Dieser Artikel basiert auf meinen realen Erfahrungen bei der Vorbereitung einer Windows-Desktop-App für die Veröffentlichung. Ursprünglich hatte ich Teile davon in einer koreanischen Entwickler-Community gepostet und hier neu aufbereitet. Preise und Richtlinien können sich jederzeit ändern – bitte prüfen Sie vor der Zahlung immer die offiziellen Seiten.
0. Wie alles begann
Ich bin ein ehemaliger Berater, der von Programmierung null Ahnung hatte – konnte nicht mal Hello World! ausgeben, kannte nur Strg+C / Strg+V in Excel. Nach meiner Entlassung bin ich über KI ins „Vibe Coding” reingerutscht und habe mir als erstes Projekt eine anspruchsvolle Desktop-App vorgenommen.
Als ich die App endlich an Freunde zum Testen verteilen wollte – auf MacBooks und Windows-PCs – kam von allen die gleiche Meldung: lässt sich nicht installieren. Da habe ich zum ersten Mal erfahren, dass installierbare Apps eine Codesignierung und Notarisierung brauchen – als Nachweis, dass die Datei zwischen Entwickler und Nutzer nicht manipuliert wurde.
Der Aufwand und die Kosten dafür waren deutlich höher als erwartet.
1. Was App-Signierung und Notarisierung tatsächlich kosten
Die Mac-Seite lief überraschend reibungslos.
- Die Apple-Developer-Registrierung kostet
ca. 85 €pro Jahr ($99 USD). - Nach der Registrierung verlief der Ablauf – Paketierung → Signierung → Notarisierung – geschmeidiger als erwartet.
- Installation und automatische Updates über
electron-updaterfunktionierten auf Anhieb zuverlässig.
In meinem Fall lief nach der Registrierung und Anbindung an Codex die gesamte Kette – Paketierung, Signierung, Apple-Server-Einreichung, Notarisierung – fast wie eine einzige Pipeline. Der Installer lief auf dem MacBook eines Freundes einwandfrei, ohne „Unbekannter Entwickler”-Warnung, und Auto-Updates funktionierten sofort.
Aber bei Windows sah es ganz anders aus.
- OV-Codesignierungszertifikate sind von vornherein teuer.
- Über einen lokalen Reseller wird es noch teurer.
- Manche Anbieter verlangen zusätzlich den Kauf eines physischen USB-Sicherheitsschlüssels (z. B. YubiKey).
- Bei jedem Signiervorgang Hardware anschließen zu müssen, macht CI/CD-Automatisierung umständlich.
2. Warum die Windows-OV-Codesignierung für Indie-Entwickler so hart ist
Um SmartScreen-Warnungen und Installationsblockaden unter Windows zu vermeiden, braucht man ein vertrauenswürdiges Zertifikat – und dafür ist eine Unternehmensverifizierung nötig, egal ob Einzelunternehmer oder GmbH. Zum Zeitpunkt meiner Recherche gab es Stufen wie IV / OV / EV, wobei OV das realistische Minimum für die Verteilung war.
Das Problem war das Reseller-Modell. Reseller beantragen im Auftrag Zertifikate bei CAs wie SSL.com oder DigiCert, schlagen aber kräftig auf. Das Zertifikat allein war schon teuer, Automatisierung war schwierig, und obendrauf kam noch der physische Schlüssel.
Für jemanden wie mich – der ohne KI-Agent keine einzige Zeile Code schreiben kann – war die Vorstellung, jedes Mal einen USB-Stick anschließen und manuell signieren zu müssen, ein absolutes No-Go.
Also habe ich zunächst in der Community gefragt.
Die allgemeine Antwort war „Ja, so ist das eben” – aber ich konnte das nicht akzeptieren.
3. Die Alternative von Reddit: SSL.com-Direktkauf + Cloud eSigner
Der entscheidende Hinweis kam aus englischsprachigen Entwickler-Communities. KI lieferte oft zu generische Antworten, aber auf Reddit teilten Leute mit echten Windows-Release-Erfahrungen deutlich praxisnähere Alternativen.
Zunächst sah Microsofts Azure Trusted Signing vielversprechend aus – guter Preis und gute Automatisierung. Aber zum Zeitpunkt meiner Prüfung war es hauptsächlich für Einzelentwickler in Kanada und den USA verfügbar, also keine Option für mich.
Am Ende entschied ich mich für SSL.com Direktkauf + Cloud eSigner.
Die Preise, die ich zum damaligen Zeitpunkt fand:
- Mit dem klassischen USB-Key-Setup lagen die Gesamtkosten bei geschätzt
500 $. - Dagegen erschien das Paket OV-Zertifikat 128 USD + Cloud eSigner 20 USD/Monat als neuerer Plan.
- Diese Kombination wirkte am günstigsten und automatisierungsfreundlichsten.
Praxis-Zusammenfassung
Die günstigste Option, die ich tatsächlich gewählt habe
Statt eines Reseller-Angebots basierte meine Kalkulation auf dem Weg des Windows-OV-Codesignierung-Direktkaufs. Der größte Vorteil: kein Warten auf einen physischen USB-Schlüssel.
Drei Gründe, warum dieser Ansatz überzeugte:
- Der Reseller-Aufschlag fiel komplett weg.
- Kein wochelanges Warten auf einen physischen USB-Schlüssel.
- Die Tür zur Automatisierung des Signierprozesses mit Codex stand offen.
4. Die echte Hürde bei der SSL.com-Zertifikatsausstellung
Cloud eSigner selbst ist ein attraktiver Dienst. Die monatliche Abo-Gebühr mag zunächst als Verschwendung erscheinen, aber sie erspart physische Schlüssel und ist ideal für Automatisierung.
Das eigentlich Schwierige war der Ausstellungsprozess:
- Gewerbeanmeldung/Unternehmensnachweise
- Persönliche Identitätsprüfung
- Nachweis, dass ich eine reale Person bin
- Nachweis, dass mein Unternehmen tatsächlich existiert
Nachdem all das erledigt war, stellte SSL noch eine weitere Anforderung: eine D-U-N-S-Nummer zur Verifizierung von Adresse, Telefonnummer und E-Mail.
Ich dachte nur: Wenn das eine Pflichtangabe ist – warum stand das nicht von Anfang an dabei?
5. Der Durchbruch: D-U-N-S über Apple Developer beantragen
Eine D-U-N-S-Nummer eigenständig zu beantragen, kann weitere Kosten und Bürokratie bedeuten. Auch hier steckte ich fest und fragte mich, ob mein „Budget-Direktkauf” am Ende teurer würde als der Reseller-Weg.
Doch wieder half Reddit weiter. Jemand teilte diesen Tipp:
Wenn du bereits als Apple Developer registriert bist, kann Apple die D-U-N-S-Beantragung für die geschäftliche Verifizierung im Rahmen der App-Kommerzialisierung vermitteln.
Das offizielle Dokument, das ich verwendet habe:
Das ist deshalb so wichtig, weil Entwickler, die bereits im Apple-Ökosystem Apps kommerzialisieren, ihre vorhandenen Unternehmensdaten wiederverwenden können. In meinem Fall konnte ich über diesen Weg relativ schnell eine D-U-N-S-Nummer auf „K-garoo Works" erhalten.
Ohne Übertreibung: Dieser Weg hat mich davor bewahrt, beim Versuch, günstig an ein Windows-Zertifikat zu kommen, am Ende noch mehr Geld auszugeben.
6. Mit der D-U-N-S-Nummer war es noch nicht vorbei
Dank Apple erhielt ich meine D-U-N-S-Nummer relativ schnell. Aber das war noch nicht das Ende.
Als ich die Nummer bei SSL einreichte, hieß es, sie könnten die Nummer nicht verifizieren. Ich prüfte selbst öffentliche Nachschlageseiten und stellte fest, dass nicht-US-Unternehmen oft nicht korrekt gelistet waren – Links sahen aktiv aus, aber die tatsächliche Abfrage schlug fehl.
Die Situation im Überblick:
- In meinem Apple-Konto sichtbar ✓
- Auf der D&B-Aussteller-Seite sichtbar ✓
- Aber öffentliche Drittanbieter-Verifizierungslinks funktionierten nicht oder waren instabil ✗
Wenn eine Nummer vergeben wird, aber nicht öffentlich verifiziert werden kann – welchen Wert hat sie dann?
7. Den letzten Verifizierungsweg gefunden und das Zertifikat erhalten
Wie sich später herausstellte, gab es seit Ende Dezember des Vorjahres Unstimmigkeiten zwischen europäischen Datenschutzrichtlinien und dem US-Betrieb, wodurch öffentliche D&B-Abfragen blockiert blieben – selbst wenn die Links aktiv erschienen.
Drei Tage lang kommunizierte ich intensiv mit dem SSL-Support, bis wir gemeinsam einen noch funktionierenden Verifizierungsweg fanden. Bestimmte handelsbezogene Unternehmens-Verifizierungspfade unterstützten nach wie vor D-U-N-S-basierte Abfragen – das war der letzte Faden, den ich greifen konnte.
Nach drei Tagen Austausch mit dem SSL-Support erhielt ich schließlich das Zertifikat und konnte Cloud eSigner einrichten. Mit Unterstützung von Codex.
Für wen eignet sich dieser Ansatz besonders?
Dieser Leitfaden ist besonders relevant, wenn Sie:
- Bereits eine Apple-Developer-Mitgliedschaft haben und die Mac-Verteilung weitgehend gelöst ist
- Als Einzelentwickler oder kleines Team einen Windows-Installer ausliefern müssen
- Die Reseller-Gebühren für zu hoch halten und direkt beim CA beantragen möchten
- Den Signierprozess in Ihre CI/CD-Pipeline einbinden wollen
Umgekehrt: Bei komplexen Unternehmensstrukturen oder häufig wechselnden Prüfanforderungen je nach Land kann es schneller sein, von Anfang an direkt den offiziellen Support zu kontaktieren.
Mein wichtigstes Fazit
Wenn ich diesen gesamten Prozess in einem Satz zusammenfassen müsste:
Das wirklich Schwierige an der Windows-OV-Codesignierung war nicht die Frage, wo man das Zertifikat kauft – sondern wie man Unternehmensverifizierung und D-U-N-S möglichst günstig und effizient besteht.
Mein tatsächlicher Ablauf sah so aus:
- Mac-Seite zuerst mit Apple Developer klären.
- Bei Windows nicht direkt zum Reseller-Angebot greifen, sondern Direktkauf-Optionen prüfen.
- Die Kombination SSL.com Direktkauf + Cloud eSigner evaluieren.
- Den Apple-Developer-Weg zur D-U-N-S-Beantragung nutzen.
- Bei Bedarf den D&B-Supportweg für die finale Unternehmensverifizierung einbeziehen.
Schnellzugriff – Links
Offizielle Seite
SSL.com / Cloud eSignerCommunity-Kontext
Clien DiskussionsthreadOffizielle Dokumentation
Apple Developer D-U-N-S-LeitfadenSupport-Kanal
D&B SupportseiteHäufig gestellte Fragen
Muss ich ein Windows-OV-Codesignierungszertifikat über einen lokalen Reseller kaufen?
Meiner persönlichen Erfahrung nach nicht zwingend. Da sich Verifizierungs- und Ausstellungsrichtlinien jedoch ändern können, sollten Sie unmittelbar vor der Zahlung immer die offizielle Seite prüfen.
Kann ich D-U-N-S kostenlos bekommen, wenn ich ein Apple-Developer-Konto habe?
Der von mir genutzte Weg gilt für die Beantragung als bestehendes Apple-Developer-Mitglied im Rahmen der geschäftlichen Verifizierung für die App-Kommerzialisierung. Das lässt sich nicht verallgemeinern – prüfen Sie vorher sowohl die Apple- als auch die D&B-Richtlinien.