Paket-Scripts digital signieren

Seit Version 2.1 der Packaging PowerBench können Sie das Paket-Script Script.ps1 und optional weitere Paket-Dateien im Rahmen der Vorbereitung des Pakets zur Verteilung automatisch digital signieren.

Um die Paket-Signierung zu aktivieren, wechseln in die Einstellungen und ändern im Abschnitt "Paket-Einstellungen" den Wert der Eigenschaft "Script-Code Signierung". Diese Einstellung kann drei Werte annehmen:

  • Paketdateien nicht digital signieren (Standard-Einstellung)
    Wenn Sie diesen Wert einstellen, erhalten Paketdateien - wie in älteren PPB-Versionen - keine digitale Signatur.
  • Zertifikat aus Zertifikatspeicher wählen
    Wenn Sie diesen Wert konfigurieren, müssen Sie ein ein installiertes Code-Signing Zertifikat aus Ihrem persönliche Zertifikatsspeicher auswählen.
  • Zertifikatsdatei verwenden
    Wenn Sie die Einstellung auf diesen Wert festlegen, wählen Sie eine PFX-Zertifikatsdatei, die zur Signatur verwendet wird. 


Wenn Sie ein zur Signierung geeignetes Code-Signing Zertifikat in Ihrem persönliche Zertifikatsspeicher installiert haben, wählen Sie die Option "Zertifikat aus Zertifikatspeicher wählen". Die folgenden Einstellungen sind dann verfügbar:

  • Zertifikat aus Zertifikatspeicher
    Durch Drücken auf die "..."-Schaltfläche können Sie ein installiertes Code-Signing Zertifikat auswählen. Das ausgewählte Zertifikat wird als Pfad auf dem PowerShell Cert:\-Laufwerk gespeichert. Sie können den Pfad, sofern er Ihnen bekannt ist, selbstverständlich auch direkt eingeben.
  • Zu signierende Paketdatei(en)
    Standardmäßig werden beim Aktivieren der Paket-Signierung nur das Paket-Script Script.ps1 selbst signiert. Wenn Sie aber weitere Paket-Dateien signieren möchten, beispielsweise von Hilfs-Scripts, die Sie im SupportFiles-Ordner abgelegt haben, können Sie diese in dieser Einstellung durch Kommata getrennt angeben.
  • Hash-Algorithmus für die Signierung
    Mit dieser Einstellung legen Sie fest, welcher Algorithmus zur Berechnung des Signatur-Hashes verwendet wird.
    • SHA256
      Verwendet den Secure Hash Algorithmus SHA-256. Dies ist der Standardwert und sollte nur geändert werden, wenn besondere Umstände es erforderlich machen.
    • SHA1
      Der SHA-1 Algorithmus ist veraltet und gilt nicht mehr als sicher, daher wird von der Verwendung dieser Einstellung abgeraten.
    • MD5
      Der MD5 Algorithmus ist veraltet und gilt nicht mehr als sicher, daher wird von der Verwendung dieser Einstellung abgeraten.
  • Zeitstempel-Service URL
    Wenn Sie die Signatur mit einem Zeitstempel versehen möchten, geben Sie in diesem Feld die URL zu dem zu verwendenden Zeitstempel-Dienst an.


Liegt Ihr Code-Signing Zertifikat in Form einer .pfx-Datei vor, dann wählen Sie die Option "Zertifikatsdatei" verwenden. Die folgenden Einstellungen sind in diesem Fall zu konfigurieren:

  • Pfad zur Zertifikatsdatei
    Durch Drücken auf die "..."-Schaltfläche können Sie das zu verwendende PFX-Zertifikat aus dem Dateisystem auswählen. Das ausgewählte Zertifikat wird als Pfad gespeichert. Sie können den Pfad, sofern er Ihnen bekannt ist, selbstverständlich auch direkt eingeben.
  • Kennwort des Zertifikats
    Da die Zertifikatsdatei den privaten Schlüssel des Zertifikats enthält, ist sie durch ein Kennwort geschützt. Wenn Sie das Kennwort an dieser Stelle nicht eingeben möchten, können Sie die Einstellung auch leer lassen. Sie werden dann im Rahmen der Vorbereitung zur Verteilung nach dem Zertifikats-Kennwort gefragt.
  • Zu signierende Paketdatei(en)
    Standardmäßig werden beim Aktivieren der Paket-Signierung nur das Paket-Script Script.ps1 selbst signiert. Wenn Sie aber weitere Paket-Dateien signieren möchten, beispielsweise von Hilfs-Scripts, die Sie im SupportFiles-Ordner abgelegt haben, können Sie diese in dieser Einstellung durch Kommata getrennt angeben.
  • Hash-Algorithmus für die Signierung
    Mit dieser Einstellung legen Sie fest, welcher Algorithmus zur Berechnung des Signatur-Hashes verwendet wird.
    • SHA256
      Verwendet den Secure Hash Algorithmus SHA-256. Dies ist der Standardwert und sollte nur geändert werden, wenn besondere Umstände es erforderlich machen.
    • SHA1
      Der SHA-1 Algorithmus ist veraltet und gilt nicht mehr als sicher, daher wird von der Verwendung dieser Einstellung abgeraten.
    • MD5
      Der MD5 Algorithmus ist veraltet und gilt nicht mehr als sicher, daher wird von der Verwendung dieser Einstellung abgeraten.
  • Zeitstempel-Service URL
    Wenn Sie die Signatur mit einem Zeitstempel versehen möchten, geben Sie in diesem Feld die URL zu dem zu verwendenden Zeitstempel-Dienst an.


Nachdem Sie die Script-Code Signierung aktiviert und konfiguriert haben, bemerken Sie zunächst keinen Unterschied beim Arbeiten mit der Packaging PowerBench. Wenn Sie jedoch, wie im Abschnitt Pakete zur Verteilung vorbereiten beschrieben, die aktuelle Paket-Revision in das Rev\n-Unterverzeichnis kopieren, werden die in der Einstellung "Zu signierende Paketdatei(en)" angegebenen Dateien digital signiert. Sofern Sie auch eine Zeitstempel-Service URL angegeben haben, erhält die Signatur auch einen Timestamp, sodass die Signatur auch dann noch gültig bleibt, wenn das Signatur-Zertifikat abgelaufen ist.

Sie können im Rev\n-Unterverzeichnis des Paketverzeichnisses prüfen, ob die angegebenen Dateien korrekt signiert wurden, indem Sie in den Eigenschaften auf das Register "Digitale Signaturen" wechseln in die dortigen Angaben überprüfen.