Conseguir un certificado digital para firmar código

[miado]

Pues nada, al final como bien indicabas, me he metido en el "Wizard" del citado panel de control y he seleccionado "Object code signing certificate" como también comentas, me ha pedido la key que he puesto la que había generado con fichero.key y la password, seguidamente me ha salido un mensaje que pasaba a validación, al cabo de un par de horas he recibido un correo que estaba autorizado y verificado con un link a mi panel de control, tenía que pulsar en la opción del panel de control Retrieve Certificate, al pulsar ahí me ha salido un texto que es el certificado encriptado lo he guardado en un txt y luego seguidamente he acudido a la opción del panel de control Create PKCS#12 (PFX) he puesto como key el texto del fichero.key y en certificado este último texto que he recibido, seguidamente la password del fichero.key y me ha dejado bajar un fichero .p12, a este fichero .p12 le he cambiado la extensión a pfx y con un programa que me bajé llamado ksign.exe le metes el ejecutable o los ejecutables que quieras y el fichero pfx y le das al botón y listo!!!! ya está.

Me queda una última duda, no se vosotros como lo haceis. Yo hago el instalador con inno setup, que te genera el .exe y dentro del instalador está el fichero exe de Delphi, yo he metido el certificado en los dos, es decir en el instalador y en el ejecutable Delphi que luego va dentro. Es necesario realizarlo así?

Muchísimas gracias por toda esta información ya que llevaba mucho tiempo intentado firmar una aplicación.

[dec]

Hola,

Cita:

Empezado por miado

Pues nada, al final como bien indicabas, me he metido en el "Wizard" del citado panel de control y he seleccionado "Object code signing certificate" como también comentas, me ha pedido la key que he puesto la que había generado con fichero.key y la password, seguidamente me ha salido un mensaje que pasaba a validación, al cabo de un par de horas he recibido un correo que estaba autorizado y verificado con un link a mi panel de control, tenía que pulsar en la opción del panel de control Retrieve Certificate, al pulsar ahí me ha salido un texto que es el certificado encriptado lo he guardado en un txt y luego seguidamente he acudido a la opción del panel de control Create PKCS#12 (PFX) he puesto como key el texto del fichero.key y en certificado este último texto que he recibido, seguidamente la password del fichero.key y me ha dejado bajar un fichero .p12, a este fichero .p12 le he cambiado la extensión a pfx y con un programa que me bajé llamado ksign.exe le metes el ejecutable o los ejecutables que quieras y el fichero pfx y le das al botón y listo!!!! ya está.

Me alegro mucho, hombre. En efecto, ahora creo recordar que yo también cambié la extensión del archivo ".p12" a ".pfx"...

Cita:

Empezado por miado

Me queda una última duda, no se vosotros como lo haceis. Yo hago el instalador con inno setup, que te genera el .exe y dentro del instalador está el fichero exe de Delphi, yo he metido el certificado en los dos, es decir en el instalador y en el ejecutable Delphi que luego va dentro. Es necesario realizarlo así?

Sí; en principio cualquier archivo ejecutable de nuestro programa (EXE ó DLL) pueden y deben firmarse. Al principio yo preparé un par de archivos BAT para firmar los ejecutables de mi programa, a continuación preparaba el instalador y usaba otro archivo BAT para firmar el ejecutable del instalador.

Sin embargo, es posible configurar Inno Setup para que firme el instalador, y, de hecho es recomendable, no sólo porque nos ahorra el segundo archivo BAT, pero, también porque, haciéndolo de este modo, Inno Setup se encargará de firmar el instalador y también el ejecutable del desinstalador.

Cita:

Empezado por miado

Muchísimas gracias por toda esta información ya que llevaba mucho tiempo intentado firmar una aplicación.

Para eso estamos. Han sido también los comentarios de los compañeros que postearon en este hilo los que nos ayudaron a encontrar la solución, que, yo también he pasado tiempo buscando.

[miado]

Nada, después de firmar los ejecutables e instalador correctamente, veo que el navegador Chrome al bajar alguno de mi web indica que es un fichero que no se descarga habitualmente y lo marca como peligroso, cuando está analizado y verificado que no contiene virus ni nada por el estilo y una vez que puedes marcar la opción de guardar al ejecutarlo en Windows 10 lo bloquea igualmente y tienes que pulsar en "mas información" para poder ejecutarlo, esto ya es algo preocupante pues muchos clientes no ven esa opción.
Lo hábeis solucionado alguno de alguna manera?
Qué se puede hacer ante esto?

[dec]

Hola,

Yo creo que nuestro trabajo termina en firmar nuestros programas. Por ejemplo, yo no he notado lo que mencionas porque no uso el navegador Chrome. No creo que podamos tener en cuenta cada uno de los posibles programas y de sus posibles configuraciones. A mí, personalmente, me preocupaban los mensajes de advertencia del propio Windows, y, estos ya no aparecen una vez firmado un programa. Mejor dicho (y esto sirve para mi argumento) los mensajes de advertencia siguen apareciendo, pero, ya no incluyen iconos "warning" sino "information".

Esto quiere decir que otros programas como navegadores o antivirus, dependiendo de su configuración además, podrán informar al usuario sobre los peligros de poner en marcha un programa ejecutable. Sin abusar, creo que esto no está mal, puesto que, en efecto, entraña cierto peligro. Pero espero que el usuario que sepa lo que ha descargado, y, que vea que el programa está firmado por quien se supone que tiene que estarlo. A partir de ahí el usuario debe poder elegir qué hacer. Pero nosotros ya hemos hecho lo que podíamos para facilitárselo.

P.D. Voy a abrir Chrome y ver qué pasa cuando descargue uno de mis programas. A ver qué pasa.

[dec]

Hola,

Después de probar con Google Chrome, tengo que decir que a mí no me sucede lo que al compañero, aunque, pareciera que Google no sólo descarga el archivo, sino que lo envía a sus servidores y comprueba no sé qué antes de dejarte hacerte con el control de dicho archivo.

En fin, una posible solución pudiera ser no ofrecer archivos executables a los usuarios. En mi caso lo que he descargado es un archivo Zip, que, a su vez contiene el archivo ejecutable del programa en cuestión. Creo que esto puede ser una posible solución al problema que plantea miado.

[Casimiro Notevi]

Cita:

Empezado por miado

Nada, después de firmar los ejecutables e instalador correctamente, veo que el navegador Chrome al bajar alguno de mi web indica que es un fichero que no se descarga habitualmente y lo marca como peligroso

Estas cosas creo que no debe controlarlas tú, en este caso. No puedes saber qué navegador usará la gente, chrome, firefox, opera, etc. o alguno nuevo que pueda surgir mañana.

[dec]

Hola,

Cita:

Empezado por Casimiro Notevi

Estas cosas creo que no debe controlarlas tú, en este caso. No puedes saber qué navegador usará la gente, chrome, firefox, opera, etc. o alguno nuevo que pueda surgir mañana.

Eso es lo que quería yo decir. Por otro lado, tengamos en cuenta que los archivos Zip no son tratados de igual forma que los archivos Exe. Pareciera que con los primeros los programas del tipo del navegador Chrome son más permisivos: al fin y al cabo es el usuario quien después descomprimirá el archivo Zip.

Dicho eso, volvemos al principio: ¿qué pasa si el compresor/descompresor de archivos Zip que usa el usuario le avisa de que el archivo Zip contiene un ejecutable y que esto pude causar daños a su equipo y bla, bla, bla? Sobre esto poco podemos hacer nosotros.

[Casimiro Notevi]

Cita:

Empezado por dec

...

Claro, estoy de acuerdo

[Nasca]

Antes de nada gracias a dec por ampliar su experiencia. Es una estupenda guía para obtener el certificado con StartSSL.
Finalmente he decidido evitarles los sustos que le da a los usuarios firmar con el certificado de la FNMT.

He realizado el procedimiento con www.startssl.com.
Añado alguna información que puede ser de utilidad a otro que se lance con ellos.

Tienen una opción de verificación postal alternativa a la telefónica. Yo tenía un pequeño lío con las direcciones y al final este método me ha resuelto el problema y me ha evitado balbucear mi pésimo inglés. Como curiosidad, la verificación postal se realiza desde Israel, creo que la empresa también es de Israel.

Son muy accesibles, no son máquinas insensible. Son personas las que te atienden y se nota que están por ayudar.
Yo he cruzado numerosos correos con ellos, rozando a veces el límite cansino, y son rápidos y razonables.

Respecto a la validez de los certificados:

Cita:

Class 2 certificates are valid for two years, and class 2 validations are valid for 350 days. During this period you can create as many certificates at this level as you want and those certificates will be valid for two years. Hope this clarify the things.

O sea que es conveniente que antes del vencimiento de la verificación (350 días) saquemos otro nuevo certificado, por lo que de alguna manera tendríamos cubiertos casi tres años.

Ahora a seguir con la fase de crear los certificados, si encuentro algo nuevo que aportar en el procedimiento, lo añado luego.