Hallo zusammen!
Wir möchten unseren Setup aktuell IS11; haben uns aber auch schon IS12 zugelegt VISTA tauglich machen.
In erster Linie geht es darum, was passiert, wenn man die setup.exe startet.
Zum einen wäre es schön, wenn nicht die Vista Meldung käme. Kann ich diese nur umgehen, wenn ich die Setup.exe und das msi paket signiere?
Hat jemand schon Erfahrungen mit diesen Zertifikaten. Kosten, Dauer der Beschaffung?
Zum zweiten stört es das die Meldung "unbekannter Herausgeber" kommt. Kann ich diese auch nur über das Zertifikat umgehen oder gibt es hier nioch eine weitere Möglichkeit die ich noch nciht gefunden habe...
Vielen Dank,
Michael
This is a ready-only archive of the InstallSite Forum. You cannot post any new content here. / Dies ist ein Archiv des InstallSite Forums. Hier können keine neuen Beiträge veröffentlicht werden.
VISTA
Started by
michael.maier
, Mar 09 2007 16:55
3 replies to this topic
ali
-
- Full Members
- 1,008 posts
Posted 12 March 2007 - 08:55
"Zum einen wäre es schön, wenn nicht die Vista Meldung käme"
Diese Meldung wird durch den UAC von Vista verursacht, die Meldung kommt wenn zum Ausführen Admin Rechte erforderlich sind, die Meldung kannst du nur umgehen wenn der UAC deaktivierst. Ich glaube die Meldung kommt auch dann nicht, wenn das Setup mit ALLUSERS=0 und mit "AsInvoker"ausgeführt wird.
Bei Apple ist der UAC übrigens schon lange Standard.
"Zum zweiten stört es das die Meldung "unbekannter Herausgeber"
Ja da musst du signieren, am besten ist wenn du einen Hersteller nimmst der schon ein Vorinstalliertes CA Zertifikat durch den IE hat. Wir haben hier Thawte gewählt, es gibt da noch VeriSign, die sind aber ne Ecke teurer.
Diese Meldung wird durch den UAC von Vista verursacht, die Meldung kommt wenn zum Ausführen Admin Rechte erforderlich sind, die Meldung kannst du nur umgehen wenn der UAC deaktivierst. Ich glaube die Meldung kommt auch dann nicht, wenn das Setup mit ALLUSERS=0 und mit "AsInvoker"ausgeführt wird.
Bei Apple ist der UAC übrigens schon lange Standard.
"Zum zweiten stört es das die Meldung "unbekannter Herausgeber"
Ja da musst du signieren, am besten ist wenn du einen Hersteller nimmst der schon ein Vorinstalliertes CA Zertifikat durch den IE hat. Wir haben hier Thawte gewählt, es gibt da noch VeriSign, die sind aber ne Ecke teurer.
Edited by ali, 12 March 2007 - 08:58.
michael.maier
-
- Full Members
- 15 posts
Posted 13 March 2007 - 13:42
Hallo!
danke schon mal für die Info... ...bin auch schon etwas weiter mit dem Thema.
Jetzt noch die Frage, wenn ich mir ein Zertifikat "besorge" kann ich das dann nur für den Setup verwenden, oder kann ich damit, dann auch zum Beispiel die Autorun.exe unser CD signieren, wo, dann viele verschiedene unserer MSI Setups draf sind oder muss ich für jede exe ein eigenes Zertifikat verwenden?
Danke für Deine Hilfe,
Michael
PS Kannst Du Dich noch etwas genauer zu dem Thema ALLUSERS=0 und mit "AsInvoker" auslassen? Ist mir noch nicht so ganz klar...
danke schon mal für die Info... ...bin auch schon etwas weiter mit dem Thema.
Jetzt noch die Frage, wenn ich mir ein Zertifikat "besorge" kann ich das dann nur für den Setup verwenden, oder kann ich damit, dann auch zum Beispiel die Autorun.exe unser CD signieren, wo, dann viele verschiedene unserer MSI Setups draf sind oder muss ich für jede exe ein eigenes Zertifikat verwenden?
Danke für Deine Hilfe,
Michael
PS Kannst Du Dich noch etwas genauer zu dem Thema ALLUSERS=0 und mit "AsInvoker" auslassen? Ist mir noch nicht so ganz klar...
ali
-
- Full Members
- 1,008 posts
Posted 15 March 2007 - 16:24
Hallo,
das Zertifikat kaufst du über einem bestimmten Zeitraum, bei einem Code Zertifikat bei Thawte hat man die Wahl zwischen 1 und 2 Jahren. Wenn diese Zeit abgelaufen ist, ist das Zertifikat ungültig und man bekommt auf Antrag ein Erneuerung des Zertifikates über einen bestimmten Zeitraum. Da der bereits signierte Code aber den Gültigkeitszeitraum des alten Zertifikates mitbekommt, muss man sicherstellen, dass der Code der während der Zertifikatsgültigkeitsdauer signiert wurde auch nach Ablauf des Zertifikates noch gültig ist. Man hat hier die Möglichkeit die Signatur des Codes mit einem so genannten Zeitstempel (Timestamp) zu versehen, dieser hält den Zeitpunkt der Signierung des Codes fest und teilt somit dem Zielsystem mit, das der Code während des Gültigkeitszeitraumes des Zertifikates signiert wurde.
Es gibt unterschiedliche Arten von Code Zertifikaten, da schaust du am besten mal bei www.Thawte.de vorbei, für die Signatur eines Setups, also Setup.exe, .msi, .cab und evtl des Programmcodes also .exe, .dll, .ocx brauchst du ein "Microsoft Authenticode (Mehrzweck) Zertifikat". Dies kannst du dann über den gekauften Zeitraum für deine Code Signaturen verwenden. Nach Ablauf des Zertifikates kannst du dies dann für einen günstigeren Preis erneuern.
Über das Property ALLUSERES gibst du dem Setup mit ob eine Installation nur für einen Beutzer (=0) oder für alle Benutzer (=1) durchgeführt wird. Über die Einstellung (=2) wird ermittelt, welche Privilegien der installierende Benutzer hat und dementsprechend wird für einen oder für alle Benutzer installiert.
"AsInvoker" ist eine Einstellung die die aufrufende Setup.exe über eine Manifest Datei mitbekommt. Über diese Einstellung wird entschieden wie das Programm aufgerufen wird also AsInvoker=geringe Rechte oder "Administrator"= volle Rechte. Dementsprechend verhält sich das Setup bei der Ausführung. Microsoft und auch Macrovision empfehlen das man Installationen als "AsInvoker" ausführt, weil beim Admin Modus evtl. Funktionen falsch laufen, z.B. funktioniert ein XCopyFile über Installscript bei Vista mit eingeschaltetem UAC nur beim Recht "AsInvoker" aber nicht mit "Administrator".
Ali
das Zertifikat kaufst du über einem bestimmten Zeitraum, bei einem Code Zertifikat bei Thawte hat man die Wahl zwischen 1 und 2 Jahren. Wenn diese Zeit abgelaufen ist, ist das Zertifikat ungültig und man bekommt auf Antrag ein Erneuerung des Zertifikates über einen bestimmten Zeitraum. Da der bereits signierte Code aber den Gültigkeitszeitraum des alten Zertifikates mitbekommt, muss man sicherstellen, dass der Code der während der Zertifikatsgültigkeitsdauer signiert wurde auch nach Ablauf des Zertifikates noch gültig ist. Man hat hier die Möglichkeit die Signatur des Codes mit einem so genannten Zeitstempel (Timestamp) zu versehen, dieser hält den Zeitpunkt der Signierung des Codes fest und teilt somit dem Zielsystem mit, das der Code während des Gültigkeitszeitraumes des Zertifikates signiert wurde.
Es gibt unterschiedliche Arten von Code Zertifikaten, da schaust du am besten mal bei www.Thawte.de vorbei, für die Signatur eines Setups, also Setup.exe, .msi, .cab und evtl des Programmcodes also .exe, .dll, .ocx brauchst du ein "Microsoft Authenticode (Mehrzweck) Zertifikat". Dies kannst du dann über den gekauften Zeitraum für deine Code Signaturen verwenden. Nach Ablauf des Zertifikates kannst du dies dann für einen günstigeren Preis erneuern.
Über das Property ALLUSERES gibst du dem Setup mit ob eine Installation nur für einen Beutzer (=0) oder für alle Benutzer (=1) durchgeführt wird. Über die Einstellung (=2) wird ermittelt, welche Privilegien der installierende Benutzer hat und dementsprechend wird für einen oder für alle Benutzer installiert.
"AsInvoker" ist eine Einstellung die die aufrufende Setup.exe über eine Manifest Datei mitbekommt. Über diese Einstellung wird entschieden wie das Programm aufgerufen wird also AsInvoker=geringe Rechte oder "Administrator"= volle Rechte. Dementsprechend verhält sich das Setup bei der Ausführung. Microsoft und auch Macrovision empfehlen das man Installationen als "AsInvoker" ausführt, weil beim Admin Modus evtl. Funktionen falsch laufen, z.B. funktioniert ein XCopyFile über Installscript bei Vista mit eingeschaltetem UAC nur beim Recht "AsInvoker" aber nicht mit "Administrator".
Ali
Edited by ali, 15 March 2007 - 16:34.