Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
de:dfnpki:faq:codesigning [2018/06/01 14:37] – angelegt Heike Ausserfeld | de:dfnpki:faq:codesigning [2018/06/01 14:56] – Heike Ausserfeld | ||
---|---|---|---|
Zeile 21: | Zeile 21: | ||
Code-Signing-Zertifikate können folgendermaßen über die CA Ihrer Einrichtung bezogen werden: | Code-Signing-Zertifikate können folgendermaßen über die CA Ihrer Einrichtung bezogen werden: | ||
- | * Beantragen Sie das Code-Signing Zertifikat mit Ihrem Webbrowser über den Antragsweg „Nutzerzertifikat”. | + | * Beantragen Sie das Code-Signing Zertifikat mit Ihrem Webbrowser über den Antragsweg „Nutzerzertifikat”. Wählen Sie als Namen im Zertifikat //„PN: <Vorname Nachname> |
- | Wählen Sie als Namen im Zertifikat //„PN: <Vorname Nachname> | + | |
* Duch die Beantragung wird in Ihrem Webbrowser ein privater Schlüssel erzeugt. | * Duch die Beantragung wird in Ihrem Webbrowser ein privater Schlüssel erzeugt. | ||
* Teilen Sie Ihrem Teilnehmerservice bei Abgabe des unterschriebenen Papier-Antrages mit, dass Sie ein Code-Signing Zertifikat benötigen, damit der Teilnehmerservice das korrekte Zertifikatsprofil setzen kann. | * Teilen Sie Ihrem Teilnehmerservice bei Abgabe des unterschriebenen Papier-Antrages mit, dass Sie ein Code-Signing Zertifikat benötigen, damit der Teilnehmerservice das korrekte Zertifikatsprofil setzen kann. | ||
Zeile 34: | Zeile 33: | ||
Bevor Sie eine PKCS# | Bevor Sie eine PKCS# | ||
- | + | | |
- | + | ||
- | keytool -list -keystore < | + | |
- | + | ||
- | + | ||
Sie erhalten die folgende Ausgabe, in der Sie vor dem Zertifikat-Fingerprint den Alias finden: | Sie erhalten die folgende Ausgabe, in der Sie vor dem Zertifikat-Fingerprint den Alias finden: | ||
- | + | < | |
- | + | ||
- | Keystore-Typ: | + | |
Keystore-Provider: | Keystore-Provider: | ||
Zeile 50: | Zeile 43: | ||
< | < | ||
- | Zertifikat-Fingerprint (SHA1): 48: | + | Zertifikat-Fingerprint (SHA1):\\ |
- | + | 48: | |
- | + | ||
Das Signieren erfolgt mit folgendem Aufruf: | Das Signieren erfolgt mit folgendem Aufruf: | ||
- | + | < | |
- | + | ||
- | jarsigner -tsa zeitstempel.dfn.de -keystore < | + | |
- | + | ||
- | + | ||
Optional kann, entgegen teilweise anzutreffender Dokumentation, | Optional kann, entgegen teilweise anzutreffender Dokumentation, | ||
- | + | < | |
- | + | ||
- | -J-Dhttp.proxyHost=< | + | |
- | + | ||
- | + | ||
Online-Resourcen zum Thema finden sich unter folgenden Links: | Online-Resourcen zum Thema finden sich unter folgenden Links: | ||
- | http:// | + | http:// |
http:// | http:// | ||
- | 5. Was ist beim Code-Signing in Microsoft Windows zu beachten? | + | |
+ | ===5. Was ist beim Code-Signing in Microsoft Windows zu beachten?=== | ||
Die beiden Wurzel-CA-Zertifikate der alten DFN-PKI Hierarchie " | Die beiden Wurzel-CA-Zertifikate der alten DFN-PKI Hierarchie " | ||
Zeile 88: | Zeile 72: | ||
Vorsicht mit automatischen kritischen Prozessen, die diese signierten Programme/ | Vorsicht mit automatischen kritischen Prozessen, die diese signierten Programme/ | ||
- | 6. Was ist beim Code-Signing von Android Apps für Google Play zu beachten? | + | |
+ | ===6. Was ist beim Code-Signing von Android Apps für Google Play zu beachten?=== | ||
Obwohl es technisch nicht vollkommen ausgeschlossen ist, die Zertifikate der DFN-PKI „Global” für Code-Signing unter Android zu verwenden, empfehlen wir dies nicht. | Obwohl es technisch nicht vollkommen ausgeschlossen ist, die Zertifikate der DFN-PKI „Global” für Code-Signing unter Android zu verwenden, empfehlen wir dies nicht. | ||
Zeile 94: | Zeile 79: | ||
Zum Signieren von Android Apps für Google Play werden selbst-signierte Zertifikate mit einer sehr langen Laufzeit verwendet. Diese selbst-signierten Zertifikate werden üblicherweise direkt von den Android Entwicklertools erzeugt. | Zum Signieren von Android Apps für Google Play werden selbst-signierte Zertifikate mit einer sehr langen Laufzeit verwendet. Diese selbst-signierten Zertifikate werden üblicherweise direkt von den Android Entwicklertools erzeugt. | ||
- | Das Zertifikat hat bei Android keine Sicherheitsfunktion bzgl. Identifizierung. Das Signieren und die Verwendung von Zertifikaten dient ausschließlich dazu, Updates sicher zu einer Ursprungs-App zurück zu verfolgen, und nicht, um den Entwickler zu identifizieren. Die Nutzung von Zertifikaten aus einer PKI bringt daher keine Vorteile. Die Verwendung von selbst-signierten Zertifikaten ist, wenn auch ungewohnt, sicherheitstechnisch angemessen. | + | Das Zertifikat hat bei Android keine Sicherheitsfunktion bzgl. Identifizierung. Das Signieren und die Verwendung von Zertifikaten dient ausschließlich dazu, Updates sicher zu einer Ursprungs-App zurück zu verfolgen, und **nicht**, um den Entwickler zu identifizieren. Die Nutzung von Zertifikaten aus einer PKI bringt daher keine Vorteile. Die Verwendung von selbst-signierten Zertifikaten ist, wenn auch ungewohnt, sicherheitstechnisch angemessen. |
Wie man sich ein selbst-signiertes Zertifikat mit Android Studio erzeugt, ist auf der folgenden Seite beschrieben: | Wie man sich ein selbst-signiertes Zertifikat mit Android Studio erzeugt, ist auf der folgenden Seite beschrieben: |