Inhaltsverzeichnis dieser Seite

Hinweis

Ab dem 1. Juni 2023 erfordern neue Anforderungen des CA/B-Forums, dass alle Code Signing-Zertifikatsschlüssel auf einem HSM oder einem konformen Hardware-Token gespeichert werden. Dies betrifft die Geschäftsfälle Bestellung (Create), Verlängerung (Renew) sowie Neuausstellung (Reissue).  

Bei der Nutzung von Cloud-Diensten klären Sie bitte im Vorfeld mit dem Anbieter, ob die Nutzung mit USB-Token möglich ist. Zusätzlich zu einem USB-Token bietet CA Sectigo auch Luna Network Attached HSM an.
Siehe unten für weitere Details.

Einführung

Code Signing-Zertifikate sind für Entwickler auf allen Plattformen gedacht, um ihre Anwendungen und Software, die sie über das Internet zur Verfügung stellen, digital zu signieren. Ein signierter Code wird mit dem Namen des Herausgebers versehen und bietet somit Schutz vor dem Einbringen von Malware und anderen nachträglichen Veränderungen.

Alle Code Signing-Zertifikate verwenden einen eindeutigen kryptografischen Hash, um die Identität des Herausgebers an die Software zu binden. Sicherheitswarnungen, die bei unsigniertem Code angezeigt werden, werden durch Informationen zum Herausgeber der Software ersetzt. Dadurch wird verhindert, dass verunsicherte User die Installation aus Sicherheitsbedenken abbrechen. Das Signieren von Code fügt dem Installationsvorgang also eine wichtige Vertrauensstufe hinzu.

Code Signing zeigt, dass die signierte Software echt ist, von einem bekannten Software-Anbieter stammt und der Code seit dem Signieren nicht mehr verändert wurde. Zusätzlich wird verhindert, dass der Code nachträglich in böswilliger Absicht geändert und die Identität eines vertrauenswürdigen Software-Anbieters missbraucht wird.

Feature-Übersicht

Hier eine kurze Übersicht zu den Funktionen der Code Signing-Zertifikate:

  • Ein Code Signing-Zertifikat für alle Anwendungen:
    • Microsoft Authenticode
    • Adobe AIR
    • Apple OS X
    • SunJava
    • Mozilla & Netscape Objects
    • Macros & VBA
  • Beseitigt die Sicherheitswarnungen "Unbekannter Herausgeber" beim Download des Codes 
  • Mit dem Time-Stamp-Services bleibt die Signatur auch nach Ablauf des Zertifikats gültig
  • Signiert eine unbegrenzte Anzahl von Anwendungen
  • Schützt Marke und Reputation
MerkmaleCode Signing-ZertifikatEV Code Signing-Zertifikat

Im Zertifikat angezeigte Informationen

Name der FirmaName der Firma
Anschrift der Firma
Art der Firma

Beseitigt die Sicherheitswarnungen "Unbekannter Herausgeber"

(tick)(tick)

Sofortige Zuverlässigkeit bei Microsoft Smartscreen*

(error)(tick)

Signieren einer unbegrenzten Anzahl von Anwendungen

(tick)(tick)

Kompatibel mit gängigen Plattformen (MS Authenticode, Office VBA, Java, Adobe AIR, Mac OS, Mozilla)

(tick)(tick)

Signatur bleibt mit Time-Stamp-Nutzung gültig

Time-Stamp verfügbar und empfohlenTime-Stamp verfügbar und empfohlen

*Bei einem OV Code Signing-Zertifikat setzt Microsoft SmartScreen eine gewisse Reputation der Files voraus wie z.B. eine bestimmte Anzahl an Downloads. Erst dann wird die Signatur vollumfänglich als vertrauenswürdig eingestuft.

 Code Signing-Zertifikate bestellen

DigiCert

  1. Die Bestellung erfolgt über unsere Systeme
  2. Die Bereitstellungsmethode muss ausgewählt werden
    1. Eigenes konformes HSM
      → SafeNet eToken 5110 FIPS (ECC P-256 or P-384)
      → SafeNet eToken 5110 CC (RSA 4096 ECC P-256)
      → SafeNet eToken 5110+ FIPS (RSA 4096 ECC P-256)
    2. Kostenpflichtiger Hardware-Token der CA
  3. Es erfolgt die Verifikation des Unternehmens auf Basis des Handelsregistereintrages und einer telefonischen Verifikation
  4. Der Hardware-Token mit dem vorinstallierten Zertifikat oder eine E-Mail mit Download Link wird versendet. Der Hardware-Token kann nicht mehr abbestellt werden.
  5. Nach der erfolgreichen Ausstellung des Zertifikats wird in unserem System unter den jeweiligen Zertifikatsdetails der sogenannte Hardware Init Code angezeigt. 
    Dieses Initialisierungscode benötigen Sie für die Installation bzw. Initialisierung mit dem DigiCert Hardware Certificate Installer.
  6. Bei einem eigenen HSM muss das Zertifikat auf dem Token installiert werden. 

Hinweis

Sie benötigen für die Installation/Initialisierung des Zertifikats den Safenet Authentification Client und den DigiCert Hardware Certificate Installer (nur für Windows erhältlich).
Bitte stellen Sie sicher, dass Sie immer die neueste Softwareversion verwenden. Ältere Versionen des Safenet-Clients können zu Fehlern mit dem SafeNet eToken 5110+ FIPS führen.

Sectigo

  1. Die Bestellung erfolgt über unsere Systeme.
    Ein CSR wird von unserem System immer angefordert, aber nur dann an die CA weitergeleitet, wenn auch die Bereitstellungsmethode 2a (siehe unten) gewählt wurde, ansonsten wird der CSR verworfen.
    Sectigo verlangt, wenn CN ausgefüllt ist und nicht leer, einen Domainnamen als Wert (sonst Fehler). Wenn der CSR auf der YubiKey- oder Luna-Hardware erstellt wird, wird der Firmenname nicht im CN gespeichert, sondern im Subject und führt daher nicht zu einem Fehler im Sectigo-Backend.
  2. Die Bereitstellungsmethode muss ausgewählt werden
    1. Eigenes konformes HSM mit Key Attestation und CSR
      → YubiKey 5 FIPS Series
      → Luna Network Attached HSM, Version 7.x
    2. Kostenpflichtiger Hardware-Token der CA
  3. Es erfolgt die Verifikation des Unternehmens auf Basis des Handelsregistereintrages und einer telefonischen Verifikation
  4. Der Hardware-Token mit dem vorinstallierten Zertifikat oder eine E-Mail mit Download Link wird versendet. Der Hardware-Token kann nicht mehr abbestellt werden.
  5. Bei einem eigenen HSM muss das Zertifikat auf dem Token installiert werden

Hinweis

Die Key Attestation erfolgt direkt auf dem Hardware-Token und erzeugt ein Zertifikat. Dieses muss bei der Bestellung bzw. Verlängerung oder Reissue im Formular hinterlegt werden.
Bei dieser Bereitstellungsmethode muss auch noch ein CSR mitgeliefert werden. 

GlobalSign

  1. Die Bestellung erfolgt über unsere Systeme
  2. Ein Pickup-Passwort ist zwingend zur Bestellung notwendig
  3. Es erfolgt die Verifikation des Unternehmens auf Basis der OV bzw. EV Richtlinien
  4. Der USB-Token wird von einem Dienstleister mit Sitz in Deutschland versendet
  5. Zeitgleich wird die E-Mail mit Download-Link versendet
  6. Nach Erhalt des USB-Tokens erfolgt der Download des Zertifikates über den SafeNet Authentication Client mit Link und Passwort.
    Das Zertifikat muss innerhalb von 7 Tagen nach einem Reissue und innerhalb von 30 Tagen nach Create/Renew abgerufen werden, andernfalls wird das Zertifikat storniert und kann nicht verwendet werden. 
  7. Nach der Installation ist das Zertifikat einsatzbereit. Mehr Informationen zur Installation finden Sie hier

Hinweis

Der USB-Token wird im Auftrag von GlobalSign von einem Dienstleister mit Sitz in Deutschland verschickt. Das initiale Kennwort des USB-Tokens ist 0000. 
Wir empfehlen vor der Installation des Zertifikates das Kennwort des USB-Tokens mittels SafeNet Authentication Client abzuändern.

Allgemeine Hinweise

Für vereinzelte Anwendungen kann es notwendig werden, das ausgelieferte Code Signing-Zertifikat zu konvertieren. Nutze hierfür Tools wie z. B. das MS SSL ToolKit.
Eine Anleitung für die Nutzung der enthaltenen Time-Stamp-Funktion erhältst du unter den folgenden Links:

DigiCert

GlobalSign

Sectigo


Je nach CA ist die Auslieferung des Code Signing-Zertifikates unterschiedlich.
Bitte beachten Sie, dass zur Installation des Zertifikats ggf. Software lokal installiert werden muss und es Einschränkungen durch das jeweilige Betriebssystem geben kann.


Code Signing-ZertifikatEV Code Signing-ZertifikatSonstiges
DigiCertNeue Methode ab dem 1.6.2023:
Hardware-Token der CA: Zertifikat ist vorinstalliert
Eigener konformer Hardware-Token: Per E-Mail zum Download
-Bei einer Bestellung (Create), Verlängerung (Renew) bzw. Neuausstellung (Reissue) kann ein Hardware-Token optional dazu bestellt werden. Dafür können einmalige Kosten inkl. Versand anfallen; ggf. zzgl. Zollgebühren. 
Empfänger ist immer der administrative Kontakt. Der Versand erfolgt aus der EU und kann bis zu 5 Tage dauern.

Eine Stornierung der Bestellung durch den Nutzer ist erst möglich, nachdem das Zertifikat auf dem Hardware-Token installiert wurde. Alternativ bitte an den Support wenden.

GlobalSignKryptographischer USB-Token (inkl.)Kryptographischer USB-Token (inkl.)Der USB-Token wird beim Create von GlobalSign kostenfrei verschickt und ist im Grundpreis des Zertifikates bereits enthalten. Eine Abbestellung des USB-Tokens ist nicht möglich.
Bei Versand des USB-Tokens außerhalb der EU können unter Umständen Zollgebühren anfallen, die vom Zertifikatsinhaber zu tragen sind.

Das Zertifikat muss innerhalb von 7 Tagen nach einem Reissue und innerhalb von 30 Tagen nach Create/Renew abgerufen werden, andernfalls wird das Zertifikat storniert und kann nicht verwendet werden. 

Für Zertifikate, die vor dem 24. April 2023 ausgestellt wurden, prüft GlobalSign, ob ein Token erforderlich ist und verschickt bei der ersten Verlängerung oder Neuausstellung ebenfalls kostenlos einen Token.
Sectigo

Neue Methode ab dem 1.6.2023:
Hardware-Token der CA: Zertifikat ist vorinstalliert
Eigener konformer Hardware-Token: Per E-Mail zum Download

-

Bei einer Bestellung (Create), Verlängerung (Renew) bzw. Neuausstellung (Reissue) kann ein Hardware-Token optional dazu bestellt werden. Dafür können einmalige Kosten inkl. Versand anfallen; ggf. zzgl. Zollgebühren. 
Empfänger ist immer der administrative Kontakt.
Der Versand erfolgt aus den USA und kann 1-2 Wochen dauern.