (oder so ähnlich) Scan durchführt. Dann kommt die Sicherheitsabfrage, die Dein Zertifikat anzeigt und dann der Installer und läuft problemlos durch. Der Editor lässt sich dann auch ohne irgendwelche Meldungen starten.

Ach ja: Windows 10 mit dem Defender als Snakeoil.

Einfachste Lösung: Magic Bytes rauslöschen und in einen msi-Installer packen. Keine Signatur nötig. Und keine meckernden Schlangen oder Öle. Quelle: https://www.heise.de/news/Malware-UU...r-9851699.html

Moin Moin,
ich habe das nicht so tief verfolgt (den Thread hier) - nur so weit, das eine Executable signiert werden soll ?
Man kann ja erstmal ALLES lokal testen, bevor man bei "Code Sign" oder einer anderen CA seines Vertrauens ein Zertifikat für teuer bestellt - weil das geht fast problemlos auch ohne (also Eigene CA und Self Sign Cert).

Dazu muss/ist die im Microsoft SDK vorhandene signtool.exe erforderlich.
Und das Zertifikat muss dann dem Provider (der Lokale Rechner) bekannt gemacht werden.

Dazu verwende ich als Template folgendes PowerShell Script:

muss natürlich angepasst werden.
HTH - Hope This Helps