<\/p>\n
Die Windows-internen Sicherheitsfunktionen und die verschiedenen Virenscanner von Drittanbietern werden immer aufmerksamer, wenn es um das Herunterladen oder Installieren von Dateien geht – insbesondere .exe-Dateien sind grundsätzlich suspekt. Das ist uns in letzter Zeit häufig beim Bereitstellen von Setups von Tools aufgefallen. Wir wollen dies umgehen und sicherstellen, dass der Benutzer die von uns bereitgestellten Tools ohne Probleme installieren kann und sich nicht verunsichern lässt. Da wir bereits im Artikel “Installation mit Inno Setup: Die Basics” erläutert haben, wie wir Setups mit Inno Setup erstellen, schauen wir uns auch gleich an, wir dieses Tool zum Signieren unserer Setups nutzen können. Außerdem brauchen wir noch ein <\/b><\/p>\nSignieren<\/h2>\n
Signieren bedeutet, dass wir nachweisen, dass unsere Software aus einer vertrauenswürdigen Quelle stammt und vor allem auf dem Weg von der Herstellung zum Rechner des Kunden nicht manipuliert wurde. Wir können Dateien mit Tools wie dem von Microsoft bereitgestellten signtool.exe <\/b>signieren, aber es gibt auch noch eine Reihe anderer Möglichkeiten. Wir wollen uns jedoch zuerst einmal auf signtool.exe <\/b>konzentrieren, da dies eine kostenlose Möglichkeit bietet.<\/p>\n
Hier gibt es wiederum verschiedene Möglichkeiten. Wir können eine bereits vorhandene .exe<\/b>-Datei zuerst erstellen und diese dann per Aufruf von signtool.exe <\/b>über die Kommandozeile signieren. Wenn wir eine Setup-Datei signieren können, geht dieser Weg auch – aber noch praktischer ist es, die Signierung direkt in das Tool zum Erstellen des Setups zu integrieren. Das gelingt mit Inno Setup recht einfach. In diesem Artikel schauen wir uns beide Möglichkeiten an. Zunächst wollen wir jedoch das benötigte signtool.exe <\/b>installieren.<\/p>\nZertifikat<\/h2>\n
Neben signtool.exe <\/b>benötigen wir noch ein Zertifikat. Zertifikatsanbieter gibt es viele, die meisten bieten Zertifikate für Webseiten an. Wir suchen nach einem Zertifikat, das explizit für das Code Signing geeignet ist. Solche gibt es zu Preisen ab 200 EUR pro Jahr. Wer seine Softwareprodukte Kunden über das Internet zur Verfügung stellen möchte, tut vermutlich gut daran, diese Investition zu tätigen. Anderenfalls werden die Kunden immer wieder durch Warnmeldungen verunsichert, die beim Download oder bei der Installation der Dateien angezeigt werden. <\/p>\n
Das ist vermutlich der aufwendigste Schritt. Welches Zertifikat ist das Richtige? Worauf soll ich achten? Welchen Preis zahle ich für das Zertifikat? Wie erhalte ich es? Wie viele Anwendungen kann ich damit zertifizieren? Diese und andere Fragen werden wir in diesem Artikel beantworten.<\/p>\n
Wie können ein Zertifikat kaufen oder eines selbst erstellen. Wenn wir eines kaufen, haben wir die Wahl zwischen verschiedenen Anbietern und zwischen zwei verschiedenen Arten von Zertifikat. Als Erstes sollte man sich nicht in die Irre führen lassen und ein kostenloses oder sehr günstig erscheinendes Zertifikat von Anbietern wir Let”s Encrypt et cetera kaufen. Diese sind in der Regel nicht für das Signieren von Code gedacht, sondern für die Verschlüsslung von Webseiten. Das sind jedoch zwei völlig unterschiedliche Dinge. Was wir suchen, nennt sich Code Signing Certificate und wird nach unseren Recherchen nur in den USA angeboten. Dort finden wir Anbieter wie Certera, Comodo, Sectigo oder digicert. Forschen wir etwas weiter, sehen wir, dass es verschiedene Code Signing Certificates gibt, deren Preise sich unterscheiden. In Bild 1 finden wir beispielsweise zwei verschiedene Produkte namens Certera Code Signing <\/b>und Certera EV Code Signing<\/b>. Ersteres ist ein Standard Validation Code Signing Certificate<\/b>, während Letzteres ein Extended Validation Code Signing Certificate <\/b>ist. Der Name ist Programm – die EV-Version hat zusätzliche Funktionen.<\/p>\n
![\"Verschiedene](\"..\/fileadmin\/_temp_\/2023_04\/pic_365_004.png\")
<\/p>\n
Bild 1: Verschiedene Zertifikate von unterschiedlichen Anbietern<\/span><\/b><\/p>\n Bei den Standard Validation Certificates gibt es wiederum OV-Zertifikate (für Organizational) und individuelle Zertifikate. Hier ist der Unterschied, dass wir beim OV-Zertifikat ein Unternehmen angeben und validieren lassen müssen, während dies für ein individuelles Zertifikat nicht nötig ist – hier muss nur die Person, auf die das Zertifikat ausgestellt wird, validiert werden. Das gelingt in der Regel über den Personalausweis oder ein ähnliches Dokument.<\/p>\n Die wichtigsten Unterschiede schauen wir uns in den folgenden Abschnitten an.<\/p>\n Im praktischen Einsatz gibt es keine nennenswerten Unterschiede zwischen Standard Validation Code Signing <\/b>und Extended Validation Code Signing<\/b>. Dabei beziehen wir uns darauf, wie Sicherheitsmechanismen von Windows auf die unterschiedlich signierten Dateien reagieren. Nach unseren Erfahrungen gibt es hier keine Unterschiede, da die Sicherheitsmechanismen solche Dateien in beiden Fällen nicht blockieren. <\/p>\n Tatsächlich müsste der Benutzer also schon die Signatur einsehen, um zwischen der Standardversion und der erweiterten Version unterschieden zu können.<\/p>\n Die größte Hürde beim Erlangen eines Code Signing Certificates ist die Validierung. Diese ist, wie bereits erwähnt, bei der erweiterten Version wesentlich aufwendiger – genauso aufwendig wie bei der Organizational-Variante der Standardversion. Hier muss ein Unternehmen angegeben und validiert werden, was zum Beipiel bei einer GbR oder einer ähnlichen Rechtsform, die nicht behördlich abgefragt werden kann, schwierig ist. Wenn wir hingegen ein Standardzertifikat mit Individual Validation wählen, reicht die Validierung über ein Dokument wie den Personalausweis aus.<\/p>\n Für alle genannten Arten von Zertifikaten erfolgt die Aushändigung über ein USB Token. Wer schnell mal ein Zertifikat benötigt, wird spätestens hier ausgebremst: Da alle uns bekannten Anbieter sich in den USA befinden, dauert allein die Zusendung einige Tage bis Wochen. <\/p>\n Die kostenlose, aber auch viel weniger wirkungsvolle Art der der Zertifizierung heißt Self Signing. Hier erstellt man selbst ein Zertifikat, das im Zertifikatsspeicher des eigenen Rechners gespeichert wird. Dieses ist dann beispielsweise von Inno Setup aus erreichbar. <\/p>\n Bevor wir uns den Einsatz eines echten Zertifikats mit USB-Token ansehen, werden wir zu Testzwecken ein Self Signing Certifikate erstellen. Dazu können wir die Power Shell verwenden, die wir als Administrator öffnen. Dazu geben wir die Zeichenkette PowerShell <\/b>in das Suchfenster von Windows ein und klicken mit der rechten Maustaste auf den nun erscheinenden Eintrag Windows PowerShell<\/b>. Aus dem Kontextmenü wählen wir dann den Eintrag Als Administrator ausführen <\/b>aus (siehe Bild 2).<\/p>\n Möchten Sie weiterlesen? Dann lösen Sie Ihr Ticket!<\/span>Validierung des Identitätsnachweises<\/h2>\n
\n
Sichtbarkeit des Zertifikats<\/h2>\n
\n
Vertrauenswürdigkeit und Anzeige:<\/h2>\n
\n
Kosten und Aufwand<\/h2>\n
\n
Technische Unterschiede beim praktischen Einsatz<\/h2>\n
Voraussetzungen für die Validierung<\/h2>\n
Aushändigung des Zertifikats<\/h2>\n
Self Signing<\/h2>\n
Ein eigenes Zertifikat erstellen<\/h2>\n
![\"Starten](\"..\/fileadmin\/_temp_\/2023_04\/pic_365_005.png\")
<\/p>\n
\nHier geht es zur Bestellung des Jahresabonnements des Magazins Visual Basic Entwickler<\/strong>:<\/span>
\nZur Bestellung ...<\/a><\/span>
\nDanach greifen Sie sofort auf alle rund 200 Artikel<\/strong> unseres Angebots zu - auch auf diesen hier!<\/span>
\nOder haben Sie bereits Zugangsdaten? Dann loggen Sie sich gleich hier ein:<\/span><\/p>\n<\/div>\n\n\t\n\t