Code Signing Zentrum - Unterstützung für das Signieren von Anwendungen
Kundensupport-Zentrum für Code Signing Zertifikate (Zertifikate zum Signieren von Code und Anwendungen). Hier finden Sie alle relevanten Informationen zum Signieren von Code und zur Verwendung von Code Signing Zertifikaten.
Code Signing Zertifikate
Zertifikate zum Signieren von Code (Code Signing) dienen zum Signieren von Anwendungen, die auf verschiedenen Entwicklungsplattformen erstellt wurden. Das Ziel des Code Signings ist nicht nur die Authentifizierung des Herausgebers, sondern vor allem der Schutz der Integrität und Unveränderbarkeit der Anwendung. Falls jemand die Anwendung verändert (z.B. Malware hinzufügt), wird die Signatur ungültig. Deshalb erfordern die meisten aktuellen Systeme entweder die Signatur der Anwendung (MacOS) oder warnen deutlich vor dem Start einer unsignierten Anwendung (Windows).
Code Signing EV Zertifikat
Auch für Zertifikate zum Signieren von Code bieten wir ein Zertifikat mit erweiterter Validierung an. Seine Vorteile und eine Anleitung zur Aktivierung finden Sie in den folgenden Absätzen.
Bedeutung des Code Signing EV Zertifikats
Die Bedeutung liegt in der Erhöhung der Sicherheit des Zertifikats und des privaten Schlüssels. Das Zertifikat wird zusammen mit dem privaten Schlüssel auf einem Token gespeichert und kann nicht exportiert werden. Die Verwendung des Zertifikats ist durch ein Passwort geschützt und nach mehreren falschen Versuchen wird das Token gelöscht. Dies ist ein ausgezeichneter Schutz Ihres Code Signing Zertifikats vor Missbrauch. Ein weiterer wichtiger Vorteil des Code Signing EV Zertifikats ist die absolute Vertrauenswürdigkeit im Smartscreen-Filter, der Teil von Windows ist. Dank der EV-Signatur haben Sie die Gewissheit, dass Windows Ihr Anwendung nicht blockiert.
Weitere Informationen zu Code Signing Zertifikaten in unserem Angebot finden Sie auf der Produktseite DigiCert Code Signing EV.
Wie man ein Code Signing EV Zertifikat erhält und aktiviert
Der gesamte Prozess der Beantragung und Aktivierung des Code Signing EV Zertifikats ist im Artikel Aktivierung (Inbetriebnahme) des Code Signing EV Zertifikats beschrieben.
Wie man Software mit einem digitalen Zertifikat unterschreibt
Um Anwendungen mit Code Signing zu signieren, benötigen Sie zwei Dinge:
- Code Signing Zertifikat
- Signaturanwendung
Sie erhalten das Code Signing Zertifikat von SSLmarket und das ist einfach. Die Signaturanwendung wählen Sie basierend auf der Plattform, auf der Sie entwickeln. Beliebte und verbreitete Signaturwerkzeuge, die wir in unserem Hilfebereich beschreiben und bei denen wir Ihnen helfen können, sind:
- Signtool aus dem Windows SDK (Hilfe)
- Jarsigner (siehe Blogartikel).
- Utility smctl von DigiCert - empfohlen für KeyLocker (Hilfe). Es kann z.B. signtool verwenden und das Signieren vereinfachen.
Die meisten unserer Kunden entwickeln in der Umgebung von MS Windows und nutzen das Windows SDK. Das Signieren erfolgt dann mit dem Tool signtool.exe. Die Dokumentation für signtool finden Sie auf der Seite SignTool.exe (Sign Tool) auf der Microsoft-Website.
Signieren mit Cloud-HSM
Cloud-basierte HSMs dienen der sicheren Speicherung von Code Signing Zertifikaten und dem Fernzugriff darauf. Im Gegensatz zu Token-basierten Zertifikaten ermöglichen sie Automatisierung und das Signiervorgang ist sehr schnell, da nur der Hash der Datei in die Cloud gesendet wird (sogenanntes Hash Signing).
Das Signieren mit Hash-Signing und der Cloud empfehlen wir gegenüber dem Token nachdrücklich. Es ist sicher, schnell und kostengünstig.
Empfohlene cloud-basierte HSMs
- DigiCert KeyLocker
- DigiCert Software Trust Manager
- Azure Key Vault
- GCP Cloud KMS (Google)
- AWS CloudHSM
In den folgenden Absätzen finden Sie die Vor- und Nachteile der einzelnen Lösungen.
DigiCert KeyLocker
Die günstigste Alternative zum Token ist KeyLocker. Es handelt sich um einen einfachen Dienst für einen Benutzer, der einfaches Code-Signing ermöglicht. DigiCert bietet eigene KSP- und PKCS#11-Bibliotheken, die Sie auf Ihrem System installieren und Code auf die Ihnen vertraute Weise signieren. Mit dem Utility SMCTL wird das Signieren noch einfacher und direkter als mit signtool. SMCTL ist mit den am häufigsten verwendeten Tools für das Code Signing kompatibel und kann diese aufrufen. KeyLocker hat ein Limit von 1000 Signaturen und eignet sich daher für weniger häufiges Signieren. Diese Grenze kann jedoch kostenpflichtig erweitert werden.
DigiCert Software Trust Manager
Dabei handelt es sich um eine Spitzenlösung aus der Cloud-Plattform DigiCert ONE, die für den Unternehmenseinsatz gedacht ist. Sie bietet die Verwaltung einer unbegrenzten Anzahl an Zertifikaten und Benutzern und ist unbegrenzt skalierbar. Die Verbindung zu Ihrer CI/CD-Plattform wird durch vorbereitete Skripte und Bibliotheken gewährleistet. Der Zugang zum STM und die Anzahl der Signaturen wird lizenziert. Für weitere Informationen zu Preisen und Lizenzierung kontaktieren Sie uns bitte. Die Dokumentation finden Sie auf der DigiCert-Website.
Cloud-HSM bei Azure und Google
Beide großen Cloud-Anbieter bieten einen HSM-Dienst mit sicherem Fernzugriff über eigene Bibliotheken an, die als KSP unter Windows fungieren. Ihre Verwendung ist nicht schwierig und der Preis beider ist sehr attraktiv (es wird nur für Krypto-Operationen gezahlt). Azure und GCP empfehlen wir für eine größere Anzahl von Signaturen pro Jahr, da die Kosten niedrig sind.
Anweisungen zum Signieren von Code mit Azure Key Vault finden Sie im Artikel Signieren von Code mit Azure Key Vault. Für GCP Cloud KMS im Artikel Signieren von Code mit Google Cloud KMS.
AWS CloudHSM
Auch bei Amazon ist es möglich, mit Hilfe von Cloud-basierten Signieren mithilfe von Signtool aus dem Windows SDK zu signieren. Das bereitgestellte HSM ist jedoch pro Betriebsstunde kostenpflichtig. Neben den festen Kosten fallen auch Kosten für Operationen (Signaturen) an. Wenn Sie AWS bisher nicht verwendet haben, empfehlen wir eher Azure oder GCP HSM. Weitere Informationen zur Verwendung mit Signtool finden Sie im Artikel Use Microsoft SignTool with Client SDK 3 to sign files.
Vergleich: Azure Key Vault vs Google Cloud KMS vs AWS CloudHSM/KMS+HSM
Eine Vergleichstabelle aller drei Cloud-HSMs finden Sie in der folgenden Tabelle. Sie konzentriert sich auf die Kosten für Signiervorgänge (Hash-Signing), feste Gebühren, Skalierung, geringe Nutzung, Betriebskomplexität und Latenz/Durchsatz.
| Faktor | Azure Key Vault | Google Cloud KMS | AWS CloudHSM / KMS + HSM |
|---|---|---|---|
| Gebühren für Operationen (sign/verify) | Sehr niedrig (≈ $/10 000 Operationen). | Sehr niedrig (≈ $/10 000 Operationen). | Keine Schlüsselkosten; feste Gebühren für HSM im Vordergrund. |
| Feste Kosten | Mögliche monatliche Gebühr für den HSM-Schlüssel; ansonsten niedrig. | Keine signifikanten festen Kosten im Basismodus. | Hoch - stündliche HSM-Miete (24/7) oder Custom Key Store. |
| Skalierung und Kapazität | Linear basierend auf Transaktionen; begrenzt durch Throttling. | Linear; Vorsicht bei Quoten (QPS/QPM). | Skalierung durch Hinzufügen von HSM; feste Kosten steigen. |
| Kosten bei geringer Nutzung | Vorteilhaft - es wird hauptsächlich für Operationen gezahlt. | Vorteilhaft - es wird hauptsächlich für Operationen gezahlt. | Nachteilig - es wird HSM auch ohne Last bezahlt. |
| Betriebskomplexität | Niedrig - verwalteter Dienst. | Niedrig - verwalteter Dienst. | Höher - Verwaltung des HSM-Clusters und HA/DR. |
Kontaktieren Sie uns
Falls Sie Unterstützung oder Beratung im Zusammenhang mit der Bestellung des Zertifikats, der Ausstellung des Zertifikats, seiner Installation oder bei jeglichen Fragen benötigen, zögern Sie nicht, unseren Kundenservice zu kontaktieren. Unsere Experten mit der Zertifizierung DigiCert Security Sales Expert Plus sind werktags während der normalen Geschäftszeiten verfügbar.
Sie können uns auch direkt über Ihr Kundenkonto kontaktieren, indem Sie eine Anfrage über das Menü Autorisierte Anfrage senden.
FAQ - Häufig gestellte Fragen
Ist das Code Signing Zertifikat an den Namen meiner Domäne gebunden?
Nein. Code Signing wird nicht für eine Domäne ausgestellt, sondern für eine spezifische Organisation. Der Name dieser Organisation wird im Common Name angegeben.
Was kann ich alles signieren?
Mit dem Zertifikat DigiCert Code Signing können Sie verschiedene Arten von Software und Skripten signieren, um sicherzustellen, dass sie aus einer vertrauenswürdigen Quelle stammen und nach der Ausgabe nicht verändert wurden.
✅ Was signiert werden kann:
- Ausführbare Dateien: .exe, .dll, .ocx, .msi, .cab
- Windows-Treiber (WHLK/HLK)
- Java-Anwendungen: .jar
- Makros und VBA-Skripte in Microsoft Office
- PowerShell-Skripte: .ps1
- macOS Anwendungen und Pakete (über Apple Developer ID)
- Adobe AIR-Anwendungen
- .NET Anwendungen und Bibliotheken
- Skripte und Installer in verschiedenen Umgebungen
⚠️ Was nicht signiert werden kann:
- Codes, die eine qualifizierte elektronische Signatur gemäß eIDAS erfordern
- Dateien, die nicht zur Distribution bestimmt sind
- Formate und Plattformen, die digitale Signaturen nicht unterstützen
Bleibt ein zeitgestempelter Code auch nach Ablauf des Code Signing Zertifikats gültig?
Ja, ein zeitgestempelter (timestamped) Code bleibt auch nach Ablauf des Zertifikats gültig. Wenn Sie beim Signieren einen Zeitstempel (timestamp) verwenden, überprüft das System, dass der Code zum Zeitpunkt der Gültigkeit des Zertifikats signiert wurde. Dadurch bleibt die Signatur weiterhin vertrauenswürdig. Ohne die Verwendung eines Zeitstempels muss der Code mit einem neuen Zertifikat erneut signiert werden.
Wie kann ich VBA-Projekte mit einem Zeitstempel versehen?
Siehe den Artikel Anleitungen zum Zeitstempeln von VBA-Code auf der Website von DigiCert.com
Gibt es ein Limit für die Anzahl der Anwendungen, die ich mit einem Code Signing Zertifikat signieren kann?
Nein, mit dem Zertifikat können Sie eine unbegrenzte Anzahl von Anwendungen signieren. Wenn Sie ein Code Signing Zertifikat auf einem Token haben, können Sie unbegrenzt signieren. Die Anzahl der Signaturen wird nur in cloud-basierten Diensten berücksichtigt:
- DigiCert KeyLocker – Während der Gültigkeitsdauer des Zertifikats haben Sie 1000 Signaturen, weitere können dazugekauft werden.
- Software Trust Manager - Die Signaturen werden für die Vertragslaufzeit lizenziert.
Wie signiert man mit einem Zertifikat in der Cloud?
Das Signieren mit einem Code Signing Zertifikat ist einfach und schnell. Es verwendet das sogenannte Hash-basiertes Signieren, bei dem der Hash der Datei zuerst berechnet und dann zur Signierung in die Cloud gesendet wird. Die eigentliche Datei wird nirgendwo übertragen – in die Signatur wird nur der signierte Hash zurückgegeben. Dadurch wird der gesamte Prozess sicher und effizient.
Hash-Signing mit der Cloud können Sie bei folgenden Produkten nutzen:
Es tut uns leid, dass Sie hier für Ihren Bedarf nichts Passendes gefunden haben.
Helfen Sie uns, diesen Artikel zu verbessern. Schreiben Sie uns bitte, was Sie hier erwartet und nicht erfahren haben.