Code Signing Zentrum - Unterstützung bei der Signierung von Anwendungen
Kundensupportzentrum für Code Signing Zertifikate (Zertifikate zur Signierung von Code und Anwendungen). Hier finden Sie alle relevanten Informationen zur Codesignierung und Verwendung von Code Signing Zertifikaten.
Code Signing Zertifikate
Zertifikate zur Codesignierung (Code signing) dienen der Signierung von Anwendungen, die auf verschiedenen Entwicklungsplattformen erstellt wurden. Ziel der Codesignierung ist nicht nur die Authentifizierung des Herausgebers, sondern vor allem der Schutz der Authentizität und Unveränderlichkeit der Anwendung. Sollte jemand die Anwendung verändern (zum Beispiel Malware hinzufügen), wird die Signatur ungültig. Aus diesem Grund verlangen die meisten aktuellen Systeme entweder die Signatur einer Anwendung (MacOS) oder warnen eindringlich vor dem Starten einer nicht signierten Anwendung (Windows).
Code Signing EV Zertifikat
Auch bei Zertifikaten für die Codesignierung bieten wir ein Zertifikat mit erweiterter Validierung (Extended Validation) an. Seine Vorteile und eine Anleitung zur Aktivierung finden Sie in den folgenden Absätzen.
Bedeutung des Code Signing EV Zertifikats
Seine Bedeutung liegt in der Erhöhung der Sicherheit des Zertifikats und des privaten Schlüssels. Das Zertifikat ist zusammen mit dem privaten Schlüssel auf einem Token gespeichert und kann nicht exportiert werden. Die Verwendung des Zertifikats ist durch ein Passwort geschützt, und nach mehreren falschen Versuchen wird das Token gelöscht. Es bietet einen ausgezeichneten Schutz Ihres Code Signing Zertifikats vor Missbrauch. Ein weiterer wichtiger Vorteil des Code Signing EV Zertifikats ist das absolute Vertrauen im Smartscreen-Filter, der Teil von Windows ist. Dank der EV-Signatur können Sie sicher sein, dass das Windows-System Ihre Anwendung nicht für Benutzer blockiert.
Weitere Informationen über das Code Signing Zertifikat in unserem Angebot finden Sie auf der Produktseite DigiCert Code Signing EV.
Wie man ein Code Signing EV Zertifikat erhält und aktiviert
Der gesamte Prozess zur Erlangung und Aktivierung eines Code Signing EV Zertifikats wird im Artikel Inbetriebnahme (Aktivierung) des Code Signing EV Zertifikats.
Wie man Software mit einem digitalen Zertifikat signiert
Um Anwendungen mit Code Signing zu signieren, benötigen Sie zwei Dinge:
- Code Signing Zertifikat
- Signierungsanwendung
Das Code Signing Zertifikat erhalten Sie von SSLmarket, und das ist einfach. Sie wählen die Signierungsanwendung basierend auf der Plattform aus, auf der Sie entwickeln. Beliebte und am weitesten verbreitete sind diese Signierungstools, die wir in unserem Hilfebereich beschrieben haben und bei denen wir Ihnen helfen können:
- Signtool aus dem Windows SDK (Hilfe)
- Jarsigner (siehe Blogartikel).
- smctl Tool von DigiCert - wir empfehlen es für KeyLocker (Hilfe). Es kann beispielsweise Signtool verwenden und die Signierung vereinfachen.
Die meisten unserer Kunden entwickeln in der MS Windows-Umgebung und verwenden das Windows SDK. Die Signierung erfolgt dann mit dem Tool signtool.exe. Die Dokumentation zu signtool finden Sie auf der Seite SignTool.exe (Sign Tool) auf der Microsoft-Website.
Signierung mit cloudbasiertem HSM
Cloud-basierte HSM dienen der sicheren Speicherung des Code Signing Zertifikats und dem Fernzugriff darauf. Im Gegensatz zu einem Zertifikat auf einem Token erlauben sie Automatisierung, und die Signierung ist sehr schnell, da nur der Datei-Hash (sogenanntes Hash-Signing) in die Cloud gesendet wird.
Wir empfehlen dringend die Signierung mit Hash-Signing und Cloud im Gegensatz zu einem Token. Es ist sicher, schnell und kostengünstig.
Empfohlene cloudbasierte HSM
- DigiCert KeyLocker
- DigiCert Software Trust Manager
- Azure Key Vault
- GCP Cloud KMS (Google)
- AWS CloudHSM
In den folgenden Absätzen finden Sie die Vor- und Nachteile der einzelnen Lösungen.
DigiCert KeyLocker
Die günstigste Alternative zum Token ist KeyLocker. Es handelt sich um einen einfachen Service für einen Benutzer, der die einfache Codesignierung ermöglicht. DigiCert bietet eigene KSP und PKCS#11 Bibliotheken an, die Sie in Ihr System installieren und damit Code genauso signieren, wie Sie es gewohnt sind. Mit ihrem SMCTL-Tool ist die Signierung noch einfacher und direkter als mit Signtool. SMCTL ist kompatibel mit den meisten gängigen Tools für Code Signing und kann diese aufrufen. KeyLocker hat ein Limit von 1000 Signaturen und eignet sich daher für weniger häufige Signierungen. Die Anzahl der Signaturen kann jedoch gegen Gebühr erweitert werden.
DigiCert Software Trust Manager
Es ist die Spitzen-Cloud-Lösung aus der Plattform DigiCert ONE, die für den Unternehmenseinsatz konzipiert ist. Sie bietet das Management einer unbegrenzten Anzahl von Zertifikaten, Benutzern und ist unbegrenzt skalierbar. Die Integration mit Ihrer CI/CD-Plattform wird durch vorbereitete Skripte und Bibliotheken gewährleistet. Der Zugang zu STM und die Anzahl der Signaturen werden lizenziert. Für weitere Informationen zu Preisen und Lizenzierungsmodellen kontaktieren Sie uns. Die Dokumentation finden Sie auf der DigiCert-Website.
Cloud-basiertes HSM Azure und Google
Beide großen Cloud-Anbieter bieten einen HSM-Dienst mit sicherem Fernzugriff über eigene Bibliotheken an, die als KSP unter Windows funktionieren. Ihre Verwendung ist nicht kompliziert, und die Kosten für beide sind sehr günstig (es werden nur kryptografische Operationen berechnet). Azure und GCP empfehlen wir für eine große Anzahl jährlicher Signaturen, da die Kosten niedrig sind.
Anleitung zur Codesignierung mit Azure Key Vault finden Sie im Artikel Codesignierung mit Azure Key Vault. Für GCP Cloud KMS finden Sie Artikel unter Codesignierung mit Google Cloud KMS.
AWS CloudHSM
Bei Amazon ist es auch möglich, in der Cloud zu signieren unter Verwendung von Signtool aus dem Windows SDK. Das eingerichtete HSM wird jedoch stündlich berechnet. Neben den Fixkosten werden auch die Operationen (Signaturen) berechnet. Wenn Sie AWS bisher nicht verwendet haben, empfehlen wir eher Azure oder GCP HSM. Weitere Informationen zur Verwendung von Signtool finden Sie im Artikel Use Microsoft SignTool with Client SDK 3 to sign files.
Vergleich Azure Key Vault vs Google Cloud KMS vs AWS CloudHSM/KMS+HSM
Den Vergleich aller drei Cloud HSM finden Sie in der folgenden Tabelle. Sie ist auf die Kosten für Signaturvorgänge (Hash-Signing), feste Gebühren, Skalierung, geringe Nutzung, Betriebskomplexität und Latenz/Durchsatz fokussiert.
| Faktor | Azure Key Vault | Google Cloud KMS | AWS CloudHSM / KMS + HSM |
|---|---|---|---|
| Gebühren für Operationen (Signieren/Verifizieren) | Sehr niedrig (≈ $/10.000 Operationen). | Sehr niedrig (≈ $/10.000 Operationen). | Keine entscheidenden Kosten; die Hauptgebühren sind feste HSM-Gebühren. |
| Fixkosten | Mögliche monatliche Gebühr für HSM-Schlüssel; ansonsten niedrig. | Keine signifikanten Fixkosten im Grundmodus. | Hoch – Stundensatz für HSM (24/7) oder Custom Key Store. |
| Skalierung und Kapazität | Linear nach Transaktionen; durch Drosselung begrenzt. | Linear; beachten Sie die Quoten (QPS/QPM). | Skalierung durch Hinzufügen von HSM; Fixkosten steigen auch. |
| Kosten bei geringer Nutzung | Vorteilhaft – es werden hauptsächlich Operationen berechnet. | Vorteilhaft – es werden hauptsächlich Operationen berechnet. | Nachteilhaft – es werden HSM-Kosten auch ohne Last berechnet. |
| Betriebliche Komplexität | Niedrig – verwalteter Dienst. | Niedrig – verwalteter Dienst. | Höher – Verwaltung eines HSM-Clusters und HA/DR. |
Kontaktieren Sie uns
Wenn Sie bei irgendeinem Schritt bei der Bestellung eines Zertifikats, bei der Ausstellung eines Zertifikats, bei der Installation eines Zertifikats oder bei einer Frage Hilfe benötigen, zögern Sie nicht, unseren Kundensupport zu kontaktieren, der Ihnen mit Rat und Tat zur Seite steht. Unser Experten mit DigiCert Security Sales Expert Plus Zertifizierung stehen Ihnen an jedem Werktag zu den üblichen Geschäftszeiten zur Verfügung.
Sie können uns auch direkt aus Ihrem Kundenkonto durch das Senden einer Anfrage aus dem Menü Autorisierte Anfrage kontaktieren.
FAQ - häufig gestellte Fragen
Ist das Code Signing Zertifikat an den Namen meiner Domain gebunden?
Nein. Code Signing wird nicht für Domains ausgestellt, sondern für eine bestimmte Organisation. Der Name dieser Organisation ist im Common Name.
Was kann ich alles signieren?
Mit dem DigiCert Code Signing Zertifikat können verschiedene Arten von Software und Skripten unterschrieben werden, um sicherzustellen, dass sie aus einer vertrauenswürdigen Quelle stammen und nach der Ausstellung nicht verändert wurden.
✅ Was signiert werden kann:
- Ausführbare Dateien: .exe, .dll, .ocx, .msi, .cab
- Treiber für Windows (WHLK/HLK)
- Java-Anwendungen: .jar
- Makros und VBA-Skripte in Microsoft Office
- PowerShell-Skripte: .ps1
- macOS-Anwendungen und -Pakete (über Apple Developer ID)
- Adobe AIR-Anwendungen
- .NET-Anwendungen und -Bibliotheken
- Skripte und Installer in verschiedenen Umgebungen
⚠️ Was nicht signiert werden kann:
- Code, der eine qualifizierte elektronische Signatur nach eIDAS erfordert
- Dateien, die nicht zur Verbreitung bestimmt sind
- Formate und Plattformen, die keine digitale Signatur unterstützen
Ist der zeitgestempelte Code auch nach dem Ablauf des Code Signing Zertifikats gültig?
Ja, der mit Zeitstempel versehene Code bleibt auch nach Ablauf des Zertifikats gültig. Wenn Sie beim Signieren das Zeitstempel (Timestamp) verwenden, überprüft das System, dass der Code in der Gültigkeitsdauer des Zertifikats signiert wurde. Dadurch bleibt die Signatur weiterhin vertrauenswürdig. Ohne Timestamp muss der Code mit einem neuen Zertifikat erneut signiert werden.
Wie kann ich VBA-Projekte mit einem Zeitstempel versehen?
Siehe Artikel Anweisungen zum Zeitstempeln von VBA-Code auf der DigiCert.com-Website
Gibt es eine Beschränkung für die Anzahl der Anwendungen, die ich mit dem Code Signing Zertifikat signieren kann?
Nein, Sie können eine unbegrenzte Anzahl von Anwendungen mit dem Zertifikat signieren. Wenn Sie das Code Signing Zertifikat auf einem Token haben, können Sie unbegrenzt signieren. Die Anzahl der Signaturen wird nur in Cloud-Diensten berücksichtigt:
- DigiCert KeyLocker - während der Zertifikatsgültigkeit haben Sie 1000 Signaturen, weitere können gekauft werden.
- Software Trust Manager - die Signaturen werden für die Vertragslaufzeit lizenziert.
Wie signiert man mit dem Zertifikat in der Cloud?
Das Signieren mit dem Code Signing Zertifikat ist einfach und schnell. Es nutzt das sogenannte Hash-based Signing, bei dem zuerst ein Hash der Datei berechnet wird, der dann zur Signierung in die Cloud gesendet wird. Die eigentliche Datei wird nicht übertragen – nur der signierte Hash wird zurückgeschickt. Dadurch ist der gesamte Prozess sicher und effizient.
Hash Signing in der Cloud können Sie mit diesen Produkten nutzen:
Es tut uns leid, dass Sie hier für Ihren Bedarf nichts Passendes gefunden haben.
Helfen Sie uns, diesen Artikel zu verbessern. Schreiben Sie uns bitte, was Sie hier erwartet und nicht erfahren haben.