Mit einem Code Signing Zertifikat lässt sich Software digital signieren.
Die Signatur garantiert dabei die Identität des Unterzeichners und dass der Code nachträglich nicht verändert wurde.
SSLPOINT bietet Zertifikate von Certum, GlobalSign, DigiCert und Sectigo an.
Wer kann ein Code Signing Zertifikat beantragen?
Die Ausstellung eines Code Signing Zertifikates ist sowohl für natürliche Personen (z.B. individueller Entwickler, Einzelunternehmer), als auch für registrierte Unternehmen und Organisationen (UG, GmbH, AG, Vereine, e.K., etc.) möglich. Ein Standard Code Signing Zertifikat für Einzelpersonen stellt derzeit nur Certum aus.
Wie funktioniert die Ausstellung eines Code Signing Zertifikates?
Bitte bestellen Sie das gewünschte Code Signing Zertifikat online über unsere Seite: Code Signing Zertifikat jetzt kaufen
Nach Zahlungseingang erhalten Sie einen Konfigurationslink und können Ihre Daten übermitteln.
Was ist der Unterschied zwischen einem Standard Code Signing Zertifikat und einem Zertifikat mit Erweiterter Validierung?
Code Signing Zertifikate mit Erweiterter Validierung unterliegen einem sehr strikten Validierungsprozess und müssen zwingend auf einem Token (Hardware oder virtueller Token) gespeichert werden. Die Ausstellung ist dabei ausschließlich für im Handelsregister eingetragene Unternehmen möglich. Neben der maximalen Sicherheit durch den kryptographischen Token ermöglichst ein EV Zertifikat auch die sofortige Reputation beim Microsoft Smartscreen. Dies ist insbesondere für Software-StartUps, die noch nicht über hohe Downloadzahlen verfügen, ein bedeutender Vorteil.
Certum Code Signing in the Cloud – SimplySign (Standard oder Erweiterte Validierung (EV))
Beim Certum Code Signing in the Cloud-Zertifikat handelt es sich um eine cloud-basierte Lösung, die keinen physikalischen Token erfordert. Es ist dafür die Installation der Simply Sign Applikation erforderlich – diese dient als virtueller kryptographischer Token.
Für die Multi-Faktor Authentifizierung werden Android (ab Version 6.0) und iOS unterstützt, das Signieren ist auf Windows, MacOS und Linux möglich.
Was ist bei der Konfiguration zu beachten?
Da mit einem Code Signing Zertifikat auch die Identität des Unterzeichners bestätigt wird, muss die Vergabestelle folgende Daten prüfen:
- – Name der Person oder des Unternehmens
- – Adresse des Antragstellers
- – Telefonnummer des Antragstellers
Bei der Konfiguration muss daher bei Einzelpersonen der Vor- und Familienname, sowie bei registrierten Unternehmen der Unternehmenswortlaut gemäß Handelsregister angegeben werden.
Fiktive Handelsbezeichnungen (z.B. “XY Software”) werden nicht akzeptiert!
Die Validierung der Daten erfolgt dabei zwingend über eine Dritt-Quelle, z.B. einer staatlichen Stelle (Handelsregister, Vereinsregister, Firmenbuch, etc.) oder über eine Wirtschaftsdatenbank.
Bei den von uns angebotenen Zertifikaten verwendet die Vergabestelle i.d.R. die Dun&Bradstreet Wirtschaftsdatenbank (DUNS®).
Wie läuft die Validierung ab?
Nach Übermittlung des Antrages an die Vergabestelle überprüft diese die Daten anhand einer Wirtschaftsdatenbank.
Es ist daher wichtig, den Eintrag in der Wirtschaftsdatenbank aktuell zu halten (und auch die Telefonnummer mit dem Eintrag zu veröffentlichen):
DUNS® Datensatz prüfen
Falls kein DUNS® möglich oder erwünscht ist (z.B. bei Privatpersonen), kann die Validierung auch durch beglaubigte Dokumente erfolgen.
Identitätsprüfung des Administrativen Kontaktes
Die Vergabestelle muss auch die Identität des Administrativen Kontakes prüfen. Dies erfolgt bei Certum online (via AriadNEXT). Alternativ kann auch eine Ausweiskopie und ein Selfie-Foto mit diesem Ausweis übermittelt werden.
Sobald die Daten des Antragstellers von der Vergabestelle geprüft wurden, erfolgt bei GlobalSign Zertifikaten als letzter Schritt der Validierung die Verifizierung der Telefonnummer.
Sie erhalten dafür einen kurzen Telefonanruf, um den Auftrag zu bestätigen. Danach wird das Zertifikat umgehend ausgestellt.
Hinweis: Die Telefonverifizierung ist ein zwingend notwendiger Schritt bei GlobalSign. Es muss daher die aktuelle Telefonnummer im DUNS®-Eintrag enthalten sein.
Wie erhalte ich mein Code Signing Zertifikat?
Nach erfolgter Validierung erhalten Sie von der Vergabestelle ein E-Mail mit einem Link, um das Zertifikat zu installieren.
Ich benötige eine PFX Datei – wie erhalte ich diese?
Seit Mai 2023 müssen Code Signing Zertifikate (bzw. der Private Schlüssel) zwingend auf einem Token gespeichert werden.
Ein Export im PFX Format ist daher nicht mehr möglich – siehe auch: Neue Richtlinien für Standard Code Signing-Zertifikate