Jump to content


This is a ready-only archive of the InstallSite Forum. You cannot post any new content here. / Dies ist ein Archiv des InstallSite Forums. Hier können keine neuen Beiträge veröffentlicht werden.
Photo

Digitale Signatur für Installationspakete

Started by Tlorenzo , Feb 27 2013 11:00

6 replies to this topic

Tlorenzo

Tlorenzo
  • Full Members
  • 34 posts

Posted 27 February 2013 - 11:00

Hallo Community,

ich erstelle mit "Installshield 2012 Spring - Professional Edition" diverse Installer aus "Basic MSI" Projekten und muss diese nun digital signieren.

Leider bin ich mir hierbei unsicher welches Zertifikat ich für die digitale Signatur meiner Installationspakete benötige. Das Handbuch und die Forumssuche haben mir nur bedingt weitergeholfen. Ich habe keinen Leitfaden gefunden was ich für die Signatur alles benötige bzw. mit welchem konkreten Zertifikat es funktioniert.

Code-Signing Zertifikate sind von diversen Zertifizierungsstellen zu sehr stark schwankenden Preisen erhältlich. Einer der günstigsten Anbieter ist DigiCert. Kann ich dieses Zertifikat verwenden?

https://www.digicert...der/order-1.php

Ich hoffe ihr könnt mir hier etwas weiterhelfen. unsure.gif

Vielen Dank bereits im Voraus!

Gruß,
tlorenzo

Edited by Tlorenzo, 27 February 2013 - 11:04.

Stefan Krueger

Stefan Krueger

    InstallSite.org

  • Administrators
  • 13,269 posts

Posted 27 February 2013 - 15:37

Genau weiß ich es leider auch nicht, aber:
  • zum Testen kannst du dir glaube ich selbst ein Zertifikat erstellen (dem natürlich keiner außer dir vertraut, weil es nicht von einer vertrauenswürdigen Stelle ausgestellt wurde)
  • Gegen DigiCert spricht glaube ich nichts (außer dem hier: http://www.heise.de/....r-1808261.html). Aber es muss denke ich ein Code Signing Zertifikat sein, kein SSL-Zertifikat.

Stefan Krüger
InstallSite.org  twitter  facebook

HOWTO: Logging an MSI installation

Read this before sending me e-mail or private messages

Tlorenzo

Tlorenzo
  • Full Members
  • 34 posts

Posted 28 February 2013 - 08:24

Hallo Stefan,

kennst du einen oder mehrere Anbieter mit deren Produkt du gute Erfahrungen gesammelt hast?

Ist jemand für das digitale Signieren eine Art Schritt-für-Schritt Anleitung bekannt?

Gruß,
tlorenzo

ali

ali
  • Full Members
  • 1,008 posts

Posted 28 February 2013 - 09:45

Hallo,
für dein Vorhaben benötigst du ein Code Signing Certificate. Dieses Zertifkat kannst du einsetzen um deine MSI und Exe zu signieren, Weiter kannst du mit dem Zertifikat auch deine DLL, OCX signieren, sowie zb. Office Makros und auch PowerShell Scripte um diese in der Sicheren Umgebung auf einen Server laufen zu lassen, ohne die Sicherheitstufen vom Standard herabzusetzen. Du kannst vermutlich noch mehr damit tun (Java usw.), aber der beschriebene Umfang, ist der wo ich es selbst verwende.

Im eigentlichen Sinne kannst du das Zertifikat bei jedem Anbieter kaufen wo das erhältlich ist, Comodo, Thawte, DigiCert, VeriSign. Wichtig zu wissen ist, das man evtl. gute Englischkenntnisse besitzen sollte, da nicht alle Anbieter einen deutschsprachigen Support haben. Außerdem ist auch die Abwicklung einer Verlängerung des bestehenden Zertifkates wichtig, das funktioniert nicht immer sauber. Wir haben uns nach einigem hin und her für einen Anbieter entschieden, bei dem wir deutschsprachigen Support haben.

Edited by ali, 28 February 2013 - 09:47.

Stefan Krueger

Stefan Krueger

    InstallSite.org

  • Administrators
  • 13,269 posts

Posted 28 February 2013 - 15:52

QUOTE
Hallo Stefan,

kennst du einen oder mehrere Anbieter mit deren Produkt du gute Erfahrungen gesammelt hast?

Leider nein.

Stefan Krüger
InstallSite.org  twitter  facebook

HOWTO: Logging an MSI installation

Read this before sending me e-mail or private messages

Tlorenzo

Tlorenzo
  • Full Members
  • 34 posts

Posted 17 April 2013 - 08:09

Gibt es sonst keine Erfahrungswerte? Dachte die "Digitale Signatur" von Installationspaketen sei mittlerweile ein "Standard".

 

@ Ali:

Für welchen Anbieter mit deutschem Support habt ihr euch entschieden?


ali

ali
  • Full Members
  • 1,008 posts

Posted 17 April 2013 - 09:38

http://www.symantec....n_symc_cs_index

 

Es gibt nicht die unschöne "Hersteller unbekannt" Meldung beim Install, div. Hersteller von Sicherheitstools blocken nicht undbedingt eine exe oder DLL die während der Installation ausgeführt werden soll, beim Anwendungsstart werden die Anwendung in der Regel als sicher behandelt, die Gefahr, dass der Anwender durch einen fehlerhaften Klick bei Bestätigungsanfragen auf unsichere Anwenungen diese isoliert ist nahzu gebannt, es sei denn der Hersteller hat mal wieder einen Bug und isoliert die Signaturen der signierten Anwendung (hatten wir leider auch schon ist aber schon länger her). In der Regel sollte das jetzt laufen, ist ja schon mehr gang und gebe das man Anwendungen sicher verteilt. Wenn du vorhast deine Anwendungen per Webpackage zu verteilen, dann solltest du diese auf jeden Fall signieren, Man kann zum einen durch die Existenz der Signatur feststellen, ob das Paket beim Upload nicht verändert wurde oder auch während das Paket auf dem Server vereilt, der Kunde sieht nach dem Download an der bestehenden Signatur das alles ok ist. Bei korrupten Paketen ist die Signatur ungültig.

Denke daran das eine Signatur auch einen Timestamp erhalten muss, der Timestamp garantiert, das die Signatur auch dann noch gültig ist, wenn das Zertifikat selbst bereits abgelaufen ist. Für den Timestamp musst du mit dem Signaturtool "signtool.exe" in der Regel auf einen externen Server, Signtool unterstützt aber keinen Proxy, d.h. wenn du einen hast must du daran vorbei.

 

Hoffe das hilft dir weiter.

Ali


Edited by ali, 17 April 2013 - 09:41.

Back to InstallShield "Basic MSI" Projekte
  1. InstallSite Forum
  2. GERMAN : Windows Installer (MSI)
  3. InstallShield MSI Themen
  4. InstallShield "Basic MSI" Projekte
  5. Datenschutzerklärung/Privacy Policy
  6. Impressum/Imprint ·