Autor Téma: Code signing certifikát  (Přečteno 727 krát)

Offline vandrovnik

  • Padawan
  • ******
  • Příspěvků: 1580
  • Karma: 52
    • Verze Delphi: 11.3
Code signing certifikát
« kdy: 14-02-2024, 11:39:12 »
Ahoj,

po půlce března mi končí platnost code signing certifikátu, takže mne nemine shánět nový. Neřešil jste to prosím někdo teď nedávno a nemáte tip na nějaký použitelný a levný? Ideálně aby se podepisování dalo automatizovat a nebylo nutné pro každý podepsaný soubor někde něco ručně zadávat...

Díky, K.

Offline Radek Červinka

  • Administrátoři
  • Padawan
  • *****
  • Příspěvků: 3481
  • Karma: 112
    • Verze Delphi: D2007, DXE + 2 poslední
    • O Delphi v češtině
Re:Code signing certifikát
« Odpověď #1 kdy: 14-02-2024, 11:46:03 »
SafeNet Authentication Client umi zapamatovat heslo, a jde to automatizovat. Vyzkouseno.

kolega mi doporucoval jako levny https://order.leadertelecom.biz/en/products 
 (Sectigo (Comodo) Code Signing-certificate)
ale zatim jsem to neresil
Embarcadero MVP - Czech republic

Offline vandrovnik

  • Padawan
  • ******
  • Příspěvků: 1580
  • Karma: 52
    • Verze Delphi: 11.3
Re:Code signing certifikát
« Odpověď #2 kdy: 14-02-2024, 11:55:21 »
Díky; já pošilhávám po Certum, mají i variantu bez USB tokenu, která je o poznání levnější, jen nevím, jestli z toho neplynou nějaké následné komplikace...

Offline Radek Červinka

  • Administrátoři
  • Padawan
  • *****
  • Příspěvků: 3481
  • Karma: 112
    • Verze Delphi: D2007, DXE + 2 poslední
    • O Delphi v češtině
Re:Code signing certifikát
« Odpověď #3 kdy: 14-02-2024, 12:00:57 »
Posli odkaz please, mne to zajima, podle mne to bez USB tokenu, resp. nejakeho podobneho zarizeni nejde (existuji i cloud verze, ale to je drahe jak cert).
Embarcadero MVP - Czech republic

Offline vandrovnik

  • Padawan
  • ******
  • Příspěvků: 1580
  • Karma: 52
    • Verze Delphi: 11.3
Re:Code signing certifikát
« Odpověď #4 kdy: 14-02-2024, 12:26:18 »

Offline Jan Fiala

  • Hrdina
  • ****
  • Příspěvků: 442
  • Karma: 6
    • Verze Delphi: 10.4.1
    • PSPad editor
Re:Code signing certifikát
« Odpověď #5 kdy: 22-02-2024, 05:24:45 »
Ja pujdu, az mi vyprsi do te drazsi varianty certifikatu. Je vetsi opruz ho ziskat, ale pak jej u MS staci zaregistrovat a o celou analytiku se postara MS automaticky v ramci Windows

Offline vandrovnik

  • Padawan
  • ******
  • Příspěvků: 1580
  • Karma: 52
    • Verze Delphi: 11.3
Re:Code signing certifikát
« Odpověď #6 kdy: 19-03-2024, 17:50:15 »
Excellent
Rated 1 time
Ahoj, tak pro info: koupil jsem CodeSigning certifikát od Certum, konkrétně "Standard Code Signing - set". Objednáno 28. února, certifikát funkční 14. března. Zkušenosti:

+ cena (včetně poštovného a čtečky): 394 EUR bez DPH, tj. +- 9954 Kč s dnešním kurzem, je na 3 roky

+ ověření: stačilo nahrát naskenovanou občanku; nikdo nevolal, nechtěli nic s ověřeným podpisem apod., takže oproti minulému certifikátu mnohem menší opruz

- nepodporují automatizaci podepisování

Na můj vkus docela dlouho trvalo, než poslali čtečku karet a kartu. Webové stránky jsou asi o chlup přehlednější, než co jsem zažil při minulém certifikátu, ale jak v problematice nejsem zrovna kovaný, byl to stejně trochu boj, co kde najít a co kdy kde vyplnit a odklikat. Info linka reaguje za 1-2 pracovní dny.

Ke čtečce (velikostně zhruba jako flash disk) přišel pidi návod a velká plastová karta, ze které se musí vylomit malá kartička (velikosti SIM). Čtečku je třeba otevřít - bez návodu si člověk není zrovna jistý, kde a jakou silou zapáčit, ale návod se dal někde vygooglit. Kartu vsunout správně orientovanou - sice má šikmý jeden růžek, ten s tou orientací ale nijak nepomáhá a spíše mate.

Signtool.exe volám v podstatě stejně jako u minulého certifikátu, používám něco takového:
"C:\Program Files (x86)\Windows Kits\10\bin\10.0.19041.0\x86\signtool.exe" sign /sha1 "02cc....." /as /fd sha256 /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp /du "https://www....." %1
Pak vyskočí okno, kde je potřeba zadat PIN, a aplikace se podepíše.

Abych nemusel PIN vyplňovat ručně, napsal jsem si aplikaci SignToolCertum, která zavolá signtool.exe, počká, až vyskočí okno pro zadání PINu, a ten PIN do něj pomocí SendInput pošle.
SignToolCertum.exe /pin MujTajnyPin /signtool "C:\Program Files (x86)\Windows Kits\10\bin\10.0.19041.0\x86\signtool.exe" sign /sha1 "02cc....." /as /fd sha256 /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp /du "https://www....." %1

Pro mé potřeby to stačí, kdyby někdo měl nějaké sofistikovanější řešení, kdy třeba kompiluje, aniž by byl uživatel přihlášený, tak by mu to předpokládám obejít nešlo. Pokud byste někdo uvažoval o certifikátu od Certum, můžu tohle šidítko pro automatizaci podpisu poskytnout (a zadarmo :-)).

K.


Offline Jan Fiala

  • Hrdina
  • ****
  • Příspěvků: 442
  • Karma: 6
    • Verze Delphi: 10.4.1
    • PSPad editor
Re:Code signing certifikát
« Odpověď #7 kdy: 20-03-2024, 11:20:05 »
Já uvažuju o EV certifikátu. Nevím, jestli ten standard umožňuje registraci u MS a pak využívat analytiku ve Windows k trackování aplikace bez nutnosti mít v aplikaci nějaký kód.
Jen to znamená na 3 roky dvojnásobek peněz a určitě bude větší opruz při vydávání  :-(