Sign Executables or MSI Packages with Code Sign Certificate

Signieren von Installationspaketen

Intern programmierte Software, selbst erstellte Installationspakete oder auch Skripte sollten zum Schutz immer signiert werden. Das schafft Vertrauen!

Signaturen stehen als Garantie für Integrität und Vertrauenswürdigkeit.

Sign Executables or MSI Packages with Code Sign Certificate

Zuerst erstellen wir mit wenigen Handgriffen ein Code Signing Zertifikat, die Befehle dazu findet ihr unten in der Box.

Danach setzen wir zum Signieren einer Anwendung o.ä. das SignTool aus dem Windows 10 SDK ein. Das Signtool könnt ihr auch direkt hier bei mir herunterladen.

Danach entscheidet ihr euch, ob ihr mit oder ohne Zeistempel signieren möchtet. Die Befehle dazu lauten z.B. wie folgt:

.\Signtool.exe sign /tr http://timestamp.digicert.com /td sha256 /fd sha256 /f “C:\Temp\SIGNCERT.pfx” /p sign “C:\Temp\CBMSI-Upgrade.msi”

.\Signtool.exe sign /td sha256 /fd sha256 /f “C:\Temp\SIGNCERT.pfx” /p sign “C:\Temp\CBMSI-Upgrade.msi”

Was ist ein Zeitstempel

Ein Time-Stamp (Zeitstempel) ist eine spezielle Form der digitalen Signatur, welche eine zuverlässige Zeitinformation enthält und damit den genauen Zeitpunkt der Signatur eines Programms/einer Applikation bestätigt. Somit ist sichergestellt, dass die Vertrauenswürdigkeit der Signatur nicht zeitgleich mit dem Code Signing-Zertifikat abläuft.

Das bedeutet, auch wenn ein Code Signing-Zertifikat abläuft, weiß der Time-Stamp-Dienst, dass die Signatur der Software zum Zeitpunkt der Signierung gültig war. Somit bleibt die Signatur auch über das Laufzeitende des Code Signing-Zertifikats hinaus gültig.