Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | |||
de:dfnpki:faq:codesigning [2018/06/01 14:56] – Heike Ausserfeld | de:dfnpki:faq:codesigning [Unbekanntes Datum] (aktuell) – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ~~NOTOC~~ | ||
- | ===== Fragen und Antworten zum Code-Signing mit Zertifikaten aus der DFN-PKI ===== | ||
- | |||
- | {{INLINETOC 3-4}} | ||
- | |||
- | ===1. Was ist Code-Signing und Object-Signing? | ||
- | |||
- | Code-Signing oder auch Object-Signing ist das Signieren von Programm- oder Skript-Code, | ||
- | Code-Signing gibt es für Java Applets, Java Web-Start-Applikationen, | ||
- | |||
- | ===2. Welche Code-Signing Umgebungen unterstützt die DFN-PKI?=== | ||
- | |||
- | In der DFN-PKI wird Java Code-Signing im Sicherheitsniveau „Global” voll unterstützt. | ||
- | |||
- | Microsoft Windows Code-Signing (egal für welchen Einsatzzweck) wird nicht direkt unterstützt, | ||
- | |||
- | Android Apps werden insbesondere für den Google Play Store mit selbst-signierten Zertifikaten signiert, die direkt durch die Entwicklerwerkzeuge generiert werden. Daher gibt es keine Notwendigkeit, | ||
- | |||
- | ===3. Wie wird ein Code-Signing Zertifikat beantragt? | ||
- | |||
- | Code-Signing-Zertifikate können folgendermaßen über die CA Ihrer Einrichtung bezogen werden: | ||
- | |||
- | * Beantragen Sie das Code-Signing Zertifikat mit Ihrem Webbrowser über den Antragsweg „Nutzerzertifikat”. Wählen Sie als Namen im Zertifikat //„PN: <Vorname Nachname> | ||
- | * Duch die Beantragung wird in Ihrem Webbrowser ein privater Schlüssel erzeugt. | ||
- | * Teilen Sie Ihrem Teilnehmerservice bei Abgabe des unterschriebenen Papier-Antrages mit, dass Sie ein Code-Signing Zertifikat benötigen, damit der Teilnehmerservice das korrekte Zertifikatsprofil setzen kann. | ||
- | * Nach der Ausstellung des Code-Signing Zertifikats erhalten Sie eine E-Mail. Folgen Sie der Anleitung in der E-Mail, um alle CA-Zertifikate und das neue Zertifikat korrekt in Ihren Webbrowser zu importieren. | ||
- | * Exportieren Sie das Zertifikat zusammen mit dem privaten Schlüssel über den Zertifikatmanager des Browsers als PKCS# | ||
- | * Löschen Sie anschließend das Zertifikat aus dem Zertifikatmanager Ihres Browsers. | ||
- | |||
- | ===4. Wie wird ein Code-Signing Zertifkat für das Signieren von Java-Code verwendet? | ||
- | |||
- | Zum Signieren von Java-Code werden die Werkzeuge keytool und jarsigner benötigt, die im Java SDK enthalten sind. Wir empfehlen die Verwendung von Schlüsseln in PKCS# | ||
- | Bevor Sie eine PKCS# | ||
- | |||
- | keytool -list -keystore < | ||
- | |||
- | Sie erhalten die folgende Ausgabe, in der Sie vor dem Zertifikat-Fingerprint den Alias finden: | ||
- | |||
- | < | ||
- | Keystore-Provider: | ||
- | |||
- | Keystore enthält 1 Eintrag | ||
- | |||
- | < | ||
- | Zertifikat-Fingerprint (SHA1): | ||
- | 48: | ||
- | |||
- | Das Signieren erfolgt mit folgendem Aufruf: | ||
- | |||
- | < | ||
- | |||
- | Optional kann, entgegen teilweise anzutreffender Dokumentation, | ||
- | |||
- | < | ||
- | |||
- | Online-Resourcen zum Thema finden sich unter folgenden Links: | ||
- | |||
- | http:// | ||
- | http:// | ||
- | |||
- | ===5. Was ist beim Code-Signing in Microsoft Windows zu beachten? | ||
- | |||
- | Die beiden Wurzel-CA-Zertifikate der alten DFN-PKI Hierarchie " | ||
- | |||
- | Obwohl es technisch nicht vollkommen ausgeschlossen ist, die Zertifikate der DFN-PKI „Global” für Code-Signing unter Windows zu verwenden, empfehlen wir dies nicht. | ||
- | |||
- | Damit Windows-Systeme die Code-Signing-Zertifikate der DFN-PKI als solche akzeptieren, | ||
- | |||
- | Diese Änderung kann auf jedem betroffenen Windows-System manuell durchgeführt werden. Da Microsofts Auto-Update-Mechanismen diese manuell gemachte Einstellung unserer Erfahrung nach sporadisch (ohne erkennbares Muster) zurücksetzen, | ||
- | |||
- | Diese Einstellung kann darüber hinaus über eine Windows-Gruppenrichtlinie an alle Mitglieder einer vorhandenen Windows-Domäne verteilt werden. In diesem Fall wird die Einstellung nicht automatisch zurückgesetzt. Für Windows-Systeme, | ||
- | |||
- | Vorsicht mit automatischen kritischen Prozessen, die diese signierten Programme/ | ||
- | |||
- | ===6. Was ist beim Code-Signing von Android Apps für Google Play zu beachten? | ||
- | |||
- | Obwohl es technisch nicht vollkommen ausgeschlossen ist, die Zertifikate der DFN-PKI „Global” für Code-Signing unter Android zu verwenden, empfehlen wir dies nicht. | ||
- | |||
- | Zum Signieren von Android Apps für Google Play werden selbst-signierte Zertifikate mit einer sehr langen Laufzeit verwendet. Diese selbst-signierten Zertifikate werden üblicherweise direkt von den Android Entwicklertools erzeugt. | ||
- | |||
- | Das Zertifikat hat bei Android keine Sicherheitsfunktion bzgl. Identifizierung. Das Signieren und die Verwendung von Zertifikaten dient ausschließlich dazu, Updates sicher zu einer Ursprungs-App zurück zu verfolgen, und **nicht**, um den Entwickler zu identifizieren. Die Nutzung von Zertifikaten aus einer PKI bringt daher keine Vorteile. Die Verwendung von selbst-signierten Zertifikaten ist, wenn auch ungewohnt, sicherheitstechnisch angemessen. | ||
- | |||
- | Wie man sich ein selbst-signiertes Zertifikat mit Android Studio erzeugt, ist auf der folgenden Seite beschrieben: | ||
- | |||
- | http:// | ||