[Løst] Kode signering og sertifisering

[HDSoftware]

Hei folkens

 

Vi har en samarbeidspartner lokalisert i Polen som utvikler en WEB versjon av programmene vi lager for Win32 platformen.  Vi har behov for å signere koden fordi noen opplever problemer med installasjonen av Office Addins, mest sansynligvis på grunn av manglende signering.

 

Så tenker vi at siden vi skal i gang med signering av programmene våre konsulenter i Polen lager, hvorfor ikke signere våre egne i samme slengen. 

 

Såh, hva trenger jeg?

hvordan får jeg til dette?

Kan vi bruke samme sertifikat både hos oss og i Polen?

 

[ahw_]

Jeg har bare erfaring med å signere «native» EXE/DLL-filer, og til signering bruker jeg SignTool fra Microsoft. Jeg har ingen erfaring med Office add-ins, så om signering kan løse problemet vet jeg ikke.

 

Du må ha «code signing certificate» som passer til Windows-programmer og/eller MS Office (VBA, makroer, dokumenter osv), alt etter hva du trenger. Comodo støtter de mest populære formatene.

 

Pass også på at sertifikatet støtter «time-stamping»; dette gjør at eksisterende signerte programmer fortsatt kan stoles på etter at sertifikatet er utgått. Sjekk dette nøye med billige sertifikater, som f.eks. de fra StartCom.

 

Du kan få kjøpt sertifikat billigere via GoGetSSL – jeg har sertifikat fra Comodo.

 

Hvis programmene kun brukes internt i bedriften kan du spare penger på å signere med selv-generert sertifikat; da må CA-sertifikatet (certificate authority) installeres på alle PC'ene som skal kjøre de signerte programmene.

 

Når du har sertifikatet bør du ikke dele det med noen du ikke stoler tilnærmet 100% på. Pass godt på det og ikke la det ligge rundt om kring ukryptert eller med passordet i nærheten – får noen tak i det kan de signere programmer som ser ut som de kommer fra deg og kan stoles på.

 

Hvis dere har en CI-server (continuous integration) og bruker SCM (source code/control management) kan dere sette opp dette med «release management». Planen min ville da vært å ikke dele sertifikatet med noen andre enn den/de som administrerer dette oppsettet. Installér sertifikatet på serveren og få CI-serveren til å signere programmene automatisk. Partnere laster opp koden sin her i stedet for å bygge de endelige filene selv.

 

Slik jeg forstår det får du/dere tilsendt binærfilene fra partnere, og da har du heldigvis god kontroll på sertifikatet og hva som signeres. Jeg ser ikke noen spesiell god grunn til at du ikke kan signere alt med ett og samme sertifikat i dette tilfellet.

 

Nettsiden (eller serveren) må for all del ha sitt eget SSL-sertifikat, og disse kan du også få billigere fra GoGetSSL.

[HDSoftware]

Da blei det Code sertifikat fra GoDaddy.  Ser ut til at dette går bra.  Takker for tipsene.