Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: popelar 01. 03. 2024, 10:00:38
-
Dobrý den,
plánuji publikovat svoji aplikaci na Windows Storu a k tomu je potřeba mít msix bundle podepsaný certifikátem. Ten lze za nemalé prostředky získat od zahraničních autorit typu Digicert. Napadlo mě ale, že jelikož máme v Česku poměrně vyspělé služby týkající se identit typu mojeID, bankovní identita, atd. Zda není možné využít některou z těchto služeb k prokázání identity a navazujícímu vystavení certifikátu, který by bylo možné využít pro takové podepisování kódu.
Víte někdo o takových možnostech? Resp. jaká je nejlevnější cesta k možnosti publikovat na Windows Storu a podobných? Kterou službu si platíte vy?
Díky
-
EDIT:
V rámci Androidu vystavuje Google svoje certifikáty prostřednictvím Android Studio.
V rámci Iphone vystavuje Apple svoje certifikáty prostřednictvím Xcode.
Nenašel jsem ale ekvivalent pro Microsoft Windows v rámci Visual Studio. Možná jsem to jen nenašel? Může mě někdo nasměrovat?
-
Nejsem si vědom autority, která by u nás vydávala uznávaný Code Signing certifikát. Certifikáty, které jsou vydávané obdobnými certifikačními autoritami jako PostSignum / I.CA jsou nanejvýš důvěryhodné v EU. V tomto případě potřebuješ certifikát, který je platný a uznávaný mezinárodně i mimo EU, takový ti ale naše certifikační autority nevydají.
Jak jsi zmiňoval, cesta vede skrze Digicert/Sectigo či obdobnou důvěryhodnou CA. Jelikož budeš aplikaci publikovat skrze Microsoft store, nepotřebuješ EV - postačí ti OV/IV
-
Ty služby elektronické identifikace zajišťují identitu z pohledu práva v EU. Nevím o žádné certifikační autoritě, která by s touto identitou pracovala mimo legislativní prostor EU. Uznávané certifikační autority mají svoje postupy, jak identitu ověřovat, které jsou zpravidla podstatně starší, než eIDAS. I kdyby nějaká autorita uměla použít eIDAS identitu, pravděpodobně kvůli tomu ten certifikát nezlevní. Tj. je potřeba některá důvěryhodná CA poskytující Code signing certifikáty. Jsou i přeprodejci v ČR, třeba SSL Market (https://www.sslmarket.cz/ssl/code-signing-certifikaty/) od Zoneru. SSLmentor (https://www.sslmentor.cz/ssl/code-signing-certifikaty) nabízí nejlevnější code signing certifikát hodně levně –ale nemám s nimi žádnou zkušenost, jen to na mne teď vypadlo z Google.
-
Díky za informace. Půjdu cestou ssl mentora, a toho jejich Certum poskytovatele. Je to pro mě nová oblast a doufal jsem, že to bude podobné jako s webem - lets encrypt.. No, nedá se nic dělat a budu pěkně cálovat :)
-
DNS certifikáty se dají zautomatizovat, stačí nějak prokázat držení domény – záznamem v DNS, vystavením souboru na webu na dané doméně, třeba i reakcí na e-mail zaslaný na danou doménu.
Code signing certifikáty ale ověřují osobu nebo firmu, tam zatím žádná automatizace udělat nejde. A když to nemůže být automatizované, nedá se to udělat tak levně, aby to utáhli jen sponzoři, jako v případě Let's Encrypt.
-
Pouzival jsem na podepisovani .msi baliku/.dll klic od CERTUM CA.
Bylo to podobny jako u Revolut, oskanujes Obcanu, ridicak. Oni ti to schvali, ty zaplatis a oni ti poslou certifikat.
Oni pak ale utahli srouby a dali si podminku, ze ke klici je potreba koupit i jejich HW klic a to uz na me bylo drahy.
Navic pulka stranek byla jen v polstine nejak jsem se na tom jejich webu ztratil.
-
EDIT:
V rámci Androidu vystavuje Google svoje certifikáty prostřednictvím Android Studio.
V rámci Iphone vystavuje Apple svoje certifikáty prostřednictvím Xcode.
Nenašel jsem ale ekvivalent pro Microsoft Windows v rámci Visual Studio. Možná jsem to jen nenašel? Může mě někdo nasměrovat?
Mame aplikaci ve Windows Storu (i v App Store na applu) a podpisuje se to nejak samo oboji.
Duvera je implicitni tim, ze to pochazi ze store (a nejspis tohle bude reflektovano i v certifikacnim retezci).
To podepisovani placenym certifikatem je potreba jen pro aplikace a drivery ktere jdou mimo Store, protoze pri individualni distribuci tam neni ona duvera.
-
https://www.sslmarket.cz/novinka/code-signing-certifikaty-povinne-na-tokenu/
-
Oni pak ale utahli srouby a dali si podminku, ze ke klici je potreba koupit i jejich HW klic a to uz na me bylo drahy.
Není to náhodou už podmínka Microsoftu pro všechny code signing certifikáty, že privátní klíč musí být neexportovatelný a uložený na certifikovaném zařízení? Mám pocit, že na tokeny nebo čipové karty pro code signing certifikáty přecházely všechny certifikační autority.
-
Asi to bude pravda, nám už teď nově taky code signing certifikát firma neposlala jako soubor, ale jen jako odkaz na Azure Key Vault.
-
Asi to nieje co hladas ale MS ma moznost nechat overit SW tu https://www.microsoft.com/en-us/wdsi/filesubmission
a potom uz windows povazuju tvoju app za doverihodnu. Takze ak si ju zakaznik stiahne do PC uz to nevaruje ze je nedoverihodna a povoli instalaciu.
-
Takze jak jsem psal vejs - appky v MS Store podepisuje sam Microsoft
https://stackoverflow.com/questions/62454285/can-i-code-sign-a-windows-store-app-with-a-trusted-code-signing-certificate
@popelar - proc vubec hledas jak neco podpisovat?
Tvoris to v necem jinem nez visual studiu, ktere ti primo vygeneruje package ktery dropnes do webove spravy aplikaci v ms store?