[SSL & S/MIME] All Content FeedConfluence Syndication Feedhttps://help.internetx.comCode-Signing-ZertifikateProduktManagementtag:help.internetx.com,2009:page-116129805-232024-03-28T09:09:52Z2023-05-26T07:39:25Z<div class="feed"> <p>
Page
<b>edited</b> by
<a href=" https://help.internetx.com/display/~produktmanagement
">ProduktManagement</a>
</p>
<div style="border-top: 1px solid #ddd; border-bottom: 1px solid #ddd; padding: 10px;">
<div class="contentLayout2">
<div class="columnLayout single" data-layout="single">
<div class="cell normal" data-type="normal">
<div class="innerCell">
<div class="panel" style="border-width: 1px;"><div class="panelHeader" style="border-bottom-width: 1px;background-color: #E44313;color: #FFFFFF;"><b>Inhaltsverzeichnis dieser Seite</b></div><div class="panelContent">
<p><style type='text/css'>/*<![CDATA[*/
div.rbtoc1711724281827 {padding: 0px;}
div.rbtoc1711724281827 ul {list-style: none !important;margin-left: 0px;}
div.rbtoc1711724281827 li {margin-left: 0px;padding-left: 0px;}
/*]]>*/</style><div class='toc-macro rbtoc1711724281827'>
<ul class='toc-indentation'>
<li><span class='TOCOutline'>1</span> <a href='#CodeSigningZertifikate-Einführung'>Einführung</a></li>
<li><span class='TOCOutline'>2</span> <a href='#CodeSigningZertifikate-Feature-Übersicht'>Feature-Übersicht</a></li>
<li><span class='TOCOutline'>3</span> <a href='#CodeSigningZertifikate-CodeSigning-Zertifikatebestellen'>Code Signing-Zertifikate bestellen</a>
<ul class='toc-indentation'>
<li><span class='TOCOutline'>3.1</span> <a href='#CodeSigningZertifikate-DigiCert'>DigiCert</a></li>
<li><span class='TOCOutline'>3.2</span> <a href='#CodeSigningZertifikate-Sectigo'>Sectigo</a></li>
<li><span class='TOCOutline'>3.3</span> <a href='#CodeSigningZertifikate-GlobalSign'>GlobalSign</a></li>
</ul>
</li>
<li><span class='TOCOutline'>4</span> <a href='#CodeSigningZertifikate-AllgemeineHinweise'>Allgemeine Hinweise</a></li>
</ul>
</div></p>
</div></div></div>
</div>
</div>
<div class="columnLayout single" data-layout="single">
<div class="cell normal" data-type="normal">
<div class="innerCell">
<div class="confluence-information-macro confluence-information-macro-note"><p class="title conf-macro-render">Hinweis</p><span class="aui-icon aui-icon-small aui-iconfont-warning confluence-information-macro-icon"></span><div class="confluence-information-macro-body"><p>Ab dem 1. Juni 2023 erfordern neue Anforderungen des CA/B-Forums, dass alle Code Signing-Zertifikatsschlüssel auf einem HSM oder einem konformen Hardware-Token gespeichert werden. Dies betrifft die Geschäftsfälle Bestellung (Create), Verlängerung (Renew) sowie Neuausstellung (Reissue). </p><p>Bei der Nutzung von Cloud-Diensten klären Sie bitte im Vorfeld mit dem Anbieter, ob die Nutzung mit <strong>USB-Token</strong> möglich ist. Zusätzlich zu einem USB-Token bietet CA Sectigo auch Luna Network Attached HSM an.<br/><span style="letter-spacing: 0.0px;">Siehe unten für weitere Details.</span></p></div></div><h1 id="CodeSigningZertifikate-Einführung">Einführung</h1><p><span>Code Signing-Zertifikate sind für Entwickler auf allen Plattformen gedacht, um ihre Anwendungen und Software, die sie über das Internet zur Verfügung stellen, digital zu signieren. Ein signierter Code wird mit dem Namen des Herausgebers versehen und bietet somit Schutz vor dem Einbringen von Malware und anderen nachträglichen Veränderungen.</span></p><p><span>Alle Code Signing-Zertifikate verwenden einen eindeutigen kryptografischen Hash, um die Identität des Herausgebers an die Software zu binden. Sicherheitswarnungen, die bei unsigniertem Code angezeigt werden, werden durch Informationen zum Herausgeber der Software ersetzt. Dadurch wird verhindert, dass verunsicherte User die Installation aus Sicherheitsbedenken abbrechen. Das Signieren von Code fügt dem Installationsvorgang also eine wichtige Vertrauensstufe hinzu.</span></p><p><span>Code Signing zeigt, dass die signierte Software echt ist, von einem bekannten Software-Anbieter stammt und der Code seit dem Signieren nicht mehr verändert wurde. Zusätzlich wird verhindert, dass der Code nachträglich in böswilliger Absicht geändert und die Identität eines vertrauenswürdigen Software-Anbieters missbraucht wird.</span></p></div>
</div>
</div>
<div class="columnLayout single" data-layout="single">
<div class="cell normal" data-type="normal">
<div class="innerCell">
<h1 id="CodeSigningZertifikate-Feature-Übersicht">Feature-Übersicht</h1><p><span>Hier eine kurze Übersicht zu den Funktionen der Code Signing-Zertifikate:</span></p><ul><li><span>Ein Code Signing-Zertifikat für alle Anwendungen:</span><ul><li><span>Microsoft Authenticode</span></li><li><span>Adobe AIR</span></li><li><span>Apple OS X</span></li><li><span>SunJava</span></li><li><span>Mozilla & Netscape Objects</span></li><li><span>Macros & VBA</span></li></ul></li><li><span>Beseitigt die Sicherheitswarnungen "Unbekannter Herausgeber" beim Download des Codes </span></li><li><span>Mit dem Time-Stamp-Services bleibt die Signatur auch nach Ablauf des Zertifikats gültig</span></li><li><span>Signiert eine unbegrenzte Anzahl von Anwendungen</span></li><li><span>Schützt Marke und Reputation</span></li></ul></div>
</div>
</div>
<div class="columnLayout single" data-layout="single">
<div class="cell normal" data-type="normal">
<div class="innerCell">
<div class="table-wrap"><table class="wrapped fixed-width confluenceTable" style="width: 1119.0px;"><colgroup><col style="width: 532.0px;"/><col style="width: 293.0px;"/><col style="width: 293.0px;"/></colgroup><tbody><tr><th class="confluenceTh"><strong>Merkmale</strong></th><th style="text-align: center;" class="confluenceTh">Code Signing-Zertifikat</th><th style="text-align: center;" class="confluenceTh">EV Code Signing-Zertifikat</th></tr><tr><th class="confluenceTh"><p>Im Zertifikat angezeigte Informationen</p></th><td style="text-align: center;" class="confluenceTd">Name der Firma</td><td style="text-align: center;" class="confluenceTd">Name der Firma<br/>Anschrift der Firma<br/>Art der Firma</td></tr><tr><th class="confluenceTh"><p>Beseitigt die Sicherheitswarnungen "Unbekannter Herausgeber"</p></th><td style="text-align: center;" class="confluenceTd"><img class="emoticon emoticon-tick" src="https://help.internetx.com/s/7dbtaz/8804/pkry9k/_/images/icons/emoticons/check.svg" data-emoticon-name="tick" alt="(tick)" /></td><td style="text-align: center;" class="confluenceTd"><img class="emoticon emoticon-tick" src="https://help.internetx.com/s/7dbtaz/8804/pkry9k/_/images/icons/emoticons/check.svg" data-emoticon-name="tick" alt="(tick)" /></td></tr><tr><th class="confluenceTh"><p>Sofortige Zuverlässigkeit bei Microsoft Smartscreen*</p></th><td style="text-align: center;" class="confluenceTd"><img class="emoticon emoticon-cross" src="https://help.internetx.com/s/7dbtaz/8804/pkry9k/_/images/icons/emoticons/error.svg" data-emoticon-name="cross" alt="(error)" /></td><td style="text-align: center;" class="confluenceTd"><img class="emoticon emoticon-tick" src="https://help.internetx.com/s/7dbtaz/8804/pkry9k/_/images/icons/emoticons/check.svg" data-emoticon-name="tick" alt="(tick)" /></td></tr><tr><th class="confluenceTh"><p>Signieren einer unbegrenzten Anzahl von Anwendungen</p></th><td style="text-align: center;" class="confluenceTd"><img class="emoticon emoticon-tick" src="https://help.internetx.com/s/7dbtaz/8804/pkry9k/_/images/icons/emoticons/check.svg" data-emoticon-name="tick" alt="(tick)" /></td><td style="text-align: center;" class="confluenceTd"><img class="emoticon emoticon-tick" src="https://help.internetx.com/s/7dbtaz/8804/pkry9k/_/images/icons/emoticons/check.svg" data-emoticon-name="tick" alt="(tick)" /></td></tr><tr><th class="confluenceTh"><p>Kompatibel mit gängigen Plattformen (MS Authenticode, Office VBA, Java, Adobe AIR, Mac OS, Mozilla)</p></th><td style="text-align: center;" class="confluenceTd"><img class="emoticon emoticon-tick" src="https://help.internetx.com/s/7dbtaz/8804/pkry9k/_/images/icons/emoticons/check.svg" data-emoticon-name="tick" alt="(tick)" /></td><td style="text-align: center;" class="confluenceTd"><img class="emoticon emoticon-tick" src="https://help.internetx.com/s/7dbtaz/8804/pkry9k/_/images/icons/emoticons/check.svg" data-emoticon-name="tick" alt="(tick)" /></td></tr><tr><th class="confluenceTh"><p>Signatur bleibt mit Time-Stamp-Nutzung gültig</p></th><td style="text-align: center;" class="confluenceTd">Time-Stamp verfügbar und empfohlen</td><td style="text-align: center;" class="confluenceTd">Time-Stamp verfügbar und empfohlen</td></tr></tbody></table></div><p>*Bei einem OV Code Signing-Zertifikat setzt Microsoft SmartScreen eine gewisse Reputation der Files voraus wie z.B. eine bestimmte Anzahl an Downloads. Erst dann wird die Signatur vollumfänglich als vertrauenswürdig eingestuft.</p></div>
</div>
</div>
<div class="columnLayout single" data-layout="single">
<div class="cell normal" data-type="normal">
<div class="innerCell">
<h1 id="CodeSigningZertifikate-CodeSigning-Zertifikatebestellen"> Code Signing-Zertifikate bestellen</h1><h2 id="CodeSigningZertifikate-DigiCert"><strong>DigiCert</strong></h2><ol><li><span>Die Bestellung erfolgt über unsere Systeme</span></li><li>Die Bereitstellungsmethode muss ausgewählt werden<ol><li>Eigenes konformes HSM<br/><span style="color: rgb(36,41,46);">→ SafeNet eToken 5110 FIPS (ECC P-256 or P-384)<br/>→ SafeNet eToken 5110 CC (RSA 4096 ECC P-256)<br/>→ SafeNet eToken 5110+ FIPS (RSA 4096 ECC P-256)<br/></span></li><li>Kostenpflichtiger Hardware-Token der CA</li></ol></li><li><span>Es erfolgt die Verifikation des Unternehmens auf Basis des Handelsregistereintrages und einer telefonischen Verifikation</span></li><li><span>Der Hardware-Token mit dem vorinstallierten Zertifikat oder eine E-Mail mit Download Link wird versendet. Der Hardware-Token kann nicht mehr abbestellt werden.<br/></span></li><li><span>Nach der erfolgreichen Ausstellung des Zertifikats wird in unserem System unter den jeweiligen Zertifikatsdetails der sogenannte <strong><span style="color: rgb(0,0,0);">Hardware Init Code</span></strong> angezeigt. <br/>Dieses Initialisierungscode benötigen Sie für die Installation bzw. Initialisierung mit dem DigiCert Hardware Certificate Installer.</span></li><li><span>Bei einem eigenen HSM muss das Zertifikat auf dem Token installiert werden. <br/></span></li></ol><div class="confluence-information-macro confluence-information-macro-note"><p class="title conf-macro-render">Hinweis</p><span class="aui-icon aui-icon-small aui-iconfont-warning confluence-information-macro-icon"></span><div class="confluence-information-macro-body"><p>Sie benötigen für die Installation/Initialisierung des Zertifikats den <a href="https://knowledge.digicert.com/generalinformation/INFO1982.html" class="external-link">Safenet Authentification Client</a> und den <a href="https://www.digicert.com/StaticFiles/DigiCertHardwareCertificateInstaller.zip" class="external-link">DigiCert Hardware Certificate Installer</a> (nur für Windows erhältlich).<br/>Bitte stellen Sie sicher, dass Sie immer die neueste Softwareversion verwenden. Ältere Versionen des Safenet-Clients können zu Fehlern mit dem SafeNet eToken 5110+ FIPS führen.</p></div></div><h2 id="CodeSigningZertifikate-Sectigo">Sectigo</h2><ol><li><span>Die Bestellung erfolgt über unsere Systeme.<br/>Ein CSR wird von unserem System immer angefordert, aber nur dann an die CA weitergeleitet, wenn auch die Bereitstellungsmethode 2a (siehe unten) gewählt wurde, ansonsten wird der CSR verworfen.<br/>Sectigo verlangt, wenn CN ausgefüllt ist und nicht leer, einen Domainnamen als Wert (sonst Fehler). Wenn der CSR auf der YubiKey- oder Luna-Hardware erstellt wird, wird der Firmenname nicht im CN gespeichert, sondern im Subject und führt daher nicht zu einem Fehler im Sectigo-Backend.<br/></span></li><li><span>Die Bereitstellungsmethode muss ausgewählt werden</span><ol><li><span>Eigenes konformes HSM mit <strong>Key Attestation und CSR</strong><br/>→ YubiKey 5 FIPS Series<br/>→ Luna Network Attached HSM, Version 7.x</span></li><li><span>Kostenpflichtiger Hardware-Token der CA</span></li></ol></li><li><span>Es erfolgt die Verifikation des Unternehmens auf Basis des Handelsregistereintrages und einer telefonischen Verifikation</span></li><li><span>Der Hardware-Token mit dem vorinstallierten Zertifikat oder eine E-Mail mit Download Link wird versendet. Der Hardware-Token kann nicht mehr abbestellt werden.<br/></span></li><li><span>Bei einem eigenen HSM muss das Zertifikat auf dem Token installiert werden</span></li></ol><div class="confluence-information-macro confluence-information-macro-note"><p class="title conf-macro-render">Hinweis</p><span class="aui-icon aui-icon-small aui-iconfont-warning confluence-information-macro-icon"></span><div class="confluence-information-macro-body"><p><span>Die <strong>Key Attestation</strong> erfolgt direkt auf dem Hardware-Token und erzeugt ein Zertifikat. Dieses muss bei der Bestellung bzw. Verlängerung oder Reissue im Formular hinterlegt werden.<br/>Bei dieser Bereitstellungsmethode muss auch noch ein CSR mitgeliefert werden. </span></p></div></div><h2 id="CodeSigningZertifikate-GlobalSign"><strong>GlobalSign</strong></h2><ol><li><span>Die Bestellung erfolgt über unsere Systeme</span></li><li><span>Ein Pickup-Passwort ist zwingend zur Bestellung notwendig</span></li><li><span>Es erfolgt die Verifikation des Unternehmens auf Basis der</span><a href="https://help.internetx.com/display/SSL/Zertifikats-Typen+und+Validierung"><span> </span><span>OV bzw. EV Richtlinien</span></a></li><li><span>Der USB-Token wird von einem Dienstleister mit Sitz in Deutschland versendet</span></li><li><span>Zeitgleich wird die E-Mail mit Download-Link versendet</span></li><li><span>Nach Erhalt des USB-Tokens erfolgt der Download des Zertifikates über den</span><a href="https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers" class="external-link"><span> </span><span>SafeNet Authentication Client</span></a><span> mit Link und Passwort.<br/>Das Zertifikat muss innerhalb von 7 Tagen nach einem Reissue und innerhalb von 30 Tagen nach Create/Renew abgerufen werden, andernfalls wird das Zertifikat storniert und kann nicht verwendet werden. <br/></span></li><li><span>Nach der Installation ist das Zertifikat einsatzbereit. Mehr Informationen zur Installation finden Sie <a href="https://support.globalsign.com/code-signing/download-and-install-standard-code-signing-certificate" class="external-link">hier</a></span></li></ol><div class="confluence-information-macro confluence-information-macro-note"><p class="title conf-macro-render">Hinweis</p><span class="aui-icon aui-icon-small aui-iconfont-warning confluence-information-macro-icon"></span><div class="confluence-information-macro-body"><p><span>Der USB-Token wird im Auftrag von GlobalSign von einem Dienstleister mit Sitz in Deutschland verschickt. Das initiale Kennwort des USB-Tokens ist </span><strong><em>0000.</em></strong> <br/><span>Wir empfehlen vor der Installation des Zertifikates das Kennwort des USB-Tokens mittels</span><a href="https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers" class="external-link"><span> </span><span>SafeNet Authentication Client</span></a><span> abzuändern.<br/></span></p></div></div></div>
</div>
</div>
<div class="columnLayout single" data-layout="single">
<div class="cell normal" data-type="normal">
<div class="innerCell">
<h1 id="CodeSigningZertifikate-AllgemeineHinweise">Allgemeine Hinweise</h1><p><span>Für vereinzelte Anwendungen kann es notwendig werden, das ausgelieferte Code Signing-Zertifikat zu konvertieren. Nutze hierfür Tools wie z. B. das MS SSL ToolKit.</span><br/><span style="letter-spacing: 0.0px;"><span>Eine Anleitung für die Nutzung der enthaltenen Time-Stamp-Funktion erhältst du unter den folgenden Links:</span></span></p><div class="table-wrap"><table class="relative-table wrapped confluenceTable" style="width: 23.7762%;"><colgroup><col style="width: 33.8698%;"/><col style="width: 36.1897%;"/><col style="width: 29.4766%;"/></colgroup><tbody><tr><th style="text-align: center;" scope="col" class="confluenceTh"><p><a href="https://knowledge.digicert.com/generalinformation/INFO1119.html" class="external-link">DigiCert</a></p></th><th style="text-align: center;" scope="col" class="confluenceTh"><p><a href="https://support.globalsign.com/code-signing/ev-code-signing-windows-7-and-8" class="external-link">GlobalSign</a></p></th><th style="text-align: center;" scope="col" class="confluenceTh"><p><a href="https://sectigo.com/knowledge-base/detail/Time-Stamp-Server-Stamping-Protocols-for-Digital-Signatures-Code-Signing/kA01N000000zGM2" class="external-link">Sectigo</a></p></th></tr></tbody></table></div><br/><p><span style="letter-spacing: 0.0px;">Je nach CA ist die Auslieferung des Code Signing-Zertifikates unterschiedlich. <br/>Bitte beachten Sie, dass zur Installation des Zertifikats ggf. Software lokal installiert werden muss und es Einschränkungen durch das jeweilige Betriebssystem geben kann.</span></p><div class="table-wrap"><table class="wrapped relative-table confluenceTable" style="width: 90.0633%;"><colgroup><col style="width: 9.14366%;"/><col style="width: 30.1741%;"/><col style="width: 17.5164%;"/><col style="width: 43.1159%;"/></colgroup><tbody><tr><th class="confluenceTh"><br/></th><th style="text-align: center;" class="confluenceTh"><strong>Code Signing-Zertifikat</strong></th><th style="text-align: center;" class="confluenceTh"><strong>EV Code Signing-Zertifikat</strong></th><th style="text-align: center;" class="confluenceTh"><strong>Sonstiges</strong></th></tr><tr><th class="confluenceTh"><strong>DigiCert</strong></th><td style="text-align: left;" class="confluenceTd"><span style="color: rgb(255,102,0);"><strong>Neue Methode ab dem 1.6.2023:<br/></strong><span style="color: rgb(0,0,0);">Hardware-Token der CA: Zertifikat ist vorinstalliert</span><br/><span style="color: rgb(0,0,0);">Eigener konformer Hardware-Token: Per E-Mail zum Download</span><strong><br/></strong></span></td><td style="text-align: left;" class="confluenceTd">-</td><td style="text-align: left;" class="confluenceTd">Bei einer Bestellung (Create), Verlängerung (Renew) bzw. Neuausstellung (Reissue) kann ein Hardware-Token optional dazu bestellt werden. Dafür können einmalige Kosten inkl. Versand anfallen; ggf. zzgl. Zollgebühren. <br/>Empfänger ist immer der administrative Kontakt. Der Versand erfolgt aus der EU und kann bis zu 5 Tage dauern.<br/><p><em>Eine Stornierung der Bestellung durch den Nutzer ist erst möglich, nachdem das Zertifikat auf dem Hardware-Token installiert wurde.</em> <em>Alternativ bitte an den Support wenden.</em></p></td></tr><tr><th class="confluenceTh"><strong>GlobalSign</strong></th><td style="text-align: left;" class="confluenceTd">Kryptographischer USB-Token (inkl.)</td><td style="text-align: left;" class="confluenceTd">Kryptographischer USB-Token (inkl.)</td><td style="text-align: left;" class="confluenceTd"><span>Der USB-Token wird beim Create von GlobalSign kostenfrei verschickt und ist im Grundpreis des Zertifikates bereits enthalten. Eine Abbestellung des USB-Tokens ist nicht möglich.<br/><span style="color: rgb(25,25,25);">Bei Versand des USB-Tokens außerhalb der EU können </span><span style="color: rgb(0,0,0);">unter Umständen Zollgebühren anfallen, die vom Zertifikatsinhaber zu tragen sind.<br/><br/>Das Zertifikat muss innerhalb von 7 Tagen nach einem Reissue und innerhalb von 30 Tagen nach Create/Renew abgerufen werden, andernfalls wird das Zertifikat storniert und kann nicht verwendet werden. <br/><br/><em>Für Zertifikate, die vor dem 24. April 2023 ausgestellt wurden, prüft GlobalSign, ob ein Token erforderlich ist und verschickt bei der ersten Verlängerung oder Neuausstellung ebenfalls kostenlos einen Token.</em><br/></span></span></td></tr><tr><th class="confluenceTh"><strong>Sectigo</strong></th><td style="text-align: left;" class="confluenceTd"><p><span style="color: rgb(255,102,0);"><strong>Neue Methode ab dem 1.6.2023:<span style="color: rgb(0,0,0);"><br/></span></strong><span style="color: rgb(0,0,0);">Hardware-Token der CA: Zertifikat ist vorinstalliert</span><br/><span style="color: rgb(0,0,0);">Eigener konformer Hardware-Token: Per E-Mail zum Download</span></span></p></td><td style="text-align: left;" class="confluenceTd">-</td><td style="text-align: left;" class="confluenceTd"><p class="p1">Bei einer Bestellung (Create), Verlängerung (Renew) bzw. Neuausstellung (Reissue) kann ein Hardware-Token optional dazu bestellt werden. Dafür können einmalige Kosten inkl. Versand anfallen; ggf. zzgl. Zollgebühren. <br/>Empfänger ist immer der administrative Kontakt.<br/>Der Versand erfolgt aus den USA und kann 1-2 Wochen dauern.</p></td></tr></tbody></table></div></div>
</div>
</div>
</div>
</div>
<div style="padding: 10px 0;">
<a href="https://help.internetx.com/display/SSL/Code-Signing-Zertifikate">View Online</a>
·
<a href="https://help.internetx.com/pages/diffpagesbyversion.action?pageId=116129805&revisedVersion=23&originalVersion=22">View Changes Online</a>
</div>
</div>ProduktManagement2023-05-26T07:39:25Z