Windows-Software
19.07.2016, 00:13 Uhr
Dateien signieren mit Makecert und Certmgr
Mit mehreren Kommandozeilen-Tools von Microsoft signieren Sie lokale Dateien und verhindern so, dass Windows beim Ausführen lästige Warnmeldungen anzeigt.
Software, die Windows nicht kennt, wird basierend auf der Benutzerkontensteuerung als unsicher eingestuft. Dies verhindert ein direktes Ausführen. Zudem wird eine Warnmeldung angezeigt, die insbesondere in Firmennetzwerken unerwünscht ist.
Versehen Sie als Admin solche Software mit einer digitalen Signatur. So unterbinden Sie die Anzeige der Warnmeldungen und blenden lediglich Hinweise zum Herausgeber sowie zur Zertifizierungsstelle ein.
Um Software wie Programme und Treiber als sicher zu kennzeichnen, statten Sie diese mit einer herausgeberspezifischen digitalen Signatur aus. Kommerzielle digitale Signaturen werden über Zertifizierungsstellen wie VeriSign, StartSSL, CACert oder auch DigiCert angeboten.
Für Test- oder firmeninterne Zwecke generieren Sie ein Zertifikat mit dem Kommandozeilen-Tool makecert, einer Komponente des .NET SDK. Das .NET SDK ist Bestandteil von Visual Studio, lässt sich aber auch separat herunterladen.
So nutzen Sie Makecert:
makecert -$ individual -r -pe -ss "Zertifikatsspeichername des Antragstellers" -n CN="Signaturname des Antragstellers" "Suchpfad\Zertifikatsdateiname.cer"
Das generierte Zertifikat installieren Sie über den Systembefehl certmgr (Benutzerzertifikate verwalten) auf einem oder auch mehreren Rechnern. Dafür benötigen Sie Admin-Rechte:
certmgr /add "Suchpfad\Zertifikatsdateiname.cer" /r localMachine /s root
makecert -$ individual -r -pe -ss "Zertifikatsspeichername des Antragstellers" -n CN="Signaturname des Antragstellers" "Suchpfad\Zertifikatsdateiname.cer"
Das generierte Zertifikat installieren Sie über den Systembefehl certmgr (Benutzerzertifikate verwalten) auf einem oder auch mehreren Rechnern. Dafür benötigen Sie Admin-Rechte:
certmgr /add "Suchpfad\Zertifikatsdateiname.cer" /r localMachine /s root
Um eine Anwendung mit dem Zertifikat zu signieren, verwenden Sie das im .NET SDK enthaltene Werkzeug signtool:
signtool sign /v /s "Zertifikatsspeicher- name des Antragstellers" /n "Signaturname des Antragstellers" "Programmname|DLL|Treibername"
signtool sign /v /s "Zertifikatsspeicher- name des Antragstellers" /n "Signaturname des Antragstellers" "Programmname|DLL|Treibername"