Digitales Signieren von Add-Ins
ArcGIS for Desktop-Add-Ins können digital signiert werden, um die Sicherheit in Situationen zu verbessern, in denen Add-In-Dateien veröffentlicht und von mehreren Benutzern gemeinsam verwendet werden. Mithilfe von digital signierten Add-In-Dateien kann die Quelle der Datei bestätigt und überprüft werden, ob der ursprüngliche Dateiinhalt nach dem Anwenden der Signatur auch nicht geändert wurde. Das Vorhandensein einer digitalen Signatur für eine Add-In-Datei bedeutet jedoch nicht zwangsläufig, dass das Add-In frei von Programmfehlern ist. Sobald eine Add-In-Datei digital signiert wurde, wird die digitale Signatur durch das Ändern oder Entfernen von Dateiinhalten ungültig. Beim Installieren neuer Add-In-Dateien und Überprüfen vorhandener Add-In-Dateien mit dem Add-In-Manager werden Add-In-Dateien mit ungültiger Signatur in der Benutzeroberfläche deutlich hervorgehoben. Jede digitale Signatur ist mit einem digitalen ITU X.509-Standardzertifikat verknüpft, über das die Signatur während des Signierungsprozesses angewendet wird. Vertrauenswürdige Signaturen sind solche, die mit einem digitalen Zertifikat erstellt werden, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Im Speicher "Vertrauenswürdige Stammzertifizierungsstellen" des Windows-Betriebssystems wird eine Datenbank vertrauenswürdiger Zertifikate verwaltet. Sie können die in diesem Speicher registrierten Zertifikate mit dem MMC Certificates-Snap-In oder aus Internet Explorer über Extras > Internetoptionen > Inhalte überprüfen.
Weitere Informationen zu digitalen Zertifikaten finden Sie unter Working with Certificates (Verwenden von Zertifikaten).
Installieren von Add-In-Dateien mit digitalen Signaturen
Zwar können Add-In-Dateien installiert werden, indem sie in einen geeigneten bekannten Ordner kopiert werden, diese Vorgehensweise wird jedoch nicht empfohlen, ohne zuvor die Quelle und den Inhalt der Datei zu überprüfen. Wenn Sie in einem Webbrowser, einem E-Mail-Client oder im Windows-Explorer auf einen Add-In-Datei-Link klicken, wird automatisch das nachstehend abgebildete Dialogfeld Esri ArcGIS-Add-In-Installationshilfsprogramm geöffnet.
In diesem Dialogfeld werden relevante Add-In-Informationen wie z. B. Name, Datum, Autor, Version und Beschreibung des Add-Ins angezeigt. Wenn die Add-In-Datei digital signiert wurde, werden in diesem Dialogfeld auch Informationen zur Signatur angezeigt. Sollte eine der angezeigten Informationen nicht zufriedenstellend sein, kann der Installationsprozess vom Benutzer abgebrochen werden; die Add-In-Datei wird dann nicht installiert.
Abhängig von den internen Richtlinien der erstellenden Organisation können Add-In-Dateien auch mit mehreren digitalen Signaturen signiert werden. Im Bereich "Digitale Signatur/en" des Dialogfeldes Esri ArcGIS-Add-In-Installationshilfsprogramm werden der Unterzeichner, der Datumsstempel und die Gültigkeit der ausgewählten Signatur sowie Informationen darüber angezeigt, ob das verknüpfte Zertifikat von einer vertrauenswürdigen Quelle stammt. Zum Aufrufen ausführlicher Informationen über das Zertifikat der ausgewählten Signatur klicken Sie auf die Schaltfläche Zertifikat anzeigen.
Ein sichere Add-In-Datei muss über mindestens eine digitale Signatur verfügen, die sowohl gültig als auch vertrauenswürdig ist. Eine ungültige Signatur weist darauf hin, dass der Inhalt der Add-In-Datei seit dem Anwenden der Signatur auf irgendeine Weise geändert wurde.
Verwalten der ArcGIS for Desktop-Sicherheitsrichtlinie für Add-Ins
Im Dialogfeld Add-In-Manager, das in jeder Desktop-Anwendung über das Menü Anpassen aufgerufen werden kann, wird eine Liste aller aktuell auf dem Computer installierten Add-In-Dateien angezeigt.
Neben anderen Informationen zur Add-In-Datei wird der Status der digitalen Signatur in dem in der folgenden Bildschirmaufnahme hervorgehobenen Bereich angezeigt:
Der Signaturstatus kann anhand der folgenden Tabelle ermittelt werden:
Status | Beschreibung |
|---|---|
Keine | Die ausgewählte Add-In-Datei enthält keine digitalen Signaturen. |
Nicht vertrauenswürdig | Die auf die Add-In-Datei angewendete digitale Signatur stammt nicht von einer vertrauenswürdigen Quelle. |
Ungültig | Die digitale Signatur ist aufgrund einer Veränderung des Add-In-Dateiinhalts ungültig geworden, oder das Zertifikat ist abgelaufen. |
Authentifiziert | Die Datei ist digital signiert, und die Signatur ist gültig und stammt von einer vertrauenswürdigen Quelle. |
Auf der Registerkarte Optionen des Dialogfeldes Add-In-Manager können Sie Optionen anzeigen und ändern, die die Handhabung der Sicherheit von Add-In-Dateien betreffen. Folgende Optionen stehen zur Verfügung, aufgeführt von der Option mit der höchsten zur Option mit der niedrigsten Sicherheit:
- Nur von Esri bereitgestellte Add-Ins laden; dies bedeutet, dass keine angepassten Add-In-Dateien in dieser Anwendung geladen oder ausgeführt werden.
- Digitale Signatur der Add-Ins durch vertrauenswürdigen Herausgeber erfordern.
- Alle Add-Ins ohne Einschränkungen laden; alle Add-Ins werden geladen, unabhängig davon, ob sie digitale Signaturen aufweisen.
Hinweis:Benutzer ohne Administratorberechtigungen können diese Einstellungen nicht so ändern, dass das System weniger sicher wird als mit den Einstellungen, die ein Administrator bereits auf dem Computer festgelegt hat. Optionen, die Nicht-Administratoren nicht zur Verfügung stehen, sind auf dieser Registerkarte nicht wählbar.
Anwenden von digitalen Signaturen auf Add-In-Dateien
Das Hilfsprogramm ESRISignAddIn.exe, das im Download des Python Add-In-Assistent enthalten ist, kann zum Signieren von ArcGIS for Desktop-Add-Ins verwendet werden.
Wenn Sie dieses Hilfsprogramm verwenden möchten, müssen Sie es in den Unterordner bin des ArcGIS-Installationsverzeichnisses kopieren und über ein ITU X.509-Zertifikat verfügen, das sowohl öffentliche als auch private Verschlüsselungsschlüssel enthält. Digitale Zertifikate können von Zertifizierungsstellen innerhalb einer Organisation oder von einer öffentlichen Zertifizierungsstelle wie VeriSign oder Thawte ausgestellt werden. Nachdem Sie die Add-In-Eingabedatei ausgewählt haben, wird eine Liste mit Zertifikaten angezeigt, die Sie zum Signieren verwenden dürfen. Nachdem Sie ein gültiges Zertifikat ausgewählt haben, wird die Add-In-Datei signiert und ausgegeben; hierbei wird entweder die ursprüngliche Datei überschrieben oder ein neuer Dateiname zugewiesen. Mit dem Hilfsprogramm können auch vorhandene digitale Signaturen angezeigt oder entfernt werden.
Technische Details
Add-In-Dateien sind komprimierte Archivdateien (.zip), die verschiedene Dateien und Unterordner enthalten und den Open Packaging Conventions der ECMA entsprechen. Das Format der digitalen Signatur entspricht dem XML Digital Signature Standard (XMLDsig) des W3C. Weitere Informationen hierzu finden Sie unter den folgenden Links: