Dateien signieren mit Makecert und Certmgr

Software, die Windows nicht kennt, wird basierend auf der Benutzerkontensteuerung als unsicher eingestuft. Dies verhindert ein direktes Ausführen. Zudem wird eine Warnmeldung angezeigt, die insbesondere in Firmennetzwerken unerwünscht ist.

Versehen Sie als Admin solche Software mit einer digitalen Signatur. So unterbinden Sie die Anzeige der Warnmeldungen und blenden lediglich Hinweise zum Herausgeber sowie zur Zertifizierungsstelle ein.

Um Software wie Programme und Treiber als sicher zu kennzeichnen, statten Sie diese mit einer herausgeberspezifischen digitalen Signatur aus. Kommerzielle digitale Signa­turen werden über Zertifizierungsstellen wie VeriSign, StartSSL, CACert oder auch DigiCert angeboten.

Für Test- oder firmeninterne Zwecke generieren Sie ein Zertifikat mit dem Kommandozeilen-Tool makecert, einer Komponente des .NET SDK. Das .NET SDK ist Bestandteil von Visual Studio, lässt sich aber auch separat herunterladen.

So nutzen Sie Makecert:

makecert -$ individual -r -pe -ss "Zertifikatsspeichername des An­tragstellers" -n CN="Signaturname des Antragstellers" "Suchpfad\Zertifikatsdateiname.cer"

Das generierte Zertifikat installieren Sie über den Systembefehl certmgr (Benutzerzertifikate verwalten) auf einem oder auch mehreren Rechnern. Dafür benötigen Sie Admin-Rechte:

certmgr /add "Suchpfad\Zertifikats­dateiname.cer" /r localMachine /s root

Um eine Anwendung mit dem Zertifikat zu signieren, verwenden Sie das im .NET SDK enthaltene Werkzeug signtool:

signtool sign /v /s "Zertifikatsspeicher- name des Antrag­stellers" /n "Signaturname des Antragstellers" "Programmname|DLL|Treibername"