LeaderSSL-Support: offline:
Mo-Fr 9:00 - 18:00 MEZ
Kundendienst Abrechnung:

Montag - Freitag:
9:00 - 18:00 MEZ

Technischer Support:

Montag - Freitag:
9:00 - 18:00 MEZ

Bestellsystem/Zertifikatsausstellung:

Rund um die Uhr

  1. Hilfe
  2. Code Signing
  3. Beliebte Fragen zu Code Signing-Zertifikaten

Sie fragen - wir antworten!

Beliebte Fragen zu Code Signing-Zertifikaten

F: Wofür werden Code Signing-Zertifikate verwendet?

A: Code Signing-Zertifikate werden allen Herausgebern empfohlen, die Code oder Inhalte im Internet oder in Unternehmensnetzwerken verbreiten. Die Kunden sind sich der Risiken bewusst, die mit dem Herunterladen von Dateien aus dem Internet verbunden sind, und vertrauen daher signierten Dateien viel mehr als unsignierten. Wenn der Kunde die Signatur des Herausgebers sieht, weiß er, dass die Datei authentisch ist und keine Schadsoftware enthält. Die Signatur des Herausgebers ist ein zuverlässiges Mittel, um die Anwendung vor Eingriffen Dritter zu schützen.

F: Welche Dokumente sind für die Bestellung eines Code Signing-Zertifikats erforderlich?

A: Standard Code Signing-Zertifikate sind für Einzelunternehmer und juristische Personen erhältlich.

Im Falle von Sectigo(Comodo) benötigen Sie:

  • einen Link zu einer staatlichen Datenbank mit Ihrer Unternehmensregistrierung;
  • Kontaktinformationen: Name, E-Mail, Telefon, Titel;
  • einen Scan eines amtlichen Lichtbildausweises (z. B. Reisepass, Führerschein usw.), um den Antragsteller (Verwaltungskontakt) auf der Bestellung zu verifizieren;
  • ein Selfie mit einem amtlichen Lichtbildausweis [Reisepass, Führerschein] (mit Foto und Namen).
    Dies ist eine obligatorische Anforderung von Sectigo, weitere Details:
    https://sectigo.com/knowledge-base/detail/OV-Code-Signing-Validation-for-Organizations-and-Individuals/kA01N000000brb0
  • zur Überprüfung der Telefonnummer: ein Link zu einem Online-Verzeichnis mit Ihrer Unternehmensregistrierung (von kompass.com oder DUNS-Nummer).
    Dieses Profil sollte Firmenname, Adresse und Telefonnummer enthalten.

Im Falle von Digicert benötigen Sie:

  • einen Link zu einer staatlichen Datenbank mit Ihrer Unternehmensregistrierung;
  • Kontaktinformationen: Name, E-Mail, Telefon, Titel;
  • Zur Überprüfung der Telefonnummer: Unternehmensregistrierung unter dnb.com/DUNS oder staatliche Registrierung mit einer Telefonnummer.

Im Falle von Certum benötigen Sie:

  • Registrierungsdokument des Unternehmens
  • Vollmacht/Vollmacht des Bevollmächtigten: Unterschrieben gemäß der im Registrierungsdokument angegebenen Art der Vertretung. *Erforderlich nur, wenn die Person, die das Zertifikat beantragt, nicht befugt ist, die Organisation selbständig zu vertreten.
  • Rechnung eines Versorgungsunternehmens (nur für EV erforderlich): eine auf den Namen der Organisation ausgestellte Rechnung für Versorgungsleistungen, die die aktuelle Adresse des Unternehmenssitzes bestätigt (z. B. Rechnung für Gas, Strom, Wasser, Festnetztelefon, festes Internet, Büroraummiete oder Mietvertrag).

LeaderTelecom stellt keine Code Signing-Zertifikate für Einzelpersonen aus.

Das Code Signing EV-Zertifikat ist nur für juristische Personen verfügbar. Die Anforderungen für die Ausstellung sind die gleichen, aber die Überprüfung ist gründlicher (staatliche Quellen werden überprüft).

F: Wie signiere ich einen Code mit einem Code Signing-Zertifikat?

A: Um einen Code zu signieren, müssen Sie ihn durch einen speziellen Hash-Algorithmus leiten und dann Ihren privaten Schlüssel verwenden, um den Hash zu signieren, wodurch Sie eine digitale Signatur erhalten. Anschließend erstellen Sie einen Signaturblock, der die digitale Signatur und das Code Signing-Zertifikat enthält. Mit Tools wie Authenticode können Sie einen Zeitstempel für einen Signaturblock auf der Grundlage des aktuellen Datums und der Uhrzeit festlegen. Schließlich binden Sie den Signaturblock mit einem Zeitstempel an die Software. Nun können Sie ein signiertes Programm auf Ihrer Website zum Download anbieten.

Ein Zeitstempel ist erforderlich, um sicherzustellen, dass die Gültigkeit des Codes nicht mit der Gültigkeitsdauer des Code Signing-Zertifikats abläuft. Wenn Ihr Code mit einem Zeitstempel versehen ist, bleibt die digitale Signatur auch nach Ablauf des Zertifikats gültig. Ein neues Zertifikat ist nur erforderlich, wenn Sie einen weiteren Code signieren möchten. Wenn Sie die Möglichkeit, während des Signiervorgangs der Anwendung Zeitstempel hinzuzufügen, nicht genutzt haben, müssen Sie den Code erneut signieren und an Ihre Kunden senden.

F: Wie kann ich mein Zertifikat nach dem Kauf verwenden?

A: Das hängt von der Art des Zertifikats ab. Sie finden die Anleitung hier

F: Was passiert, wenn das Code Signing-Zertifikat abläuft?

A: Code Signing-Zertifikate werden für einen Zeitraum von ein bis drei Jahren ausgestellt. Der Ablauf eines Code Signing-Zertifikats bedeutet, dass Sie keine neuen Signaturen erstellen können. Alle bisherigen Signaturen funktionieren für einen bestimmten Zeitstempel.

Im Falle von Microsoft Authenticode bedeutet die Verwendung von Zeitstempeln, dass der Code nicht abläuft, wenn das Zertifikat abläuft.

Wenn keine Zeitstempel verwendet werden, müssen Sie den Code nach Ablauf des Zertifikats neu signieren und an Ihre Kunden senden.

Es ist zu beachten, dass einige Zertifikate die Erstellung von Zeitstempeln nicht unterstützen (z. B. Zertifikate für Netscape Object Signing und Sun Java).

F: Was ist der Unterschied zwischen Code Signing und Document Signing? Kann ich PDF-Dateien mit normalen Code Signing-Zertifikaten signieren?

A: Meistens haben Code Signing-Zertifikate eine extKeyUsage-Erweiterung mit einem Code Signing-Wert und manchmal auch kommerzielles Code Signing. Sie haben jedoch keine Werte, die andere Verwendungen erlauben.

RFC 5280 für die Erweiterung Extended Key Usage besagt, dass "wenn die Erweiterung angegeben ist, das Zertifikat nur zur Erreichung eines der relevanten Ziele verwendet werden sollte".

In der fraglichen Situation wird das Code Signing-Zertifikat jedoch zum Signieren eines Dokuments verwendet, das kein Code ist, was einen direkten Verstoß gegen die Spezifikation der X.509 Public Key Infrastructure Certificates darstellt.

Aus diesem Grund besteht eine hohe Wahrscheinlichkeit, dass Adobe Reader PDF-Signaturen ablehnt, die mit einem Code Signing-Zertifikat erstellt wurden. Und selbst wenn es jetzt keine Probleme mit Zertifikaten gibt, ist es nicht garantiert, dass dies in Zukunft bei der Veröffentlichung neuer Versionen von Adobe Reader nicht passiert. Aus diesem Grund unterscheiden viele Wiederverkäufer von Zertifikaten zwischen Zertifikaten für Code Signing und Zertifikaten für das Signieren von Dokumenten (insbesondere Zertifikate für das Signieren von PDFs). Die Preise für PDF-Zertifikate sind oft um ein Vielfaches höher.

F: Gibt es Unterschiede zwischen Code Signing-Zertifikaten für Java, Adobe AIR, Authenticode, VBS?

A: Wie aus der RFC 5280-Spezifikation hervorgeht, kann jedes Code Signing-Zertifikat zum Signieren von Java-Code, AIR-Code, Authenticode, VBS usw. verwendet werden. Aus technischer Sicht gibt es daher keine Unterschiede zwischen den Code Signing-Zertifikaten.

Einige Zertifizierungsstellen können jedoch den Geltungsbereich ihrer Codesigning-Zertifikate einschränken.

F: Wie signiere ich die Visual Studio .msi-Installationsdateien? Nachdem ich .msi signiert habe, verlieren alle im Installationspaket enthaltenen .exe-Dateien ihre Signaturen. Wie kann ich sicherstellen, dass die Signaturen dieser Dateien während der Installation des Pakets auf dem Computer des Kunden erhalten bleiben?

A: Visual Studio erstellt zum Zeitpunkt der Kompilierung zwei Ordner: obj und bin. Die Ausgabedateien werden meist aus dem obj-Ordner in den bin-Ordner kopiert. Wenn Sie Dateien im bin-Ordner signieren, werden sie später von Dateien aus dem obj-Ordner überschrieben. Der Ausweg: Signieren von exe-Dateien, die sich im obj-Ordner befinden. In diesem Fall bleiben die Signaturen aller Exe-Dateien erhalten.

F: Gibt es Einschränkungen bezüglich der Anzahl der Anwendungen, die mit einem Code Signing-Zertifikat signiert werden können?

A: Nein. Sie können so viele Anwendungen mit dem Code Signing-Zertifikat signieren, wie Sie benötigen, vorausgesetzt, die Anwendung wird von der Organisation vertrieben, für die das Zertifikat ausgestellt wurde.

F: Kann ich Treiber (Kernel-Mode) mit einem Code Signing-Zertifikat signieren?

A: Nein, ab Mai 2021 wird die Treibersignatur für Windows 8 und 10 nicht mehr unterstützt. Quelle: Abschaffung von Software-Publisher-Zertifikaten.

F: Wie umgeht man den Smart Screen bei der Installation einer signierten Anwendung unter Windows® 8/10/11?

A: Sie müssen das EV Code Signing-Zertifikat verwenden. Mit Code Signing EV signierte Programme werden automatisch als vertrauenswürdig eingestuft, auch wenn für diesen Herausgeber oder diese Datei keine Reputation vorliegt. Sie können die Reputation nur für Authenticode-Zertifikate festlegen, die von einer Zertifizierungsstelle ausgestellt wurden, die Mitglied des Windows® Root Certificate Program ist.

Die folgenden EV-Zertifikate können Sie bei uns bestellen:
Certum EV Code Signing in der Cloud

Sectigo(Comodo) EV-Codesignierung

Digicert EV-Code-Signierung

F: Ist die Reputation in SmartScreen mit einem Standard Code Signing Zertifikat möglich?

A: Ja, das ist möglich, aber dazu sind etwa 3000 App-Downloads erforderlich (ungefähre Angaben).

F: Kann ich Mac-Software mit Ihren Code Signing-Produkten signieren?

A: Nein, bitte prüfen Sie https://developer.apple.com/support/code-signing/


F: PFX-Dateien sind für Code Signing-Zertifikate nicht mehr verfügbar. Was sind die anderen Optionen?

A: Ab dem 01.06.2023 sind PFX-Dateien nicht mehr für Code Signing-Zertifikate verfügbar.

Moderne Standards erfordern, dass die privaten Schlüssel für Code Signing-Zertifikate in sicheren Umgebungen erzeugt und gespeichert werden.

Dies bedeutet in der Regel die Verwendung von Hardware-Geräten wie HSMs, Smart Cards oder sicheren USB-Tokens.

Die Generierung von privaten Schlüsseln auf diesen Geräten stellt sicher, dass der Schlüssel nicht extrahiert oder exportiert werden kann, wodurch die Ausstellung von Zertifikaten im PFX-Format verhindert wird.

Sectigo bietet seine Zertifikate jetzt auf USB-Tokens an:

https://www.leaderssl.com/suppliers/comodo/products/code_signing

https://www.leaderssl.com/suppliers/comodo/products/code_signing_ev

Als Alternative bieten wir jetzt Zertifikate von Certum an:

https://www.leaderssl.com/suppliers/certum/products/code_signing_ev

https://www.leaderssl.com/suppliers/certum/products/code_signing

Diese werden als"in the Cloud" bezeichnet.

Sie müssen eine spezielle Desktop-Anwendung verwenden und über signtool signieren.


Haben Sie noch Fragen? Schreiben Sie uns!

Ich akzeptiere die Bedingungen

Mit der Eingabe Ihrer E-Mail bestätigen Sie, dass Sie die Website gelesen und akzeptiert haben Geschäftsbedingungen, Datenschutzrichtlinie und Geld-zurück-Garantie.

>