Discussion :

[lefju cabro]

Bonjour,

Je rencontre de plus en plus un problème lors de l'installation de mon applicatif win32 sur des postes win10: mon applicatif qui n'est pas signé.

Mon applicatif n'est pas distribué via le Windows Store mais via un setup classique.

J'ai fait des recherches ici, ou là qui parlent de la signature du projet mais ce n'est pas clair pour moi.
Cet article me donne plus d'infos mais semble obsolète avec ce que propose Sydney.

Embarcadero propose une aide conséquente mais j'ai des questions:
- mon applicatif est win32, est-ce possible de la certifier ? Si oui, comment ?
- je ne diffuserai pas mon application sur le windows Store, dois-je passer par cette procédure Embarcadero ci-dessus pour certifier mon applicatif ?

Merci pour votre retour.

[Andnotor]

Oui c'est possible.

Premièrement acheter un certificat. Les moins chers semblent être par ici (j'utilise un certificat Comodo acquis à travers Tucows à l'époque mais ce service n'est plus disponible ). A l'achat, le certificat se trouve dans le navigateur et doit être exporté en pfx.

Ensuite il faut installer le Windows SDK pour y retrouver l'utilitaire signtool.exe.

La ligne de commande (pour un certificat Comodo) se présente comme suit pour une signature en SHA256 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"signtool.exe" sign /f "C:\Chemin\certificat.pfx" /p "MotDePasse" /fd sha256 /tr http://timestamp.comodoca.com/?td=sha256 /td sha256 /as /v "C:\Chemin\MonApp.exe"

On peut ajouter la commande en post-construction.

[lefju cabro]

Merci @Andnotor pour ton message.

Après installation du Windows 10 SDK, j'ai pu signer mon application avec la ligne de commande:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"PATH_SIGN_TOOL\signtool.exe" sign /f "PATH_CERTIF\MonCertif.pfx" /p MotDePasse /t <a href="http://timestamp.comodoca.com" target="_blank">http://timestamp.comodoca.com</a> "PATH_APP\MonApp.exe"

Par contre, j'ai remarqué dans Sydney (et peut-être avant ) qu'il y a une fenêtre approvisionnement pour Windows: j'ai pu y créer gratuitement un certificat (mon chef est ) et je pourrais signer automatiquement mon applicatif:


Malheureusement lorsque je déploie mon applicatif, j'ai un message d'erreur car il n'arrive pas à créer un appx pour le Windows Store:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

[PAClient Erreur] Erreur : E5128 The path (/p) parameter is: "\\?\C:\DEV\trunk\Projet\projet\bin\projet-unsigned.appx"

A priori cette partie n'est que pour le Windows Store.

[lefju cabro]

J'ai saisi les infos pour le faire en post-construction:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"C:\Program Files (x86)\Windows Kits\10\App Certification Kit\signtool.exe" sign /f "C:\DEV\trunk\Projet\CertifWin.pfx" /p xxxxxxxxxxxxxX /t http://timestamp.comodoca.com "$(OUTPUTPATH)"

Au final, soit l'appli n'est pas signée, soit j'ai un message d'erreur que le fichier de sortie est déjà utilisé

[pprem]

Pas besoin de faire la commande soi-même, on peut utiliser le déploiement Windows pour la signature depuis l'IDE.

Dans les options de déploiement sur le projet ou l'IDE en global, il est possible de basculer le déploiement Windows 32/64 "magasin d'application" en Ad-Hoc et donc de fournir le lien vers le certificat et son mot de passe. (au niveau du projet, c'est embarqué avec lui, donc à éviter si c'est de l'open source même si le fichier de signature lui-même n'est pas inclut).

du coup on travaille normalement et quand on veut la version signé, on peut simplement faire un déploiement Windows32/64 en mode Ad-Hoc

[lefju cabro]

Merci pour le message pprem.

J'ai crée un certificat puis renseigné les champs dans Projet/Options/Déploiement/Appro:


A la construction, mon *.exe de sortie n'est pas signé --> normal d'après ce que tu me dis

Au déploiement, j'ai un nouvel *.exe non signé --> étrange il me semble.

J'ai également mais aussi un *.appx signé. Mais lorsque j'exécute le *.appx, la signature semble mauvaise "Application Non Approuvée":

Ce package d’application n’est pas signé avec un certificat approuvé. Contactez votre administrateur système ou le développeur de l’application pour obtenir un nouveau certificat ou un package d’application avec des certificats approuvés. Le certificat racine et tous les certificats immédiats de la signature dans le package de l’application doivent être approuvés (0x800B010A)

Ce dernier point m'intéresse moins: je souhaite surtout obtenir un *.exe signé.

[SergioMaster]

@pprem un bon sujet de jeudi non ? Mais, peut-être que tu en as déjà parlé lors d'une session quelconque

[lefju cabro]

@pprem un bon sujet de jeudi non ? Mais, peut-être que tu en as déjà parlé lors d'une session quelconque

Bonjour SergioMaster,

Oui il y a déjà une vidéo conséquente de @pprem qui explique le déploiement sur Win (27min) et les autres plateformes.

Malgré tout, je rencontre ces problèmes et, en plus, la vidéo me fait poser 3 nouvelles questions:
1/ pas besoin d'acheter un "code signing certificate" sous Sydney 10.4.1 car on peut en créer un ?

2/ je n'ai pas compris le fait de ne pas utiliser son propre certificat (30min).

Si je crée un certificat pour un applicatif sous Sydney, je souhaite l'utiliser aussi bien pour une installation en interne que pour une installation client. Est-ce possible ?

3/ Dois-je utiliser un autre certificat pour la signature de mon setup d'install ou puis-je utiliser celui déjà existant pour mon applicatif ?

[pprem]

Normalement l'APPX (MSIX depuis 10.4.2) ne devait être fait que pour un déploiement magasin mais comme je ne me sers pas de cette fonctionnalité j'ai peut-être loupé un truc. On peut checker demain après-midi.

Pour le certificat, les certificats autosignés ne sont plus valides. Ca ne peut servir qu'en interne à condition de déployer aussi la clé privée sur les postes destinés à exécuter les programmes.
Il est obligatoire de prendre un certificat payant ET reconnu par Microsoft pour limiter les verrouillages par SmartScreen.

Comme Andnotor je passais par Tucows pour ça, mais ils ont fermé boutique :

A note to Tucows Downloads Authors/Developers

If you’re a developer who used the Tucows Author Resource Center (ARC) as part of your software dissemination, to buy code signing or other services, we’re happy to help with the transition.

Any certificates purchased through ARC remain valid. If you’re looking to buy or renew code signing certificates, we invite you to go straight to the source; Sectigo was our supplier and will be happy to be yours too.
Feel free to reach out to us at help@tucows.com if we can help with anything at all.

Du coup un achat en direct (ou chez un revendeur) est nécessaire et pour être le moins emmerdé possible, prendre plusieurs années d'un coup est recommandé quand on peut.

(beaucoup de logiciels open source ne sont pas signés et commencent à être rejetés lors des téléchargements, sur PC comme sur Mac, c'est agaçant en tant que développeur et c'est frustrant/inquiétant quand on est un simple utilisateur)

[pprem]

Juste pour rappel.

J'ai saisi les infos pour le faire en post-construction:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"C:\Program Files (x86)\Windows Kits\10\App Certification Kit\signtool.exe" sign /f "C:\DEV\trunk\Projet\CertifWin.pfx" /p XXXXXXXXXX /t http://timestamp.comodoca.com "$(OUTPUTPATH)"

Au final, soit l'appli n'est pas signée, soit j'ai un message d'erreur que le fichier de sortie est déjà utilisé

C'est très bien de censurer l'image que tu proposes, mais penses à ne pas laisser ton mot de passe en clair dans les commandes que tu copies/colles, même si dans ce cas le certificat est inutilisable et qu'il faudrait le fichier et sa clé privée pour en faire quelque chose. C'est un coup à diffuser un truc moins compliqué une prochaine fois.

[lefju cabro]

Normalement l'APPX (MSIX depuis 10.4.2) ne devait être fait que pour un déploiement magasin mais comme je ne me sers pas de cette fonctionnalité j'ai peut-être loupé un truc. On peut checker demain après-midi.

Oui c'est peut-être une étrangeté du mode ad-hoc de la 10.4.1 corrigée en 10.4.2 (avec nouveau format MSIX). Je n'ai pas encore installé la 10.4.2 pour test.

Pour le certificat, les certificats autosignés ne sont plus valides. Ca ne peut servir qu'en interne à condition de déployer aussi la clé privée sur les postes destinés à exécuter les programmes.
Il est obligatoire de prendre un certificat payant ET reconnu par Microsoft pour limiter les verrouillages par SmartScreen.

Merci pour les infos.

Dois-je prendre 1 certificat par *.exe ? C'est-à-dire, 1 pour le setup d'install et 1 pour l'applicatif en lui-même ?
Ou 1 certificat "Entrerprise" pour tous mes *.exe ?

[pprem]

Dois-je prendre 1 certificat par *.exe ? C'est-à-dire, 1 pour le setup d'install et 1 pour l'applicatif en lui-même ?
Ou 1 certificat "Entrerprise" pour tous mes *.exe ?

1 certificat par éditeur logiciel, valide de 1 à 3 ans.

[ouiouioui]

Je profite de la discussion pour donner l'adresse du revendeur que j'utilise : https://codesigncert.com/comodocodesigning
certificat COMMODO à 59$ si on prend 3ans qui a trouvé mieux ?
avant je faisait comme vous TUCOWS mais c'est finis c'est bien triste

et sinon signer en sha1 sha256 ? Ou les deux ?
Moi je fait les 2 à la suite :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
signtool.exe sign /f "chemin/cscertificat.pfx" /fd sha1 /t http://timestamp.comodoca.com/ /p "motdepasse" /d "description" /v "fichier à signer"
signtool.exe sign /f "chemin/cscertificat.pfx" /as /fd sha256 /td sha256 /tr /t http://timestamp.comodoca.com/?td=sha256 /p "motdepasse" /d "description" /v "fichier à signer"

[lefju cabro]

Je profite de la discussion pour donner l'adresse du revendeur que j'utilise : https://codesigncert.com/comodocodesigning
certificat COMMODO à 59$ si on prend 3ans qui a trouvé mieux ?

Merci pour le lien.

J'ai également vu qu'un certificat amélioré "Comodo EV Code Signing Certificate" existe.
Je comprends ses avantages (réputation dans Microsoft SmartScreen, malware, ransomware) mais également son inconvénient (prix 319$/an).

Est-ce que le certif basique est suffisant ? Pas sûr à cause de SmartScreen qui est que dans le certif plus.

[pprem]

https://www.comodoca.com/codesigning donne des explications

[pprem]

Et côté génération / signature depuis Delphi, ça s'est confirmé lors des tests en ligne de 14 heures : il ne fait plus que du MSIX en 10.4.2 lorsqu'on fait un déploiement RELEASE / MAGASIN D'APPLICATION, qu'on soit en AD-HOC ou à destination du Windows Store.

[lefju cabro]

Et côté génération / signature depuis Delphi, ça s'est confirmé lors des tests en ligne de 14 heures : il ne fait plus que du MSIX en 10.4.2 lorsqu'on fait un déploiement RELEASE / MAGASIN D'APPLICATION, qu'on soit en AD-HOC ou à destination du Windows Store.

Merci pour les infos.

Live dispo ici