<div dir="ltr">Hi Alex,<div class="gmail_extra">
<br><div class="gmail_quote">On Tue, Apr 19, 2016 at 10:42 PM, Alex Mandel <span dir="ltr"><<a href="mailto:tech_dev@wildintellect.com" target="_blank">tech_dev@wildintellect.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 04/19/2016 02:59 PM, Larry Shaffer wrote:<br>
> Hi,<br>
><br>
> On Thu, Mar 24, 2016 at 3:33 PM, Larry Shaffer <<a href="mailto:larrys@dakotacarto.com">larrys@dakotacarto.com</a>><br>
> wrote:<br>
><br>
>> Hi,<br>
>><br>
>> On Wed, Mar 23, 2016 at 6:47 AM, Jürgen E. <<a href="mailto:jef@norbit.de">jef@norbit.de</a>> wrote:<br>
>><br>
>>> Hi Richard,<br>
>>><br>
>>> On Wed, 23. Mar 2016 at 08:59:29 +0100, Richard Duivenvoorde wrote:<br>
>>>> So Question: who should (and can) buy and put these certs in a safe, and<br>
>>>> make it possible for Larry to get one and create an installer?<br>
>>><br>
>>> See also <a href="https://lists.osgeo.org/pipermail/board/2015-October/013445.html" rel="noreferrer" target="_blank">https://lists.osgeo.org/pipermail/board/2015-October/013445.html</a><br>
>>> and <a href="https://lists.osgeo.org/pipermail/board/2015-October/013363.html" rel="noreferrer" target="_blank">https://lists.osgeo.org/pipermail/board/2015-October/013363.html</a>.<br>
>>><br>
>>> Not sure if Larry meanwhile joined SAC and if there was any progress<br>
>>> on this already...<br>
>><br>
>><br>
>> Apologizes, as my work took me far away from this for quite some time. I<br>
>> have not joined SAC and I believe no action has taken place to procure any<br>
>> certificates. I will have time starting in April to work on setting up<br>
>> scripts for signing QGIS installers (at least for Mac).<br>
>><br>
><br>
> I can work on this some starting now, but will have even more time after<br>
> FOSS4G-NA (after May 9th). Who is the 'go to' on the SAC that can spearhead<br>
> procuring code-signing certificates with the money already allocated?<br>
><br>
> I have done some more research. From what I have found, Apple *requires*<br>
> that the signing certificate for passing Mac Gatekeeper policies be an<br>
> Apple CA-signed certificate that has been generated from a CSR of only a<br>
> valid Apple Developer ID [0]. The code can be signed with a third-party<br>
> certificate (still securing the app against tampering), but such a signing<br>
> will NOT pass Gatekeeper, i.e. purchasing a non-Apple code-signing<br>
> certificate will be a wasted purchase for Mac distributions.<br>
><br>
> This means for code-signing Mac OSGeo applications an Apple Developer<br>
> account is required. However, there are several options now [1]: Free,<br>
> Individual, Organization or Enterprise. I recommend the OSGeo create an<br>
> Organization-level ($99/year) account at Apple and set up 'teams' for all<br>
> OSGeo projects wishing to distribute Mac apps/installers. I can help with<br>
> this, as I have gone through this process for Boundless, for the<br>
> code-signing of our Mac apps/installers.<br>
><br>
> If the SAC feels this is not appropriate for them to manage, maybe just the<br>
> QGIS project (pilot project for this) can set up the Apple account instead.<br>
><br>
> A more general code-signing cert can be used for Windows apps/installers.<br>
> More research needs done here, as a less expensive solution for the<br>
> certificate may be useable.<br>
><br>
> [0] <a href="http://stackoverflow.com/questions/11833481" rel="noreferrer" target="_blank">http://stackoverflow.com/questions/11833481</a><br>
> [1] <a href="https://developer.apple.com/support/compare-memberships/" rel="noreferrer" target="_blank">https://developer.apple.com/support/compare-memberships/</a><br>
><br>
> There is money authorized, for at least two certs for 3 years. How OSGeo<br>
>> projects can share them (if possible) is a technical/policy question that<br>
>> needs answered.<br>
>><br>
><br>
> See above. I recommend earmarking at least 3 X $99/year for an Apple<br>
> Organization-level Developer ID account.<br>
><br>
> Regards,<br>
><br>
> Larry Shaffer<br>
> Dakota Cartography<br>
> Black Hills, South Dakota<br>
><br>
<br>
</div></div>I'd say if more than QGIS wants to use this then OSGeo should be the<br>
registered org. Larry, you would be the main point of contact with<br>
Apple. The treasurer of the board handles the money part.<br></blockquote><div><br></div><div>Yes, I can do that. However, there is a Free account now, but it will lack a Developer ID. So, from what I understand, the code will be signed, but the OSGeo or QGIS project would not be indicated as the software's provenance.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Am I correct in thinking this cert needs to be utilized on a Mac? Seems<br>
coordinating with William (kyngchaos) on the actual implementation would<br>
make sense.<br></blockquote><div><br></div><div>The Apple cert for Mac, yes. A generic code-signing cert is more flexible and would be useful for signing Windows installer package installers, e.g. OSGeo4W or standalone QGIS. Currently on Windows, the default is not to block non-signed, unidentified installers/programs, but this will likely change.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Perhaps we would store the credentials on the secure VM, as a backup?<br></blockquote><div><br></div><div>Whatever works. At some point devs who package installers would need to be trusted, since they need the private CSR key to do the actual signing. If a cert/key is found to be misused, an admin can revoke the cert, as per usual with PKI.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Are these certs passphrase protected typically? Or can we opt to use<br>
some of the osgeo admin ssh keys to unlock them?<br></blockquote><div><br></div><div>They work like a regular PKI cert and chain, just particular use for code-signing, i.e. the private key (used during code signing) can be encrypted. It is usually stored in the Mac Keychain, along with any CA signing chain.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Thanks,<br>
Alex<br>
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Sac mailing list<br>
<a href="mailto:Sac@lists.osgeo.org">Sac@lists.osgeo.org</a><br>
<a href="http://lists.osgeo.org/mailman/listinfo/sac" rel="noreferrer" target="_blank">http://lists.osgeo.org/mailman/listinfo/sac</a></div></div></blockquote></div><br></div></div>