meisten CAs Verkauf Code Signing-Zertifikate in verschiedenen "Produkte" sind, wie Verisign oder Certum:Unterschied zwischen Authenticode, SPC und Java CodeSign?
Microsoft Authenticode - "Hier kann EXE unterzeichnen, OCX, DLL, bla ..."
Java Codesign - "Hier können Sie Java-Code unterzeichnen"
Software Publisher Certificate - "Hier können Sie Software unterzeichnen"
Nun, ich bin wirklich verwirrt darüber. Was ist der Unterschied zwischen all diesen Produkten - außer dem PREIS? Ich habe Verisign und andere CAs ein paar Mal gefragt, weil ich neugierig bin, aber keine Antwort bekam.
Ich habe ein Authenticode-Zertifikat von Certum CA erhalten. Ich schrieb es in Internet Explorer ein, exportierte es als PKCS # 12 PFX und konnte EXE, DLL, ... wie versprochen signieren.
Jetzt ... Ich habe versucht, diese PFX in Java mit Keytool zu importieren, dann habe ich versucht, eine JAR zu unterzeichnen. Und es hat funktioniert!
Und dann gibt es das mysteriöse "Software Publisher Zertifikat" als Produkt. Ich weiß nicht, was ich damit unterschreiben kann/soll ... Mac? Linux? Ist "Microsoft Authenticode" nicht auch ein Software-Herausgeberzertifikat? Ist keine EXE "Software"? Das verwirrt mich wirklich.
Meine Frage lautet jetzt: Wenn ich ein Microsoft Authenticode-Zertifikat bestellt habe, ist es dann illegal, es zu verwenden, um z. JAR-Dateien oder, wenn möglich, andere Inhalte? Es scheint keinen technischen Unterschied zwischen diesen Zertifikaten zu geben. Alle diese Produkte sollten den gleichen Code EKU-OID "1.3.6.1.5.5.7.3.3" haben, was keinen Unterschied zwischen EXE, JAR, Adobe Air und dem, was es dort gibt, gibt. Wenn also alle "CodeSigning" -Zertifikate technisch gleich sind, warum muss ich dann entscheiden, ob ich "Java Developer" oder "Windows Developer" oder "Software Developer" sein möchte?
Vielleicht gibt es noch Unterschiede im Zertifikat? Vielleicht bekomme ich nicht genug Rechte in JARs, wenn ich Authenticode-certs zum Signieren verwende?
(PS: Ich meine Software nicht kommerziell verwenden)
Sie wissen, Umgang mit Zertifikaten eng (wir entwickeln und verkaufen PKI-Bibliothek), habe ich die gleichen Fragen und keine Antwort. Dies scheint Marketing-BS, denn wie Sie richtig bemerkt haben, Schlüsselverwendung ist die gleiche und aus technischer Sicht sind die Zertifikate die gleichen. Vielleicht versuchen sie einige Benutzer dazu zu bringen, mehrere verschiedene Zertifikate zu kaufen, oder sie direkt im entsprechenden Format (PKCS # 7/PKCS # 8, JKS, PKCS # 12) auszugeben. –
Vielen Dank für Ihren Kommentar. Naja, was denkst du? Könnte eine CA mein Zertifikat widerrufen, wenn sie herausfinden, dass ich auch JAR-Software unterzeichne?Ich bin mir sehr unsicher, ob es nach ihren rechtlichen Bedingungen ist, da es diese "Produkte" gibt. –
Entschuldigung dafür, dass Sie vorher nicht geantwortet haben - Ihre Frage wurde nicht bemerkt. Ich untersuche diese Frage jetzt erneut und für GlobalSign CA gibt es keine Hinweise in ihren Dokumenten, die die Verwendung von say Authenticode-Zertifikaten für Adobe AIR ausdrücklich verbieten. Es kann jedoch vorkommen, dass sie es als Verletzung der Abonnentenvereinbarung behandeln (obwohl dort keine solche Einschränkung festgelegt ist). Also habe ich dieses Problem jetzt selbst (versuche zu entscheiden, ob ich ein anderes Zertifikat für verschiedene Signierungstypen kaufen muss) und habe keine Lösung. –