Jump to content

Makro mit Zertifikat digital signieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen

 

Ich habe vor einigen Tagen ein Makro geschrieben, welches beim Öffnen von Word direkt ein Fenster öffnet, wo man eine Vorlage auswählen muss. Das soll nun in unserer ganzen Domäne so eingerichtet werden. Aus Sicherheitsgründen sollen nur Makros mit digitaler Signierung ausgeführt werden. Also habe ich mit Selfcert ein eigenes Zertifikat erstellt und per GPO an alle Clients verteilt. Das hat erst nach langem Suchen und Ausprobieren funktioniert aber jetzt läufts, das Zertifikat ist installiert. Leider ist die Sache damit noch nicht behoben, denn der User muss das Makro immernoch manuell aktivieren (Was natürlich niemand machen wird auf Dauer). Wenn ich allerdings das Zertifikat bei den vertrauenswürdigen Herausgeber reinkriegen würde, würde alles funktionieren wie ich es wollte.

Leider habe ich schon so ziemlich alles funkioniert. Das Zertifikat habe ich bei der GPO schon importiert (Computerconfiguration --> Policies --> Windows Settings --> Security Settings --> Public Key Policies --> Trusted Publishers --> import). Unter den Public Key Policies habe ich auch schon die Einstellungen gesetzt für "Certificate Services Client - Certificate Enrollment Policy" sowie bei "Certificate Services Client - Auto-Enrollment". Das einzige wo ich meine Probleme habe ist unsere interne Zertifizierungsstelle, obwohl ich hier auch schon alles nach Anleitung gemacht habe:

 

Windows: Automatische Zertifikatverteilung (Certificate Autoenrollment) einrichten | Andys Blog – Linux, Mac, Windows

 

Kann mir hierbei irgendjemand helfen? Ich bin schon seit mehreren Tagen am suchen :(

 

Liebe Grüsse Lea

Link zu diesem Kommentar

Wie schon gesagt gibt es diese Windows CA schon, fertig installiert. Mein Problem ist, dass ich überall nur Zertifikatvorlagen erstellen kann, und dazu gibt es auch Anleitungen bis zur genüge. Nur wo man dann die richtigen Zertifikate erstellt, das steht nirgends. Überall wird nur der Weg über Selfcert erklärt, nur dabei habe ich als Herausgeber immer gerade den Namen, denn ich als Zertifikatsnamen angebe...

Also meine Frage: Wo in der PKI kann ich diese Zertifikate installieren?

 

Gruss Lea

Link zu diesem Kommentar

Nun liest Du DIr das hier mal richtig durch:

 

Windows PKI Documentation Reference and Library - TechNet Articles - United States (English) - TechNet Wiki

 

Dann weist Du auch, wozu die Templates da sind und was man damit macht.

Ich bin mir sicher, dass es dafür auch ein Seminar gibt. Ohne das Du das Thema richtig verstanden hast, solltest DU es nicht produktiv einführen.

 

-Zahni

Link zu diesem Kommentar

Ah super okay das hat jetzt funktioniert... Jetzt fehlt nur noch der vertrauenswürdige Herausgeber.. Aber da google ich mal noch eine Weile...

 

Ja du weisst sicher wie das ist im Unternehmen. Man braucht etwas unbedingt und da muss man einfach durch. Hier hat das Thema niemand so richtig verstanden und da ich die erste bin die es braucht, bleibts einfach an mir hängen :)

 

Vielen Dank für eure Hilfe!

Link zu diesem Kommentar

Da kann ich nichts dazu sagen, die habe ich nicht installiert... Das komische ist, als Herausgeber ist unsere PKI eingetragen, und die PKI steht auch unter den vertrauenswürdigen Stammzertifizierungsstellen. Aber wenn mein Makro (mit diesem Zertifikat signiert) ausgeführt wird, ist erstmal der Inhalt deaktiviert und dann steht da, die Signatur ist gültig, aber sie stammt von einem Herausgeber, dem ich noch nicht vertraue.

 

Denkst du die CA ist wirklich nicht richtig installiert?

Link zu diesem Kommentar

Das mit certutil -dump funktioniert einwandfrei...

 

also ich habe im Konsolenstamm ein Zertifikat angefordert, und gemäss meiner Zertifikat-Vorlage wurde dann das Zertifikat für eine CodeSignatur erstellt. Das Zertifikat ist jetzt in meinem persönlichen Speicher. Dann habe ich dieses Zertifikat aus dem Internet Explorer exportiert und im Visual Basic Editor gesagt "Extras" --> "Digitale Signatur" und dann dieses Zertifikat hinzugefügt. Das hat alles funktioniert, und auf meinem Computer funktioniert dieses Makro auch. Aber dieses Makro soll nun beim Öffnen von Word immer und in der ganzen Domäne ausgeführt werden. Deshalb muss mein Zertifikat in der ganzen Domäne verteilt und als gültig angesehen werden...

Deshalb möchte ich es via GPOs verteilen.

Das einzige Problem hierbei, das ich mir vorstellen könnte, ist, dass ich das Zertifikat für meinen User angefordert habe und deswegen andere User dieses nicht als vertrauenswürdig ansehen. Nun möchte ich entweder ein Zertifikat anfordern, welches dann für die gesamte Domäne gültig und vertrauenswürdig ist oder ich füge meinen User zu den vertrauenswürdigen Herausgebern hinzu... Geht das überhaupt? Meine GPOs ziehen nämlich nicht so richtig...

Link zu diesem Kommentar
Aber dieses Makro soll nun beim Öffnen von Word immer und in der ganzen Domäne ausgeführt werden. Deshalb muss mein Zertifikat in der ganzen Domäne verteilt und als gültig angesehen werden...

 

Dann hast du das System nicht begriffen. Da dein Zertifikat vom Root Zertifikat (und ggf. Zwischenzertifikaten) unterzeichnet wurden reicht es, wenn andere Rechner dem Root Zertifikat vertrauen.

Deines musst du nicht verteilen. Wenn das nicht geht ist etwas andere verkonfiguriert.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...