Dateisignatur wird unter Windows XP nicht als gültig anerkant
 

Liebe DPler,

ich habe ein Problem, dessen Lösung mir unbekannt ist. Vor einiger Zeit haben wir ein CodeSigning-Zertifikat von VeriSign angeschafft, damit signieren wir u.A. Installationsdateien (MSI).

Das klappt auch alles wunderbar und wird auf Windows 7 alles akzeptiert, nur Windows XP erkennt die digitale Signatur nicht an. Die Meldung die ich angezeigt bekomme, sobald ich im Dateieigenschaften-Dialog auf "Digitale Signatur" und anschließend auf "Details" klicke lautet:

Viel schlimmer ist jedoch, dass sich das MSI-Setup nicht installieren lässt, da der Windows Installer eine valide Signatur erwartet.

Ich wandte mich also an den VeriSign-Support und mir wurde mitgeteilt, dass anscheinend die Root-Zertifikate auf dem XP-Rechner nicht vorhanden sind. Dies konnte ich bestätigen, löst mein Problem aber nicht.

Ich habe die beiden Rootzertifikate mal auf dem (frischinstallierten) XP installiert, dann wurde auch die Signatur erkannt (http://www.verisign.com/support/veri...ate/index.html).

Allerdings kann ich ja nicht von jedem Kunden verlangen, diese Zertifikate zu installieren, bevor er unsere Anwendung installiert.

Kennt ihr eine Möglichkeit die Stammzertifikate mit mein Zertifikat aufzunehmen? Das Zertifikat liegt mir im PFX-Dateiformat vor.

Beste Grüße
Stefan

AW: Dateisignatur wird unter Windows XP nicht als gültig anerkant
 

Kann es sein das auf diesem PC keine Windows-Updates laufen?
Über diesen wird ab und zu die Liste der Root-Zertifikate aktualisiert.

AW: Dateisignatur wird unter Windows XP nicht als gültig anerkant
 

Wenn du das Root-Zert in deines integrieren könntest, wäre das Prinzip irgendwie sinnlos ;)

AW: Dateisignatur wird unter Windows XP nicht als gültig anerkant
 

Hallo,

also ich habe es auf einem frischinstallierten als auch auf einem in Benutzung befindlichen Windows XP ausprobiert. Bei beiden wird die Signatur nicht anerkannt. Bei letzteren ist auch Windows Update aktiv.

Ich habe mittlerweile noch eine weitere Sache ausprobiert:
Durch den Aufruf von signtool mit dem Parameter "signwizard" ist es mir - so glaube ich - gelungen die Stammzertifikate mit in die Signatur einzubeziehen.

Dies hat zur Folge gehabt, dass die Fehlermeldung sich geändert hat:

:-(

Beste Grüße
Stefan

AW: Dateisignatur wird unter Windows XP nicht als gültig anerkant
 

Das Integrieren nützt dir ja auch nichts. Der Anwender mißtraut deiner Signatur inkl. allem was da noch drin ist per default. Nur wenn er bereits der Partei vertraut, die für dich bürgt (also Verisign), dann wird die Signatur als gültig erachtet.

AW: Dateisignatur wird unter Windows XP nicht als gültig anerkant
 

Was müsste ich daraus für eine Konsequenz ziehen?

Ein Setup für Windows 7 das digital signiert ist und eins für XP ohne digitale Signatur? Hab ich so noch nicht gesehen.

Vor dem Aufruf der MSI wirklich immer die VeriSign-Zertifikate importieren? Das hab ich manuell ja mal gemacht, das klappt dann. Wäre aber überrascht, wenn es da keine andere Möglichkeit gibt...

AW: Dateisignatur wird unter Windows XP nicht als gültig anerkant
 

Also wir haben auch unser Zertifikat von Verisign und keine Probleme.
Ok, verwenden auch keinen MSI sondern InnoSetup aber beim starten der Exe kommt der schönere UAC-Dialog mit Hinweis auf unsere Firma.

Ergänzt du eigentlich auch einen Timestamp (signtool.exe timestamp ...)?
Und ist dein Zertifikat auch noch nicht abgelaufen?

AW: Dateisignatur wird unter Windows XP nicht als gültig anerkant
 

Auch mit Timestamp tritt das Problem auf. Das Zertifikat ist noch bis in den Februar hinein gültig.

AW: Dateisignatur wird unter Windows XP nicht als gültig anerkant
 

Welches Genaue Zertifikat hast du (also jetzt nicht die Datei).
Als Exe-Info haben wir beim Zertifikat:

Ausgestellt von "VeriSign Class 3 Code Signing 2009-2 CA"

Von welchem Root wurde dein Zertifikat ausgestellt?

AW: Dateisignatur wird unter Windows XP nicht als gültig anerkant
 

Also bei mir steht:

Ausgestellt von: "VeriSign Class 3 Code Signing 2010 CA". Eventuell wird das 2009er CA ab SP3 mitgeliefert, das 2010er aber nicht?