Code Signing Zentrum - Unterstützung für die Anwendungsunterzeichnung
Kundensupportzentrum für Code Signing Zertifikate (Zertifikate für Code- und Anwendungsunterzeichnung). Hier finden Sie alle relevanten Informationen zur Code- und Zertifikatssignierung.
Code Signing Zertifikate
Zertifikate für die Code- und Anwendungsunterzeichnung dienen der Unterzeichnung von Anwendungen, die auf verschiedenen Entwicklungsplattformen erstellt wurden. Das Ziel der Code-Signierung ist nicht nur die Authentifizierung des Herausgebers, sondern vor allem der Schutz der Integrität und Unveränderlichkeit der Anwendung. Wenn jemand die Anwendung modifiziert (z.B. Malware hinzufügt), wird die Signatur ungültig. Deshalb erfordern die meisten modernen Systeme entweder eine Anwendungssignatur (MacOS) oder warnen eindringlich vor dem Start einer unsignierten Anwendung (Windows).
Code Signing EV Zertifikate
Auch für Code-Signing-Zertifikate bieten wir ein Zertifikat mit erweiterter Validierung an. Seine Vorteile und Anleitungen zur Aktivierung finden Sie in den folgenden Absätzen.
Bedeutung des Code Signing EV Zertifikats
Seine Bedeutung liegt in der Erhöhung der Sicherheit des Zertifikats und des privaten Schlüssels. Das Zertifikat wird zusammen mit dem privaten Schlüssel auf einem Token gespeichert und kann nicht exportiert werden. Die Nutzung des Zertifikats ist mit einem Passwort geschützt und nach mehreren falschen Versuchen wird der Token gelöscht. Es bietet einen ausgezeichneten Schutz Ihres Code Signing Zertifikats vor Missbrauch. Ein weiterer wichtiger Vorteil des Code Signing EV Zertifikats ist die absolute Vertrauenswürdigkeit im Smartscreen-Filter, der Teil von Windows ist. Dank der EV-Signatur können Sie sicher sein, dass Windows Ihre Anwendung nicht für Benutzer blockiert.
Mehr Informationen über das DigiCert Code Signing EV Zertifikat in unserem Angebot finden Sie auf der Produktseite DigiCert Code Signing EV.
Wie man ein Code Signing EV Zertifikat erhält und aktiviert
Der gesamte Prozess zur Erlangung und Aktivierung des Code Signing EV Zertifikats ist im Artikel Aktivierung des Code Signing EV Zertifikats beschrieben.
Wie man Software mit einem digitalen Zertifikat signiert
Für die Code-Signierung benötigen Sie zwei Dinge:
- Code Signing Zertifikat
- Unterzeichnungsanwendung
Ein Code Signing Zertifikat erhalten Sie von SSLmarket, und das ist einfach. Die Signaturanwendung wählen Sie basierend auf der Plattform, auf der Sie entwickeln. Zu den beliebtesten und am weitesten verbreiteten Signaturwerkzeugen, die in unserem Supportdokument erläutert sind und bei denen wir Ihnen helfen können, gehören:
- Signtool aus dem Windows SDK (Dokumentation)
- Jarsigner (siehe Blogartikel).
- smctl Utility von DigiCert - empfohlen für KeyLocker (Dokumentation). Es kann z.B. Signtool nutzen und den Signierungsprozess vereinfachen.
Die Mehrheit unserer Kunden entwickelt in einer MS Windows Umgebung und nutzt das Windows SDK. Die Signierung erfolgt dann mit dem Tool signtool.exe. Die Dokumentation zu signtool finden Sie auf der Microsoft-Seite SignTool.exe (Sign Tool).
Signierung mit einem Cloud HSM
Cloud HSMs dienen zur sicheren Speicherung des Code Signing Zertifikats und dem Fernzugriff darauf. Im Gegensatz zu einem Zertificate auf einem Token ermöglichen sie Automatisierung und die Signierung ist sehr schnell, da nur der Datei-Hash in die Cloud geschickt wird (sog. Hash-Signierung).
Wir empfehlen die Signierung mittels Hash-Signierens und der Cloud nachdrücklich gegenüber einem Token. Es ist sicher, schnell und kostengünstig.
Empfohlene Cloud HSMs
- DigiCert KeyLocker
- DigiCert Software Trust Manager
- Azure Key Vault
- GCP Cloud KMS (Google)
- AWS CloudHSM
In den folgenden Abschnitten finden Sie die Vor- und Nachteile der einzelnen Lösungen.
DigiCert KeyLocker
Die günstigste Alternative zum Token ist KeyLocker. Es handelt sich um einen einfachen Service für einen Benutzer, der eine einfache Code-Signierung ermöglicht. DigiCert stellt eigene KSP und PKCS#11 Bibliotheken zur Verfügung, die Sie im System installieren und den Code wie gewohnt signieren. Mit ihrem Dienstprogramm SMCTL ist die Signierung noch einfacher und direkter als mit signtool. SMCTL ist mit den beliebtesten Code Signing Werkzeugen kompatibel und kann sie aufrufen. KeyLocker hat ein Limit von 1000 Signaturen und ist daher für gelegentliches Signieren geeignet. Die Anzahl der Signaturen kann jedoch gegen Gebühr erweitert werden.
DigiCert Software Trust Manager
Dies ist eine erstklassige Cloud-Lösung der Plattform DigiCert ONE, die für den Unternehmenseinsatz konzipiert ist. Sie bietet die Verwaltung einer unbegrenzten Anzahl von Zertifikaten, Benutzern und ist uneingeschränkt skalierbar. Die Einbindung in Ihre CI/CD Plattform erfolgt über bereitgestellte Skripte und Bibliotheken. Der Zugriff auf STM und die Anzahl der Signaturen werden lizenziert. Für mehr Informationen zu Preisen und Lizenzierungsmodellen kontaktieren Sie uns bitte hier. Dokumentation finden Sie auf der DigiCert-Website.
Cloud HSMs von Azure und Google
Beide großen Cloud-Anbieter bieten einen HSM-Dienst mit sicherem Fernzugriff über eigene Bibliotheken, die als KSP in Windows fungieren. Ihre Nutzung ist nicht komplex und der Preis beider ist sehr günstig (es wird nur für Kryptooperationen bezahlt). Wir empfehlen Azure und GCP für eine große Anzahl von Signaturen pro Jahr, weil die Kosten niedrig sind.
Eine Anleitung zur Code-Signierung mit Azure Key Vault finden Sie im Artikel Code-Signierung mit Azure Key Vault. Für das GCP Cloud KMS siehe im Artikel Code-Signierung mit Google Cloud KMS.
AWS CloudHSM
Bei Amazon kann auch eine Signierung per Cloud mit Signtool aus dem Windows SDK durchgeführt werden, das eingerichtete HSM wird jedoch stundenweise berechnet. Zusätzlich zu den festen Kosten werden auch Operationen (Signaturen) berechnet. Wenn Sie AWS bisher nicht verwenden, empfehlen wir eher Azure oder GCP HSM. Weitere Informationen zur Nutzung mit Signtool finden Sie im Artikel Use Microsoft SignTool with Client SDK 3 to sign files.
Vergleich Azure Key Vault vs Google Cloud KMS vs AWS CloudHSM/KMS+HSM
Der Vergleich der drei Cloud HSMs finden Sie in der folgenden Tabelle, die auf die Kosten für Signierungsoperationen (Hash-Signierung), feste Gebühren, Skalierung, geringe Nutzung, Betriebskomplexität und Latenz/Durchsatz fokussiert ist.
| Faktor | Azure Key Vault | Google Cloud KMS | AWS CloudHSM / KMS + HSM |
|---|---|---|---|
| Gebühren pro Operation (sign/verify) | Sehr niedrig (≈ $/10.000 Operationen). | Sehr niedrig (≈ $/10.000 Operationen). | Nicht die Hauptkosten; Hauptkosten sind feste HSM-Gebühren. |
| Feste Kosten | Mögliche monatliche Gebühr für HSM-Schlüssel; ansonsten niedrig. | Keine signifikanten festen Kosten im Basismodus. | Hoch – stündliche Miete für HSM (24/7) oder Custom Key Store. |
| Skalierung und Kapazität | Linear gemäß Transaktionen; durch Throttling begrenzt. | Linear; Vorsicht bei Quoten (QPS/QPM). | Skalierung durch Hinzufügen von HSM; fixer Kostenanteil steigt. |
| Kosten bei geringer Nutzung | Günstig — es wird hauptsächlich für Operationen gezahlt. | Günstig — es wird hauptsächlich für Operationen gezahlt. | Ungünstig — HSM-Kosten fallen auch bei geringer Belastung an. |
| Betriebskomplexität | Niedrig — verwalteter Dienst. | Niedrig — verwalteter Dienst. | Höher — Verwaltung des HSM-Clusters und HA/DR. |
Kontaktieren Sie uns
Wenn Sie bei irgendeinem Schritt der Zertifikatsbestellung, Ausstellung, Installation oder einer anderen Frage Hilfe benötigen, zögern Sie nicht, unseren Kundensupport zu kontaktieren, der Ihnen hilft und berät. Unsere Experten mit DigiCert Security Sales Expert Plus Zertifizierung stehen Ihnen an Werktagen zu den üblichen Arbeitszeiten zur Verfügung.
Sie können uns auch direkt über Ihr Kundenkonto kontaktieren, indem Sie eine Anfrage über das Menü Autorisierte Anfrage senden.
FAQ - Häufig gestellte Fragen
Ist das Code Signing Zertifikat an meinen Domainnamen gebunden?
Nein. Das Code Signing wird nicht für eine Domain ausgestellt, sondern für eine spezifische Organisation. Der Name dieser Organisation steht im Common Name.
Was kann ich alles signieren?
Mit dem DigiCert Code Signing Zertifikat können verschiedene Arten von Software und Skripten signiert werden, um sicherzustellen, dass sie aus einer vertrauenswürdigen Quelle stammen und nach der Ausgabe nicht verändert wurden.
✅ Was signiert werden kann:
- Ausführbare Dateien: .exe, .dll, .ocx, .msi, .cab
- Windows Treiber (WHLK/HLK)
- Java Anwendungen: .jar
- Makros und VBA-Skripte in Microsoft Office
- PowerShell-Skripte: .ps1
- macOS Anwendungen und Pakete (über Apple Developer ID)
- Adobe AIR Anwendungen
- .NET Anwendungen und Bibliotheken
- Skripte und Installationsprogramme in verschiedenen Umgebungen
⚠️ Was nicht signiert werden kann:
- Code, der eine qualifizierte elektronische Signatur gemäß eIDAS erfordert
- Dateien, die nicht zur Verteilung bestimmt sind
- Formate und Plattformen, die keine digitale Signatur unterstützen
Ist der zeitgestempelte Code auch nach Ablauf des Code Signing Zertifikats gültig?
Ja, der zeitgestempelte (timestamped) Code bleibt auch nach Ablauf des Zertifikats gültig. Wenn Sie beim Signieren einen Zeitstempel verwenden, bestätigt das System, dass der Code während der Gültigkeitsdauer des Zertifikats signiert wurde. Dadurch bleibt die Signatur vertrauenswürdig. Ohne Zeitstempel muss der Code erneut mit einem neuen Zertifikat signiert werden.
Wie kann ich VBA-Projekte zeitlich stempeln?
Siehe den Artikel Instructions for timestamping VBA code auf der Webseite von DigiCert.com
Gibt es eine Beschränkung der Anzahl der Anwendungen, die ich mit dem Code Signing Zertifikat signieren kann?
Nein, Sie können mit dem Zertifikat eine unendliche Anzahl von Anwendungen signieren. Wenn Sie ein Code Signing Zertifikat auf einem Token haben, können Sie unbegrenzt signieren. Die Anzahl der Signaturen wird nur in Cloud-Diensten berücksichtigt:
- DigiCert KeyLocker - während der Gültigkeitsdauer des Zertifikats haben Sie 1000 Signaturen, weitere können Sie kaufen.
- Software Trust Manager - Signaturen werden für die Vertragsdauer lizenziert.
Wie wird mit einem Zertifikat in der Cloud signiert?
Die Signierung mit einem Code Signing Zertifikat ist einfach und schnell. Es verwendet das sogenannte Hash-basiertes Signieren, wobei zunächst ein Hash der Datei berechnet wird, der dann zur Signierung in die Cloud geschickt wird. Die Datei selbst wird nicht übertragen – nur der signierte Hash wird zurückgesendet. Dadurch ist der gesamte Prozess sicher und effizient.
Cloud-basiertes Hash-Signing kann mit diesen Produkten verwendet werden:
Es tut uns leid, dass Sie hier für Ihren Bedarf nichts Passendes gefunden haben.
Helfen Sie uns, diesen Artikel zu verbessern. Schreiben Sie uns bitte, was Sie hier erwartet und nicht erfahren haben.