ViaThinkSoft CodeLib
Dieser Artikel befindet sich in der Kategorie:
CodeLib → HowTos → Sonstiges
Diese Anleitung stellt den Stand von April 2024 dar und beschreibt die erstmalige Bestellung eines EV-Zertifikats von GlobalSign. Es besteht kein Anspruch auf Korrektheit! Befolgen dieser Anleitung erfolgt auf eigene Gefahr!
Zertifikat bestellen
- Account Manager Clearance, damit wir auf Rechnung bezahlen können
- „EV Cert“ (nicht HSM) wählen, das ist die USB Token Variant
- „Fortiy“ wählen
- Approal und Vetting abwarten, es wird unter Anderem ein Anruf erfolgen
Token einrichten und mit Zertifikat
1. Achtung: Geht nur auf einem PC, nicht per RDP! Angeblich geht es aber, wenn man per TeamViewer drauf ist
2. Installieren: https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers
3. Stick einstecken
4. “SafeNet Authentication Client Tools“ öffnen
5. Zahnrad klicken, dann Rechtsklick auf Token und „Initialize Token“
5.1. On the Initialize Token - Initialization Options window, choose Configure all initialization settings and policies. Then, click Next to proceed.
5.2. On the Initialize Token - Administrator Logon window, tick the Use factory
default administrator password checkbox and the Use factory default
digital signature PUK checkbox. Then, click Next to proceed. Note: If you
have set a non-default admin password and PIN originally, and you forgot
it, you will be unable to initialize it. The token will be permanently
unusable.
5.3. On the Initialize Token - Password Settings window, create a new password
for your token. The default administrator password is forty-eight 0's and
the default Digital Signature PUK is six 0's. Note: Un-check the box for
"Token password must be changed on first logon". Then, click Next to
proceed.
5.4. On the Initialize Token - IDPrime Common Criteria Settings window, create
a new PIN and PUK for your token. Then, click Finish to complete the
process.
6. Auf https://support.globalsign.com/ca-certificates/root-certificates/globalsign-cross-certificates das GlobalSign Code Signing Root R45 (R3 cross) suchen und installieren
7. Fortiy installieren: https://fortifyapp.com/
8. Zweiter Link aus der Email öffnen und Abholpasswort eingeben „GlobalSign Certificate Center“.
9. Abhol-Passwort eintragen, dann Schritte durchlaufen. Wichtig: Das Token PASSWORT, nicht die PIN/PUK eingeben.
Eine EXE signieren
1. Windows SDK herunterladen (ist aber bei VC++ i.d.R. dabei) https://developer.microsoft.com/en-us/windows/downloads/windows-sdk/
2. SafeNet Authentication Client:
a. Zahnrad
b. Client Settings
c. “Enable single logon” anhaken
3. Befehl zum signieren siehe unten
Batch Datei zum Vermeiden von doppelten Signaturen
„Firmenname” ist der Name des Tokens, nicht der Name des Zertifikats auf dem Token?? Eigentlich sollte es der Zertifikatsname sein, aber „Firmenname GmbH“ funktioniert nicht?!
TOKEN Passwort eingeben.
Vorgehen beim Erneuern des Zertifikats nach 1 Jahr:
(Wird in Zukunft erweitert)
Zertifikat bestellen
- Account Manager Clearance, damit wir auf Rechnung bezahlen können
- „EV Cert“ (nicht HSM) wählen, das ist die USB Token Variant
- „Fortiy“ wählen
- Approal und Vetting abwarten, es wird unter Anderem ein Anruf erfolgen
Token einrichten und mit Zertifikat
1. Achtung: Geht nur auf einem PC, nicht per RDP! Angeblich geht es aber, wenn man per TeamViewer drauf ist
2. Installieren: https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers
3. Stick einstecken
4. “SafeNet Authentication Client Tools“ öffnen
5. Zahnrad klicken, dann Rechtsklick auf Token und „Initialize Token“
5.1. On the Initialize Token - Initialization Options window, choose Configure all initialization settings and policies. Then, click Next to proceed.
5.2. On the Initialize Token - Administrator Logon window, tick the Use factory
default administrator password checkbox and the Use factory default
digital signature PUK checkbox. Then, click Next to proceed. Note: If you
have set a non-default admin password and PIN originally, and you forgot
it, you will be unable to initialize it. The token will be permanently
unusable.
5.3. On the Initialize Token - Password Settings window, create a new password
for your token. The default administrator password is forty-eight 0's and
the default Digital Signature PUK is six 0's. Note: Un-check the box for
"Token password must be changed on first logon". Then, click Next to
proceed.
5.4. On the Initialize Token - IDPrime Common Criteria Settings window, create
a new PIN and PUK for your token. Then, click Finish to complete the
process.
6. Auf https://support.globalsign.com/ca-certificates/root-certificates/globalsign-cross-certificates das GlobalSign Code Signing Root R45 (R3 cross) suchen und installieren
7. Fortiy installieren: https://fortifyapp.com/
8. Zweiter Link aus der Email öffnen und Abholpasswort eingeben „GlobalSign Certificate Center“.
9. Abhol-Passwort eintragen, dann Schritte durchlaufen. Wichtig: Das Token PASSWORT, nicht die PIN/PUK eingeben.
Eine EXE signieren
1. Windows SDK herunterladen (ist aber bei VC++ i.d.R. dabei) https://developer.microsoft.com/en-us/windows/downloads/windows-sdk/
2. SafeNet Authentication Client:
a. Zahnrad
b. Client Settings
c. “Enable single logon” anhaken
3. Befehl zum signieren siehe unten
Batch Datei zum Vermeiden von doppelten Signaturen
echo "C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool.exe" verify /pa %1
>NUL 2>&1 "C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool.exe" verify /pa %1 && (
echo File %2 is already signed, skipping
) || (
"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool.exe" sign /a /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 /fd SHA256 /n "Firmenname" /v %1
exit /b 0
)„Firmenname” ist der Name des Tokens, nicht der Name des Zertifikats auf dem Token?? Eigentlich sollte es der Zertifikatsname sein, aber „Firmenname GmbH“ funktioniert nicht?!
TOKEN Passwort eingeben.
Vorgehen beim Erneuern des Zertifikats nach 1 Jahr:
(Wird in Zukunft erweitert)
Daniel Marschall
ViaThinkSoft Mitbegründer
ViaThinkSoft Mitbegründer