🥇 Aktivierung Certum Code Signing SimplySign

Anleitung zur Aktivierung eines Certum Code Signing Zertifikats mit SimplySign

SimplySign ist eine Cloud-basierte Lösung, bei der Ihr Zertifikat sicher in einem virtuellen Hardware Security Module (HSM) gespeichert wird. Dies erfüllt alle aktuellen Sicherheitsanforderungen für Code Signing Zertifikate, da der private Schlüssel Ihr Gerät niemals verlässt.

Die SimplySign Desktop App stellt Ihr Cloud-Zertifikat über eine virtuelle Smartcard in Windows bereit, während Ihr Mobiltelefon als zweiter Faktor (Multi-Faktor-Authentifizierung) und sicherer Token-Generator dient. Dadurch verbleibt der private Schlüssel durchgehend im geschützten HSM, kann aber dennoch zum Signieren verwendet werden.

Voraussetzungen

Für die Nutzung von SimplySign benötigen Sie ein ausgestelltes Certum Code Signing Zertifikat, ein Smartphone oder Tablet (Android / iOS), sowie einen Desktop-PC mit Internetzugang. Zusätzlich benötigen Sie Zugriff auf die E-Mail-Adresse, die Sie bei der Zertifikatsbestellung verwendet haben, da Certum die Aktivierungslinks dorthin sendet.

Komponenten

(A) SimplySign Mobile App (Android / iOS)
Die SimplySign Mobile App erzeugt zeitbasierte OTP-Tokens für die Anmeldung bei SimplySign (Multi-Faktor-Authentifizierung).

Hinweis: Die SimplySign Mobile App kann nur auf einem einzigen mobilen Gerät aktiviert werden. Bitte wählen Sie jenes Gerät aus, das Sie dauerhaft verwenden möchten.

(B) SimplySign Desktop App (Windows / macOS / Linux)
Die SimplySign Desktop App fungiert als virtuelle Smartcard, die Ihr Cloud-basiertes Code Signing Zertifikat für Windows bereitstellt. Der private Schlüssel verbleibt dabei immer sicher im Certum-HSM.

Komponente	Plattform	Funktion
SimplySign Mobile App	Android / iOS	Erzeugt One-Time-Passwörter (OTP) für die sichere Anmeldung
SimplySign Desktop App	Windows / macOS / Linux	Stellt das Cloud-Zertifikat über eine virtuelle Smartcard für Windows bereit

(A) Installation der SimplySign Mobile App (Token-Generator für Android, iOS)

Die Installation ist erst möglich, nachdem Ihr Code Signing Zertifikat ausgestellt wurde.

– Sie erhalten eine E-Mail mit dem Betreff: „Certificate has been created.“

– Zusätzlich erhalten Sie zwei weitere E-Mails mit Ihren SimplySign-Zugangsdaten:
„Regaining access to the SimplySign service“ und „Secret for regaining access to the SimplySign“.

(1) Installieren Sie die SimplySign Mobile App für Ihr Endgerät:
Android | Apple iOS

(2) Öffnen Sie auf Ihrem PC den Link aus der E-Mail „Regaining access to the SimplySign service“ und geben Sie den geheimen Code aus der E-Mail „Secret for regaining access to the SimplySign“ ein:

(3) Es wird ein QR-Code angezeigt – diesen benötigen Sie für die Aktivierung auf Ihrem mobilen Gerät:

(4) Öffnen Sie die SimplySign Mobile App und tippen Sie auf „Activate application“:

(5) Tippen Sie auf „Other activation methods“ (geben Sie hier KEINE E-Mail-Adresse ein!):

(6) Wählen Sie „QR code“ und scannen Sie den QR-Code aus Schritt 3:

(7) Wählen Sie „Generate Token“ und tippen Sie auf „Finish activation“:

Die SimplySign Mobile App wurde erfolgreich für die Multi-Faktor-Authentifizierung aktiviert!
Diese App wird jedes Mal benötigt, wenn die Desktop App ein aktuelles OTP anfordert.

(B) Installation der SimplySign Desktop App (Zertifikats-Bereitstellung für Windows, macOS, Linux)

Die Software steht auf der Seite der Vergabestelle zum Download bereit:
Certum Software Download

Aktivieren Sie ausschließlich die SimplySign Desktop App.

Deaktivieren Sie die Option „proCertum SmartSign“.

SimplySign Desktop App Installation Window

Melden Sie sich nach der Installation mit Ihrer SimplySign E-Mail-Adresse und dem aktuellen OTP aus der Mobile App an:

Nach erfolgreicher Anmeldung erscheint das SimplySign-Symbol SimplySign Taskbar Icon in der Windows-Taskleiste. Die App läuft im Hintergrund und stellt das Cloud-Zertifikat über die virtuelle Smartcard für Windows bereit.

Prüfen, ob das SimplySign Zertifikat bereitgestellt wurde

Nach dem Login sollte das Zertifikat über die virtuelle Smartcard-Schnittstelle im Windows Zertifikatspeicher (CurrentUser\My) sichtbar sein.

Um sicherzustellen, dass das richtige Zertifikat geladen wurde und keine abgelaufenen Zertifikate ausgewählt werden, prüfen Sie es in PowerShell:

Nur aktive (nicht abgelaufene) Code Signing Zertifikate anzeigen:

1	Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert \| Where-Object { $_.NotAfter -gt (Get-Date) } \| Select-Object Subject, Issuer, NotBefore, NotAfter, Thumbprint \| Format-List

Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert | Where-Object { $_.NotAfter -gt (Get-Date) } | Select-Object Subject, Issuer, NotBefore, NotAfter, Thumbprint | Format-List

Ergebnis: Sie sehen nur gültige SimplySign / Certum Code Signing Zertifikate – inklusive Subject, Aussteller und Gültigkeitsdauer. Dies erleichtert die Auswahl des korrekten SHA1-Thumbprints für signtool.exe.

Nach dem erfolgreichen Login in die SimplySign Desktop App können Sie Ihren Code signieren!

(C) Software und Code signieren

Sie können Ihre Anwendungen nun wie folgt signieren:

signtool.exe

SignTool ist ein Bestandteil des Windows SDK und dient zum digitalen Signieren von Software unter Windows.

1	signtool.exe sign /tr http://time.certum.pl /td sha256 /fd sha256 /a program.exe

signtool.exe sign /tr http://time.certum.pl /td sha256 /fd sha256 /a program.exe

Wenn mehrere Zertifikate installiert sind, wählen Sie das richtige Zertifikat mit dem Parameter /sha1:

1	signtool.exe sign /sha1 "A1B2C3D4E5A6B7C8D9E0A1B2C3D4E5A6B7C8D9E0" /tr http://time.certum.pl /td sha256 /fd sha256 program.exe

signtool.exe sign /sha1 "A1B2C3D4E5A6B7C8D9E0A1B2C3D4E5A6B7C8D9E0" /tr http://time.certum.pl /td sha256 /fd sha256 program.exe

Hinweis: Der SHA1-Thumbprint muss in Großbuchstaben eingegeben werden.

Tipp: Falls signtool.exe meldet: „No certificates were found that met all the given criteria“ – prüfen Sie das Zertifikat erneut per PowerShell oder wählen Sie es explizit mit /sha1 aus.

Mage.exe (Manifest Generation and Editing Tool)

Beim Signieren mit Mage.exe geben Sie den SHA1-Thumbprint Ihres Zertifikats als CertHash Parameter an:

1	mage.exe -Sign app.exe.manifest -Algorithm sha256RSA -CertHash A1B2C3D4E5A6B7C8D9E0A1B2C3D4E5A6B7C8D9E0 -TimeStampUri http://time.certum.pl

mage.exe -Sign app.exe.manifest -Algorithm sha256RSA -CertHash A1B2C3D4E5A6B7C8D9E0A1B2C3D4E5A6B7C8D9E0 -TimeStampUri http://time.certum.pl

Hinweis: Verwenden Sie vollständige Dateipfade in Anführungszeichen.

SHA1 Thumbprint

Sie können den SHA1-Thumbprint Ihres Zertifikats in PowerShell wie folgt anzeigen:

1	Get-ChildItem cert:\ -Recurse -CodeSigningCert

Get-ChildItem cert:\ -Recurse -CodeSigningCert

(D) SimplySign Desktop Optionen

Um das Zertifikat ohne erneute Eingabe des OTP für mehrere Stunden verfügbar zu halten, aktivieren Sie folgende Optionen. Der PIN-Cache ist 3 Stunden gültig.

Rechtsklick auf das SimplySign-Symbol in der Taskleiste → „Options“:
CHECK – Enable PIN cache for CSP/KSP-based applications
CHECK – Clean PIN cache after disconnect

(E) Fehlerbehebung

Kein Zertifikat in PowerShell sichtbar: Prüfen Sie den Login in der SimplySign Taskleiste, führen Sie PowerShell NICHT als Administrator aus, stellen Sie eine Internetverbindung sicher.
SignTool findet das Zertifikat nicht: Verwenden Sie den Parameter /sha1 oder starten Sie die SimplySign Desktop App neu.
OTP abgelaufen: Neues OTP in der Mobile App erzeugen und erneut anmelden.

Checkliste

[ ] Mobile App installiert und per QR aktiviert
[ ] Desktop App installiert und eingeloggt (Taskleisten-Symbol sichtbar)
[ ] Zertifikat in PowerShell sichtbar (Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert)
[ ] Signatur funktioniert mit signtool.exe oder mage.exe