Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie Ihre App als MSIX-Paket über den Microsoft Store veröffentlichen, ist die Code-Signierung für Sie kostenlos und wird automatisch erledigt – Microsoft signiert das Paket nach der Zertifizierung erneut und Sie müssen kein Zertifikat kaufen oder verwalten. Wenn Sie als MSI/EXE-Installationsprogramm über den Store veröffentlichen, sind Sie dafür verantwortlich, ihr Installationsprogramm vor der Übermittlung zu signieren. Alles andere in diesem Artikel bezieht sich auf Apps, die außerhalb des Microsoft Store verteilt werden.
Vergleich auf einen Blick
| Auswahl | Cost | Verfügbarkeit | SmartScreen-Verhalten | Berechtigter Store | Am besten geeignet für: |
|---|---|---|---|---|---|
| Microsoft Store (MSIX) – Store signiert Ihr Paket neu | Kostenlos | Weltweit | ✅ Keine Warnungen | ✅ Ja | Empfohlen für die meisten neuen Apps |
| Microsoft Store (MSI/EXE Installer) - Herausgeber muss signieren | Zertifikatskette an vertrauenswürdige Stammprogramm-Zertifizierungsstelle erforderlich (variiert je nach Zertifizierungsstelle) | Weltweit | ✅ Während der Store-Installation werden keine SmartScreen-Eingabeaufforderungen angezeigt (UAC wird möglicherweise noch angezeigt) | ✅ Ja | Vorhandene Win32-Apps, die über den MSI/EXE-Installationspfad übermittelt werden |
| Azure Artifact Signing (früher vertrauenswürdige Signatur) | ~$9,99/Monat | Organisationen: USA, Kanada, EU, Vereinigtes Königreich. Einzelpersonen: Nur USA und Kanada | ⚠– Reputation wird im Laufe der Zeit aufgebaut; Anfängliche Warnungen sind zu erwarten | ❌ Nein | Empfohlen für die Nicht-Store-Verteilung |
| OV-Zertifikat (von einer Zertifizierungsstelle wie DigiCert, Sectigo) | $ 150–300/Jahr | Weltweit | ❌ Nein | Entwickler, die Azure Artifact Signing nicht verwenden können oder herkömmliche CAs bevorzugen | |
| EV-Zertifikat | $ 400+/Jahr | Weltweit | ⚠— Identisch mit OV seit 2024 — keine sofortige Umgehung mehr | ❌ Nein | Nicht mehr zur Umgehung von SmartScreen empfohlen |
| Selbstsigniertes Zertifikat | Kostenlos | — | ❌ Blockiert die Installation für öffentliche Benutzer | ❌ Nein | Nur Entwickler/Tests oder Unternehmen mit verwalteter Zertifikatvertrauensstellung |
| Keine Signatur | Kostenlos | — | ❌ Starker SmartScreen-Block; Unternehmen können vollständig blockieren | ❌ Nein | Nicht für die öffentliche Verteilung empfohlen |
Microsoft Store – MSIX-Übermittlungen: Keine Signatur erforderlich
Das Veröffentlichen eines MSIX-Pakets über den Microsoft Store ist der empfohlene Verteilungspfad für die meisten Windows Apps. Microsoft Ihr Paket automatisch neu signiert, was bedeutet, dass Benutzern nie eine SmartScreen-Warnung angezeigt wird und Sie nie ein Zertifikat kaufen oder erneuern müssen.
Hinweis
Wenn Sie ein Win32 MSI- oder EXE-Installationsprogramm an den Store übermitteln (anstelle eines MSIX-Pakets), signiert Microsoft das Installationsprogramm nicht erneut. Das Installationsprogramm und seine PE-Dateien müssen von einer Zertifizierungsstelle im Microsoft Trusted Root Program signiert werden – selbstsignierte Zertifikate werden nicht akzeptiert. Siehe App-Paketanforderungen für MSI/EXE.
Erstellen Sie ein kostenloses Entwicklerkonto bei storedeveloper.microsoft.com. Nachdem Sie sich registriert haben, verwenden Sie Partner Center , um Ihre App zu übermitteln und ihren Eintrag zu verwalten.
→ Publishen Sie Ihre App mit dem Microsoft Store
Azure Artefaktsignierung (vormals Trusted Signing) – empfohlen für Nicht-Store-Verteilung
Azure Artifact Signing (vormals vertrauenswürdige Signatur) ist Microsoft empfohlener Codesignaturdienst für Entwickler, die Apps außerhalb des Store verteilen.
Wichtige Details:
- Kosten: Ungefähr 9,99 USD /Monat – deutlich weniger als ein herkömmliches OV- oder EV-Zertifikat
- Identity validation: Microsoft überprüft Ihre Organisation oder individuelle Identität vor dem Ausstellen von Zertifikaten; planen Sie einige Werktage für die Überprüfung.
- No hardware token required: Signierung ist direkt in CI/CD-Pipelines (GitHub Actions, Azure DevOps und andere) integriert – Sie benötigen kein physisches USB-Token.
- SmartScreen-Verhalten: Dasselbe Reputations-Building-Modell wie OV-Zertifikate – neue Dateien zeigen eine SmartScreen-Warnung an, bis sie genügend Downloadverlauf sammeln. Azure Artefaktsignierung stellt nicht sofortige SmartScreen-Vertrauensstellung bereit.
Von Bedeutung
Geographic limitation: Azure Artifact Signing steht Organisationen in den USA, Kanada, der Europäischen Union und dem Vereinigten Königreich zur Verfügung. Einzelne Entwickler sind derzeit auf die USA und Kanada beschränkt. Wenn Sie ein einzelner Entwickler außerhalb dieser Regionen sind, lesen Sie die OV-Zertifikate unten.
→ Azure Artefaktsignaturdokumentation
→ Signieren eines MSIX-Pakets mit SignTool
OV-Zertifikate – traditionelle CA-Option
Organisationsvalidierte (OV)-Zertifikate einer Zertifizierungsstelle wie DigiCert, Sectigo oder GlobalSign sind eine bewährte Option für die Codesignierung. Sie sind die richtige Wahl, wenn:
- Sie befinden sich außerhalb der USA, Kanadas, der EU oder des Vereinigten Königreichs (Organisationen); oder außerhalb der USA oder Kanada (einzelne Entwickler) und können Azure Artifact Signing nicht verwenden.
- Ihre Organisation verfügt bereits über eine Beziehung zu einer bestimmten Zertifizierungsstelle.
- Für Ihre Unternehmenskunden ist ein Zertifikat von einer bestimmten Zertifizierungsstelle erforderlich.
Wichtige Details:
- Kosten: In der Regel $ 150-300/Jahr je nach Zertifizierungsstelle und Zertifikatstufe
- Identitätsüberprüfung: Die Zertifizierungsstelle überprüft die rechtliche Identität Ihrer Organisation vor der Ausstellung des Zertifikats; Mehrere Werktage zulassen
- HSM-Anforderung: Ab Juni 2023 erfordert das CA/Browser Forum private Schlüssel für OV-Zertifikate, die auf einem Hardwaresicherheitsmodul (Hardware Security Module, HSM) oder Hardwaretoken gespeichert werden sollen. Die meisten CAs bieten eine kompatible USB-Token- oder Cloud-HSM-Option.
- SmartScreen-Verhalten: Entspricht Azure Artefaktsignierung – Zuverlässigkeit wird im Laufe der Zeit pro Dateihash angesammelt. Erwarten Sie SmartScreen-Eingabeaufforderungen für neue Dateien.
OV-Zertifikate sind eine bewährte Option und entsprechen funktionell Azure Artefaktsignierung für SmartScreen-Zwecke. Wenn Sie sich in den USA oder Kanada (oder einer Organisation in der EU oder Großbritannien) befinden, ist die Azure Artefaktsignierung in der Regel kostengünstiger und lässt sich reibungsloser in automatisierte Build-Pipelines integrieren.
EV-Zertifikate – nicht mehr für SmartScreen empfohlen
Erweiterte Validierungszertifikate (Extended Validation, EV) haben SmartScreen zuvor vollständig beim ersten Download umgangen, wodurch sie die go-to Wahl für neue Apps ohne Reputation sind. Dieses Verhalten wurde 2024 entfernt. EV-signierte Dateien durchlaufen jetzt den gleichen Reputationsaufbauprozess wie OV-Zertifikate.
Was dies bedeutet:
- Wenn Sie bereits über ein EV-Zertifikat verfügen, ist es weiterhin gültig und funktionsfähig für die Signatur – verwenden Sie es weiterhin, bis es abläuft.
- EV-Zertifikate erfordern weiterhin eine strengere Identitätsüberprüfung, was für die Beschaffung von Unternehmen oder andere Vertrauenskontexte von Bedeutung sein kann.
- Die Zahlung der EV-Prämie ($400+/Jahr) allein, um SmartScreen-Warnungen zu vermeiden, ist nicht mehr gerechtfertigt – Sie sehen immer noch die gleichen Warnungen wie bei einem OV-Zertifikat
SmartScreen-Reputation für Entwickler für ausführliche Informationen dazu, wie Reputation aufgebaut wird und was Benutzer sehen
Selbstsignierte Zertifikate – nur Entwickler und Tests
Ein selbstsigniertes Zertifikat wird standardmäßig von Windows nicht vertraut und führt dazu, dass für jeden Benutzer ein strikter SmartScreen-Block ausgelöst wird, der das Zertifikat nicht manuell als vertrauenswürdige Stammzertifizierungsstelle installiert hat. Dies macht selbstsignierte Zertifikate für die öffentliche Verteilung ungeeignet.
Geeignete Verwendungsmöglichkeiten:
- Lokale Entwicklung und Tests – Sie steuern den Computer und können das Zertifikat manuell installieren.
- Interne Unternehmensverteilung – Ihre IT-Abteilung kann das Zertifikat über Intune oder Gruppenrichtlinien als vertrauenswürdiger Stamm bereitstellen, sodass verwaltete Geräte die App im Hintergrund installieren können.
→ Signieren eines MSIX-Pakets mit SignTool
Open source: SignPath Foundation
Wenn Ihr Projekt Open Source ist, bietet SignPath Foundation kostenlose Codesignatur für qualifizierende Open-Source-Projekte. Das Programm stellt die Zertifikatsignierung auf OV-Ebene über eine verwaltete Pipeline bereit. Überprüfen Sie die SignPath Foundation-Website auf Berechtigungsanforderungen und den Bewerbungsprozess.
Verwandte Inhalte
Zusammenarbeit auf GitHub
Die Quelle für diesen Inhalt finden Sie auf GitHub, wo Sie auch Issues und Pull Requests erstellen und überprüfen können. Weitere Informationen finden Sie in unserem Leitfaden für Mitwirkende.
Windows developer