Codesignierungszertifikat Optionen
https://stackoverflow.com/questions/252180
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe die Aufgabe, den Kauf eines digitalen Zertifikats für mein Unternehmen vergeben unseren Code zu unterzeichnen. Wir entwickeln Anwendungen in der Microsoft Raum -. Meist WPF oder Web Based
Ich habe Optionen untersucht und gefunden Comodo sehr niedrige Preise und reaktionsschnell sein, und wir sind bereit, ein cert durch sie voran gehen und kaufen .. aber im Anmeldeformular verschiedene private Schlüssel Optionen geben, die ich bin nicht auch sicher, nämlich:
-
CSP
- Microsoft Base Cryptographic Provider
- Microsoft Base Smart Card Crypto Provider
- Microsoft Enhanced Cryptographic Provider v1.0
- Microsoft Software Cryptographic Provider
-
Schlüsselgröße
- 1024
- 2048
- 4096
-
Exportierbare?
- Ja / Nein
-
User geschützt?
- Ja / Nein
Nur frage mich, was das alles bedeutet und was die besten Optionen sind für unsere Anforderungen? Jede Beratung / Vorschläge wäre willkommen
Dank Haufen Greg
Lösung
Für „die meisten Zwecke“ die folgenden Optionen werden empfohlen:
Microsoft Base Cryptographic Provider Schlüsselgröße: 2048 Exportierbare: Ja Benutzer Geschützt: Ja
Um ehrlich zu sein, bin ich mit den verschiedenen CSPs nicht vertraut, aber die Basis macht den Job für mich jedes Mal.
Schlüsselgröße macht den Schlüssel schwerer zu knacken, aber mehr als 2048 Bits für einen kurz- bis mittelfristig Schlüssel (3-5 Jahre) ist reichlich (IMHO).
Exportierbare können Sie den privaten Schlüssel / Zertifikat Paar exportieren - wesentlich für die Sicherung it up
Benutzereinrichtung geschützt sein, dass Sie ein Passwort jedes Mal eingeben müssen, dass Sie das Zertifikat verwenden mögen -. Sehr zu empfehlen mit Ihrem Zertifikat versehentlich oder böswillig Unterzeichnung des Codes zu verhindern
Hope, das hilft.
Andere Tipps
Historisch gesehen, der „Basis“ Verschlüsselungs-Provider hatte eine künstliche Beschränkung auf Schlüssellängen und die „enhanced“ Anbieter hatten die Grenze entfernt. Dies ermöglichte es Microsoft mit US-Exportgesetzen zu erfüllen, die verbesserten Anbieter in bestimmten Versionen zu entfernen.
Offenbar mit den Änderungen Exportrecht, Microsoft die Begrenzung von den Basis-Anbietern entfernt hat, als auch längere Schlüssellängen ermöglicht (aber hat den Namen für die Kompatibilität gehalten)
In Bezug auf "Microsoft Software Cryptographic Provider" - ich denke, das sollte "stark" (nicht "Software")
.In der Praxis, wo ich arbeite, gibt Basis eine 512-Bit-Schlüssellänge (die nicht mehr unterstützt wird, oder arbeiten auf MS-Servern nach einer aktuellen Patch - lesen auf KB2661254). Sie wollen mindestens 1024, aber 2048 ist eine bessere Wahl.
Achtung: Die exportierbaren privaten Schlüssel für die Sicherung gewünscht und / oder auf einem anderen Server zu bringen (und zum Signieren Code / scripts erforderlich glaube ich), aber führt das possiblility davon in die falschen Hände fallen, woraufhin unerwünschte Skripte könnte unterzeichnet und lief auf den Servern, sobald Sie, dass cert vertrauen! Achten Sie unbedingt auf, wo / wie Sie es speichern und ein starkes Passwort verwenden!
Double-Check: Sie höchstwahrscheinlich benötigen das Trusted Root CA Cert (die CA, die den Code unterzeichnen cert ausgestellt) sowie Ihre cert selbst in „Vertrauenswürdige Herausgeber“ installiert Powershell-Skripts erhalten unterzeichnet ausführen
.