Hallo Daniel und danke für deine Antwort.
Die GPO zur automatischen Verteilung habe ich nach Microsofts Beschreibung konfiguriert und die ist aktiv.
Was meinst Du mit "im breiten Stil Code Signing Zertifikate ausrollen" und "Signieren zentralisieren"?
Das Problem ist, dass einige Kollegen in der Entwicklung mit den Zertifikaten ihre VBA-Makros signieren. Wenn dann ein anderer Kollege das Makro ausführen möchte kommt von Office immer eine Warnung und ich meine es muss sogar die Sicherheitseinstellung dafür bearbeitet werden. Wenn Kollege B dann das von Kollege A signierte Makro bearbeitet hat, kann er es anschließend nicht ausführen, da es wegen dem Zertifikat was nur Kollege A hat zu Problemen kommt. Daher kam die Anforderung aus der Entwicklung ich solle zur Codesignierung intern für jeden ein Zertifikat ausstellen um so die genannte Problematik zu umgehen.
Ich muss hinzusagen, Kollege A hat bis jetzt sein Zertifikat selbst erstellt, da er einfach keine Änderungen an den Sicherheitseinstellungen von Office machen wollte.
Was spricht gegen die 15 Jahre Laufzeit? Der Vorschlag kam von meiner Vertretung mit der Anmerkung das dann erst einmal Ruhe ist. Aber kann ich das nicht mit einer Laufzeit von z. B. 3 Jahren so einstellen, dass die Zertifikate automatisch erneuert werden? Und was wäre eine gute Laufzeit dafür? Bin für Vorschläge offen, da ich mich bis jetzt nicht wirklich mit Zertifikaten auseinander gesetzt habe.
Habe jetzt die Zertifikatvorlage nochmal neu erstellt, unter Anwendung der Empfehlungen von Deinem verlinkten Thread und darin enthaltenen Verweisen. Im großen und ganzen hat sich wenig geändert und die Verteilung hat danach immer noch nicht geklappt. Zum testen habe ich dann die unterstützte Zertifizierungsstelle von 2008 Enterprise auf 2003 Enterprise runtergesetzt und jetzt bin ich so weit, dass der certsrv folgende fehlgeschlagene Anforderung anzeigt:
Ich werde jetzt mit der Fehlermeldung weitersuchen, wenn Du oder andere Tipps / Hilfen parat haben immer her damit :)
Grüße
Christian