Skip to end of metadata
Go to start of metadata

Digicert bietet die Möglichkeit sogenannte Code Signing Zertifikate zum Signieren von bspw. *.exe, *.dll,... Dateien.

Signierprozess:

mit EV Code signing Certificate (auf einem Aladdin eToken)

 

mit Code Signing Certificate:

Quelle: https://www.digicert.com/code-signing/ev-code-signing.htm https://www.digicert.com/code-signing/code-signing.htm [Zugriff am 7.4.2015]

Beispiel

Beispiel example.exe signieren:

 

// Angabe des Zertifikats, Angabe des Verisign Timestamp Server
C:\> signtool.exe sign /f .\Desktop\Codesigning-Zertifikat.pfx /p $Passwort /t http://timestamp.verisign.com/scripts/timstamp.dll '.\example.exe'

//ohne Angabe des Zertifikats, dafür mir Digicert Timestamp Server
C:\> signtool.exe sign /tr http://timestamp.digicert.com /td sha256 /fd sha256 /a "c:\path\to\example.exe"

//Angabe des subject names des Zertifikat, zB "Universität Wien", hierbei ist der Aladdin eToken mit dem entsprechenden EV Zertifikat am Client angesteckt. Beim Signieren wird nach dem Passwort des Tokens gefragt
c:\> signtool.exe sign /tr http://timestamp.digicert.com /td sha256 /fd sha256 /n "Universität Wien" "c:\tmp\example.exe"

Was wird benötigt:

  • das Werkzeug signtool.exe (ist im Windows SDK (https://go.microsoft.com/fwlink/?LinkID=698771) enthalten) zum Signieren
    • x86 -> c:\Program Files (x86)\Windows Kits\10\bin\x86
    • x64 -> c:\Program Files (x86)\Windows Kits\10\bin\x64\
  • PFX-Datei des Code Signing Zertifikats (Code Signing Certificate) bzw, den Hardware Token (eToken mit Code Signing Certificate) samt Zertifikat darauf, 
  • dessen Passphrase
  • optional einen Zeitstempeldienst (zB http://timestamp.digicert.com) 
  • und natürlich die zu signierende Datei (exe, dll, Office-Makro vba,...).

Referenz ua: https://msdn.microsoft.com/en-us/library/windows/desktop/aa388170%28v=vs.85%29.aspx


Beispiel der von Microsoft signierten EXCEL.exe Datei:

Use Cases

U.a. die folgenden Anwendungen können auf mittels Code Signing Zertifikaten signierten Dateien "Entscheidungen" (v.a. die Ausführung der betroffenen Datei) treffen.

Applocker (Application Control, Application Whitelisting)

Mittels sogenannten Applocker Publisher Regeln kann die Ausführung von zB. exe oder dll-Dateien unterbunden werden die nicht eine entsprechende digitale Signatur vorweisen.

Microsoft Office Makros

Zur Verhindung (bei nicht signierten) bzw. zum Erlauben von signierten Office Makros. So ist es möglich, dass in einer gemanagten Windows/Office-Umgebung nur mehr Office Makros ausgeführt werden dürfen, die die entsprechende Signatur vorweisen können.

https://support.office.com/de-de/article/Digitales-Signieren-eines-Makroprojekts-6e5de679-01d4-4387-85e0-92e3e9a49483

Microsoft Windows SmartScreen Filter (reputation)

https://blogs.msdn.microsoft.com/ie/2012/08/14/microsoft-smartscreen-extended-validation-ev-code-signing-certificates/

https://blog.digicert.com/ms-smartscreen-application-reputation/

Digicert-Doku dazu

https://www.digicert.com/code-signing/ev-code-signing-certificate-installation.htm#pre-assigned-password

https://www.digicert.com/StaticFiles/SafeNetAuthenticationClient-x32-x64.exe (Safenet Authentication Client Download, nötig für die Aktivierung des Aladdin eTokens auf dem das EV Zertifikat ist)

https://www.digicert.com/code-signing/safenet-client-installation.htm (Doku zur Aktivierung des Aladdin eToken)

https://www.digicert.com/code-signing/ev-authenticode-certificates.htm

 

 

 

  • No labels