Zum Inhalt wechseln


Foto

Frage zu Zertifikaten bzw. Codesignatur

Windows Server 2008 Windows 7

  • Bitte melde dich an um zu Antworten
10 Antworten in diesem Thema

#1 ZeusDionysos

ZeusDionysos

    Newbie

  • 4 Beiträge

 

Geschrieben 24. März 2014 - 12:09

Hallo Miteinander,

 

habe eine Frage bzw. ein Problem mit der Zertifikaterstellung und Verteilung zur Codesignatur.

Umgebung: 2 Domaincontroller auf Windows Server 2008 Standard und 1 Mailserver auf 2008 R2 Enterprise, auf dem der AD-Zertifikatdienst läuft.

Es kommen viele Win7 Clients hinzu, die automatisch ein Zertifikat zur Firmeninternen Codesignierung (u. a. für VBA Makros) ausgestellt bekommen sollen.

Die Zertifikate sollen von der Firmen CA signiert sein, sodass die überall intern gültig sind.

 

Ich habe bereits folgenden Thread angeschaut, jedoch hilft der mir nicht weiter: http://www.mcseboard...geber-anpassen/

 

Bis jetzt habe ich die Vorlage Codesignatur als duplikat erstellt und dort gewünschte Einstellungen getätigt: Laufzeit auf 15 Jahre gesetzt und zuerst für mich zum testen die Berechtigung automatisch registrieren hinzugefügt.

 

Jedoch kann ich über die Webschnittstelle certsrv nicht die Zertifikatvorlage auswählen, da die dort nicht angezeigt wird. Nach einem erneuten anmelden an die Domäne ist das Zertifikat immer noch nicht vorhanden. Laut der Zertifizierungsstelle sind auch keine ausstehenden oder fehlgeschlagenen Anforderungen vorhanden, in der Liste der ausgestellten Zertifikate ist auch kein passendes drin.

 

Was habe ich falsch gemacht, sodass das Zertifikat nicht ausgestellt wird?

 

Grüße

Christian



#2 Daniel -MSFT-

Daniel -MSFT-

    Expert Member

  • 2.434 Beiträge

 

Geschrieben 24. März 2014 - 21:58

Schau mal hier rein http://social.techne...nserversecurity. Hast Du an die GPO gedacht? Bitte beachte auch die Hinweise von Paul Adare über die Sicherheit Deines Netzwerks, wenn Du im breiten Stil Code Signing-Zertifikate ausrollst. Ich würde ja den Prozess dahinter überprüfen, ob wirklich jeder so ein mächtiges Zertifikat braucht oder ob Du nicht das Signieren zentralisieren willst. Dabei kann der Code gleich einem (Security) Review unterzogen werden.

 

Have fun!
Daniel

 

P.S.: Laufzeit 15 Jahre? Wirklich? 


Bearbeitet von Daniel -MSFT-, 24. März 2014 - 22:01.

.: Daniel Melanchthon :.

 

Ich arbeite für die Microsoft Deutschland GmbH.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität.

 

Hinweis zur Rechtsverbindlichkeit dieser Informationen

Diese Informationen sind Hinweise, die das Verständnis hinsichtlich der Microsoft Produktlizenzierung verbessern sollen. Microsoft weist ausdrücklich darauf hin, dass diese Informationen keinen rechtsverbindlichen Charakter haben, sondern als erklärende Informationen zu verstehen sind. Die einzig rechtsverbindlichen Lizenzinformationen sind in den entsprechenden Endnutzer-Lizenzverträgen (als Beilage zu Softwarepaketen oder in Form von Lizenzverträgen) zu finden.


#3 ZeusDionysos

ZeusDionysos

    Newbie

  • 4 Beiträge

 

Geschrieben 26. März 2014 - 07:56

Hallo Daniel und danke für deine Antwort.

 

Die GPO zur automatischen Verteilung habe ich nach Microsofts Beschreibung konfiguriert und die ist aktiv.

 

Was meinst Du mit "im breiten Stil Code Signing Zertifikate ausrollen" und "Signieren zentralisieren"?

Das Problem ist, dass einige Kollegen in der Entwicklung mit den Zertifikaten ihre VBA-Makros signieren. Wenn dann ein anderer Kollege das Makro ausführen möchte kommt von Office immer eine Warnung und ich meine es muss sogar die Sicherheitseinstellung dafür bearbeitet werden. Wenn Kollege B dann das von Kollege A signierte Makro bearbeitet hat, kann er es anschließend nicht ausführen, da es wegen dem Zertifikat was nur Kollege A hat zu Problemen kommt. Daher kam die Anforderung aus der Entwicklung ich solle zur Codesignierung intern für jeden ein Zertifikat ausstellen um so die genannte Problematik zu umgehen.

Ich muss hinzusagen, Kollege A hat bis jetzt sein Zertifikat selbst erstellt, da er einfach keine Änderungen an den Sicherheitseinstellungen von Office machen wollte.

 

Was spricht gegen die 15 Jahre Laufzeit? Der Vorschlag kam von meiner Vertretung mit der Anmerkung das dann erst einmal Ruhe ist. Aber kann ich das nicht mit einer Laufzeit von z. B. 3 Jahren so einstellen, dass die Zertifikate automatisch erneuert werden? Und was wäre eine gute Laufzeit dafür? Bin für Vorschläge offen, da ich mich bis jetzt nicht wirklich mit Zertifikaten auseinander gesetzt habe.

 

 

Habe jetzt die Zertifikatvorlage nochmal neu erstellt, unter Anwendung der Empfehlungen von Deinem verlinkten Thread und darin enthaltenen Verweisen. Im großen und ganzen hat sich wenig geändert und die Verteilung hat danach immer noch nicht geklappt. Zum testen habe ich dann die unterstützte Zertifizierungsstelle von 2008 Enterprise auf 2003 Enterprise runtergesetzt und jetzt bin ich so weit, dass der certsrv folgende fehlgeschlagene Anforderung anzeigt:

 

Anforderung: Statuscode

Der DNS-Name ist nicht verfügbar und kann dem Subjektalternativnamen nicht hinzugefügt werden. 0x8009480f (-2146875377)

 

Ich werde jetzt mit der Fehlermeldung weitersuchen, wenn Du oder andere Tipps / Hilfen parat haben immer her damit :)

 

Grüße

Christian



#4 Daniel -MSFT-

Daniel -MSFT-

    Expert Member

  • 2.434 Beiträge

 

Geschrieben 26. März 2014 - 10:57

OK. Du möchtest eine Zertifikatsinfrastruktur aufbauen und fängst bei null an. Lies Dich doch als erstes mal in Bereitstellen und Unterstützen einer PKI bei Microsoft ein. Sehr empfehlenswert ist das Buch eines ehemaligen Microsoft-Kollegen Brian Komar: 'Windows Server® 2008 PKI and Certificate Security'.

 

Eine PKI ist nichts, was man mal so eben zwischen Tür und Angel mit ein paar Mausklicks konfiguriert. Mit dem Einrichten der CA hast vermutlich schon angefangen, automatisch Computerzertifikate auszurollen. Bist Du Dir über die Konsequenzen im Klaren? Benutzerzertifikate haben bei uns zum Beispiel nur eine Lebensdauer von einem halben bis einem Jahr. Niemals 15 Jahre. Schau Dir mal seinen Vortrag How to Not Screw Up Your PKI Environment an, um einen Eindruck zu bekommen, was man alles bei einer PKI falsch machen kann.

 

Ich würde Dir eher empfehlen, das Problem über vertrauenswürdige Speicherorte zu lösen. Mit diesem Feature kannst Du Quellen für vertrauenswürdige Dateien auf den Festplatten der Benutzercomputer oder auf einer Netzwerkfreigabe bestimmen. Wenn ein Ordner als Quelle einer vertrauenswürdigen Datei festgelegt ist, wird jede Datei, die in dem Ordner gespeichert wird, als vertrauenswürdige Datei angesehen. Wird eine vertrauenswürdige Datei geöffnet, wird der gesamte Inhalt der Datei aktiviert, und die Benutzer werden nicht über potenzielle Risiken, die sich in der Datei verbergen, in Kenntnis gesetzt. Dazu können beispielsweise nicht signierte Add-Ins und VBA-Makros (Microsoft Visual Basic für Applikationen), Links zu Inhalten im Internet oder Datenbankverbindungen zählen.

 

Damit brauchst Du die Macros nicht signieren, sondern kannst den Zugriff auf den vertrauenswürdigen Speicherort anhand der Dateiberechtigungen einschränken.

 

Have fun!
Daniel


Bearbeitet von Daniel -MSFT-, 26. März 2014 - 10:59.

.: Daniel Melanchthon :.

 

Ich arbeite für die Microsoft Deutschland GmbH.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität.

 

Hinweis zur Rechtsverbindlichkeit dieser Informationen

Diese Informationen sind Hinweise, die das Verständnis hinsichtlich der Microsoft Produktlizenzierung verbessern sollen. Microsoft weist ausdrücklich darauf hin, dass diese Informationen keinen rechtsverbindlichen Charakter haben, sondern als erklärende Informationen zu verstehen sind. Die einzig rechtsverbindlichen Lizenzinformationen sind in den entsprechenden Endnutzer-Lizenzverträgen (als Beilage zu Softwarepaketen oder in Form von Lizenzverträgen) zu finden.


#5 zahni

zahni

    Expert Member

  • 16.376 Beiträge

 

Geschrieben 26. März 2014 - 14:29

Wenn der Kollege seinen Code  mit einem Selfcert signiert, wollte er  sich darüber im Klaren sein, was er macht.

Selfcert's haben in diesem Umfeld eher  keinen  Sinn. Eine PKI mit entsprechenden  Sicherheitseinstellungen im Excel kann Sinn machen.

Hier  sollte  aber immer an unsignierten Versionen weiterentwickelt werden. Das Signieren erfolgt dann an zentraler  Stelle.

Die Verwendung von Selfcerts kann man IHMO per GPO verbieten.

 

Ich würde hier zunächst ein  Konzept erstellen.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#6 ZeusDionysos

ZeusDionysos

    Newbie

  • 4 Beiträge

 

Geschrieben 27. März 2014 - 09:35

OK. Du möchtest eine Zertifikatsinfrastruktur aufbauen und fängst bei null an. Lies Dich doch als erstes mal in Bereitstellen und Unterstützen einer PKI bei Microsoft ein. Sehr empfehlenswert ist das Buch eines ehemaligen Microsoft-Kollegen Brian Komar: 'Windows Server® 2008 PKI and Certificate Security'.

 

Die Zertifikatinfrastruktur ist bereits vorhanden, die haben Kollegen vor 4 oder 5 Jahren erstellt. Jedoch ist jetzt das Wissen nicht mehr im Unternehmen und ich muss mich nun damit auseinander setzen.

 

Eine PKI ist nichts, was man mal so eben zwischen Tür und Angel mit ein paar Mausklicks konfiguriert. Mit dem Einrichten der CA hast vermutlich schon angefangen, automatisch Computerzertifikate auszurollen. Bist Du Dir über die Konsequenzen im Klaren? Benutzerzertifikate haben bei uns zum Beispiel nur eine Lebensdauer von einem halben bis einem Jahr. Niemals 15 Jahre. Schau Dir mal seinen Vortrag How to Not Screw Up Your PKI Environment an, um einen Eindruck zu bekommen, was man alles bei einer PKI falsch machen kann.

 

Die CA existiert, Computerzertifikate und Benutzerzertifikate werden momentan automatisch verteilt. So weit ich es mitbekommen habe, sind die Zertifikate auf 1 Jahr Lebensdauer begrenzt.

 

Ich würde Dir eher empfehlen, das Problem über vertrauenswürdige Speicherorte zu lösen. Mit diesem Feature kannst Du Quellen für vertrauenswürdige Dateien auf den Festplatten der Benutzercomputer oder auf einer Netzwerkfreigabe bestimmen. Wenn ein Ordner als Quelle einer vertrauenswürdigen Datei festgelegt ist, wird jede Datei, die in dem Ordner gespeichert wird, als vertrauenswürdige Datei angesehen. Wird eine vertrauenswürdige Datei geöffnet, wird der gesamte Inhalt der Datei aktiviert, und die Benutzer werden nicht über potenzielle Risiken, die sich in der Datei verbergen, in Kenntnis gesetzt. Dazu können beispielsweise nicht signierte Add-Ins und VBA-Makros (Microsoft Visual Basic für Applikationen), Links zu Inhalten im Internet oder Datenbankverbindungen zählen.

 

Damit brauchst Du die Macros nicht signieren, sondern kannst den Zugriff auf den vertrauenswürdigen Speicherort anhand der Dateiberechtigungen einschränken.

 

Have fun!
Daniel

 

Danke für die Idee, das werde ich mit meinen Kollegen besprechen.

 

 

Ich werde mir erst mal die Links durchlesen und danach mit meinen Kollegen die weitere Vorgehensweise besprechen. Sobald ich etwas neues habe werde ich mich hier erneut melden.



#7 daabm

daabm

    Expert Member

  • 2.106 Beiträge

 

Geschrieben 27. März 2014 - 21:04

Wenn ich das ganz oben richtig gelesen habe: 2 DCs und ein Exchange, der gleichzeitig CA ist? Da würde ich die Aussage "Zertifikatsinfrastruktur wurde bereits erstellt" mal in Frage stellen. Daniel hat schon alles gesagt - lies Dich ein und fange neu an, dürfte am schnellsten gehen. CA-Zertifikate mit 15 Jahren sind in Ordnung, Codesigning maximal 1 bis 5 Jahre, eher kürzer, wenn man eine AD-integrierte PKI hat...

mfg Martin


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#8 eduuu

eduuu

    Newbie

  • 3 Beiträge

 

Geschrieben 03. Februar 2016 - 13:51

vielleicht ist da Zertifikat nicht aktiv? Manchmal ist alles richtig nur die Ativierung fehlt, Würde das mal nachchecken. Oder eben die Codesignatur passt nicht. Eventuell neues code signing dann holen. Bei mir war die abgelaufen, habe mir ein neues bei globalprotect geholt. Hatte danach aber immer noch Probleme mit dem einrichten. Alles nochmal durchgelesen und nach Plan gemacht, lief dann!



#9 mac-duff

mac-duff

    Member

  • 164 Beiträge

 

Geschrieben 09. März 2016 - 13:23

Guten Tag allesamt,

 

Bevor ich einen neuen Thread eröffne denke ich mir, kann ich es auch hier posten.

Denke mein Problem schlägt in dieselbe Kerbe wie das des Threaderstellers, da ich gerne auch unsere interne Makro-Sicherheit erhöhen möchte. Im Unternehmen nutzen wir eine Excel-Anwendung die von allen Abteilungen genutzt wird und von drei Herrschaften gewartet und weiterentwickelt wird.

 

Die Idee war es nun, über die Zertifizierungsstelle ein Zertifikat zu erstellen und dieses an alle Clients auszurollen (GPO). Den drei Entwicklern muss dann natürlich der private Key zur Verfügung gestellt werden, und genau da bin ich mir unsicher. Da wir noch eine Windows 2008 Domain haben, kann eine Berechtigung anscheinend nicht über Sicherheitsgruppen erfolgen, sondern der private Key muss bei den dreien „händisch“ zuerst exportiert und dann eingerichtet werden?!? Oder gibt es eine Möglichkeit, dass über eine bestimmte Sicherheitsgruppe diese den privaten Schlüssel anfordern können?

 

Die andere Möglichkeit wäre natürlich die Trusted Location. Dieses funktioniert wunderbar und denke erfüllt auch zum größten Teil die Sicherheitsbedenken.

 

Muss gestehen, dass ich mir aber da unsicher bin, welche Möglichkeit die sinnigere Alternative ist.

Würde mich über eine Antwort freuen.

 

Grüße

md



#10 Sunny61

Sunny61

    Expert Member

  • 22.089 Beiträge

 

Geschrieben 09. März 2016 - 13:25

Bevor ich einen neuen Thread eröffne denke ich mir, kann ich es auch hier posten.


Bitte keine alten Threads kapern, lass sie ruhen und erstelle einen eigenen neuen Thread. Es gibt hier keine Sparsamkeit in Sachen Threads, Danke.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#11 eduuu

eduuu

    Newbie

  • 3 Beiträge

 

Geschrieben 31. März 2016 - 13:11

@mac-duff da müssen dann nur die passenden Updates her dann geht das auch mit der Windows 2088 Domain. Ja und den private Key muss bei allen einzeln exportiert und eingerichtet werden. Natürlich kann ich immer auch Trusted Loaction empfehlen, ist am sichersten. Ich selber habe das code signing von globalprotect und habe alles von nem Profi installieren und enrichten lassen!





Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2008, Windows 7