Jump to content

Office2003-SelfCert-Zertifikate per GPO verteilen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

ich möchte den öffentlichen Schlüssel eines mit Office2003-SelfCert erstellten VBA-Code-Zertifikats per GPO verteilen. Server ist ein Server 2003, die Clients laufen noch unter Windows XP, werden aber im Januar auf Windows 7 umgestellt. Auch damit soll es laufen.

 

So, die Frage ist nun:

Unter was muß ich diese Art von Zertifikat im Gruppenrichtlinieneditor einlesen, damit es nachher auf den Clients an der richtigen Stelle ist? Unter "Vertrauenswürdige Stammzertifizierungsstellen"? Oder unter "Unternehmensvertrauen"? Oder läuft das über die "automatische Zertifikatsanforderung"?

 

 

Danke,

Sarek

Link to comment

Ich geh mal davon aus, dass das ein codesigning Zertifikat ist. Das kannst du mit der GPMC von 2003/XP nicht verteilen, sondern dazu brauchst du eine GPMC die Vista oder neuer ist. Das Zertifikat muß dann in den Speicher vertrauenswürdige Herausgeber. Und genau den hast du in der alten GPMC nicht. ;)

 

Grummel ... dann sind wir wieder da, wo wir heute nachmittag mit den RegistryKeys schon waren :(

Link to comment

Wer heute noch _nur_ XP im Einsatz hat (auch in der Administration), ist selbst Schuld, und wird immer wieder in solche Situationen kommen. :p

 

Naja, in einem halben Jahr hat sich das eh erledigt ;)

 

Wundert mich aber trotzdem, dass es nicht geht. Das von mir verwendete SelfCert ist ja Teil von Office 2003 - und im Jahr 2003 waren Server 2003 und Windows XP Standard. Wie hat man also damals die Zertifikate verteilt?

 

Aber OK, wenden wir uns dem Aktuellen zu. Nehmen wir nun also einmal an, ich installiere auf dem einen Win7-Rechner in dem Netzwerk die GPMC, öffne damit das GPO, in dem schon die Registry-Keys aus dem anderen Thread verteilt werden (weil das inhaltlich zusammen gehört) und füge dort die Verteilung des Zertifikats hinzu. Was passiert nun, wenn ich dieses GPO hinterher noch mal mit meinem XP-Adminrechner bearbeite (z.B. um bei der MBus-Richtline eine Einstellung zu ändern). Zerhaut es dann die Zertifikatsverteilung, weil die XP-GPMC das nicht unterstützt? Oder bleibt dieser Teil der Richtlinie, wenn er einmal mit einer Win7-GPMC eingerichtet ist, intakt?.

 

 

Und um der Frage aus dem anderen Thread zuvorzukommen:

 

Was spricht gegen Ausprobieren?

 

Erstens benutze ich ein Produktivsystem ungern zum Testen, und ein Testnetzwerk habe ich nicht. Und zweitens bin ich nicht vor Ort. Ich administriere in der Regel per VPN-Zugriff. Das heißt dann aber auch, ich kann nicht am Client prüfen, ob dort alles richtig umgesetzt wurde. Jedenfalls nicht so einfach.

Edited by Sarek
Link to comment

Naja, in einem halben Jahr hat sich das eh erledigt ;)

Dir ist den letzten 5 Jahren sehr viel entgangen. ;)

 

 

Wundert mich aber trotzdem, dass es nicht geht. Das von mir verwendete SelfCert ist ja Teil von Office 2003 - und im Jahr 2003 waren Server 2003 und Windows XP Standard. Wie hat man also damals die Zertifikate verteilt?

Es gibt eine EXE zum Silent installieren, hat bei mir aber nicht zuverlässig funktioniert.

 

EDIT: Sie heißt certutil.exe. :)

 

 

Aber OK, wenden wir uns dem Aktuellen zu. Nehmen wir nun also einmal an, ich installiere auf dem einen Win7-Rechner in dem Netzwerk die GPMC, öffne damit das GPO, in dem schon die Registry-Keys aus dem anderen Thread verteilt werden (weil das inhaltlich zusammen gehört) und füge dort die Verteilung des Zertifikats hinzu. Was passiert nun, wenn ich dieses GPO hinterher noch mal mit meinem XP-Adminrechner bearbeite (z.B. um bei der MBus-Richtline eine Einstellung zu ändern). Zerhaut es dann die Zertifikatsverteilung, weil die XP-GPMC das nicht unterstützt? Oder bleibt dieser Teil der Richtlinie, wenn er einmal mit einer Win7-GPMC eingerichtet ist, intakt?.

 

Auf dem XP-Rechner siehst Du nur die GPOs/Einstellungen, die ein XP auch kennt, zerhauen kann es die Verteilung nicht, aber man editiert sicherheitshalber kein GPO mehr mit der 'alten' GPMC.

 

 

Erstens benutze ich ein Produktivsystem ungern zum Testen, und ein Testnetzwerk habe ich nicht. Und zweitens bin ich nicht vor Ort. Ich administriere in der Regel per VPN-Zugriff. Das heißt dann aber auch, ich kann nicht am Client prüfen, ob dort alles richtig umgesetzt wurde. Jedenfalls nicht so einfach.

Genau deshalb hat ein oder zwei virtuelle Clients, einen zum einrichten und einen zum testen.

Edited by Sunny61
Link to comment

Hi,

 

Aber OK, wenden wir uns dem Aktuellen zu. Nehmen wir nun also einmal an, ich installiere auf dem einen Win7-Rechner in dem Netzwerk die GPMC, öffne damit das GPO, in dem schon die Registry-Keys aus dem anderen Thread verteilt werden (weil das inhaltlich zusammen gehört) und füge dort die Verteilung des Zertifikats hinzu. Was passiert nun, wenn ich dieses GPO hinterher noch mal mit meinem XP-Adminrechner bearbeite (z.B. um bei der MBus-Richtline eine Einstellung zu ändern). Zerhaut es dann die Zertifikatsverteilung, weil die XP-GPMC das nicht unterstützt? Oder bleibt dieser Teil der Richtlinie, wenn er einmal mit einer Win7-GPMC eingerichtet ist, intakt?.

 

selbst wenn es dir die "MBUS" Konfig zerhaut, kann das ja egal sein, da du ja jetzt ein Win7 mit GPMC hast und du die Regestrykeys per GPP verteilen kannst ;)

 

Gruß

Jan

Link to comment

Dir ist den letzten 5 Jahren sehr viel entgangen. ;)

Naja, nicht wirklich. Also zum einen muß man sich wirklich die Frage stellen, ob man immer das Neueste haben muß, wenn die Software von gestern völlig ausreicht. Wozu muß man z.B. das neueste Office haben, wenn die Sekretärinnen schon als alte Office eher als "Speicherschreibmaschine" nutzen? Wozu braucht man Windows 7, wenn die einzige Aktion, die die Sekretärinnen in Windows machen, das Öffnen von Programmen auf dem Desktop ist?

 

Zum anderen gibt es aber noch einen viel gewichtigeren Grund, über den wir (ich glaube Du hattest Dich an der Diskussion damals auch beteiligt) schon gesprochen hatten. Microsoft hat die Lizenzbedingungen für gemeinnützige Einrichtungen geändert. Als Kirchengemeinde bekommen wir keine vergünstigten Lizenzen mehr. Das trifft uns schon hart, denn wir können ja nicht wie ein Unternehmen die Kosten für die IT einfach in unsere Leistungen "einpreisen". Wir müssen alles aus den Schlüsselzuweisungen bezahlen, und da ist für IT nicht viel drin. Sicher wäre eine Umstellung auf Server 2008 R2 und Win7-Clients schon seit Jahren wünschenswert gewesen. Aber das zieht einen Rattenschwanz an Investitionen nach sich, den die Gemeinde nicht mal so eben aus dem laufenden Etat bezahlt. Daher erfolgt die Umstellung zum spätestmöglichen Termin, bei den Clients also im kommenden, beim Server im übernächsten (Haushalts)jahr. Bis dahin werden dafür Rücklagen gebildet.

 

 

Auf dem XP-Rechner siehst Du nur die GPOs/Einstellungen, die ein XP auch kennt, zerhauen kann es die Verteilung nicht, aber man editiert sicherheitshalber kein GPO mehr mit der 'alten' GPMC.

Also auf meine Frage ein klares Jein ;)

 

 

Genau deshalb hat ein oder zwei virtuelle Clients, einen zum einrichten und einen zum testen.

Auch virtuelle Clients brauchen reale Lizenzen. Nun gut, Win7-Lizenz bekommt man mittlerweile für 40 Euro, also daran sollte es nicht scheitern. Aber auch virtuelle PCs brauchen eine reale Hardware-Grundlage. Wenn du wüßtest, mit welcher Hardware mein Admin-PC läuft, würdest Du das Wort "Virtualisierung" nicht so leicht in den Mund nehmen ;)

 

 

Eigentlich ist alles gesagt. Und jemand der nichts testen will in der Produktivumgebung aber keine Testmaschinen hat (oder keine die auch mal ein aktuelleres OS besitzen), der hat irgendwas "verpennt". ;)

Jaja, ihr aus der Wirtschaft habt gut reden ... wo mit der IT Geld verdient wird, kann man auch Geld in die IT investieren.

 

 

selbst wenn es dir die "MBUS" Konfig zerhaut, kann das ja egal sein, da du ja jetzt ein Win7 mit GPMC hast und du die Regestrykeys per GPP verteilen kannst ;)

Der Win7-PC hat eigentlich andere Aufgaben im Netzwerk als dass ich den dauernd als Admin-PC "mißbrauchen" könnte ...

Edited by Sarek
Link to comment

Naja, nicht wirklich. Also zum einen muß man sich wirklich die Frage stellen, ob man immer das Neueste haben muß, wenn die Software von gestern völlig ausreicht. Wozu muß man z.B. das neueste Office haben, wenn die Sekretärinnen schon als alte Office eher als "Speicherschreibmaschine" nutzen? Wozu braucht man Windows 7, wenn die einzige Aktion, die die Sekretärinnen in Windows machen, das Öffnen von Programmen auf dem Desktop ist?

Ich meinte natürlich nicht die Office Versionen. Im Bereich der GPOs und GPP hat sich sehr viel getan, das meinte ich mit den 5 Jahren.

 

Auch virtuelle Clients brauchen reale Lizenzen. Nun gut, Win7-Lizenz bekommt man mittlerweile für 40 Euro, also daran sollte es nicht scheitern. Aber auch virtuelle PCs brauchen eine reale Hardware-Grundlage. Wenn du wüßtest, mit welcher Hardware mein Admin-PC läuft, würdest Du das Wort "Virtualisierung" nicht so leicht in den Mund nehmen ;)

Es gibt von MSFT kostenlose VHDs zum Download. Damit lässt sich ein 30-Tage Testsystem aufsetzen und die GPMC nutzen. Hier ein Blogeintrag der so manche Links bereitstellt: https://kittblog.com/news/3/windows/255/kostenlose-vhd-images-f%C3%BCr-microsoft-virtual-pc/

 

Und hier noch ein paar Server VHDs: http://www.microsoft.com/en-us/download/search.aspx?q=msvhds&p=0&r=10&t=&s=availabledate~Descending

 

 

Jaja, ihr aus der Wirtschaft habt gut reden ... wo mit der IT Geld verdient wird, kann man auch Geld in die IT investieren.

 

 

Der Win7-PC hat eigentlich andere Aufgaben im Netzwerk als dass ich den dauernd als Admin-PC "mißbrauchen" könnte ...

Link to comment

Ich meinte natürlich nicht die Office Versionen. Im Bereich der GPOs und GPP hat sich sehr viel getan, das meinte ich mit den 5 Jahren.

 

Das mag natürlich sein :)

 

 

Es gibt von MSFT kostenlose VHDs zum Download. Damit lässt sich ein 30-Tage Testsystem aufsetzen und die GPMC nutzen.

 

Also das ist für mich keine Lösung. Wenn ich dann mal in zwei Monaten wieder an das GPO ran muß, müßte ich wieder alles konfigurieren. Nene, ich habe jetzt mal einen VMWARE-Player direkt auf dem Server installiert und darauf einen Win7-PC aufgesetzt. 40 Euro für die Windows-Lizenz habe ich dann schon noch ;)

 

 

Nun aber noch mal zu der Zertifikatsverteilung zurück. Dazu eine Frage:

 

Wenn ich jetzt das Zertifikat in die "Vertrauenswürdigen Herausgeber" importiere, wird es dann direkt im GPO gespeichert, so daß ich die CER-Datei anschließend löschen kann? Da steht ja, daß das Zertifikat in den Zertifikatsspeicher übernommen wird. Aber wo ist der, auf dem Server, oder auf dem Admin-PC, an dem ich den Import durchführe?

 

 

Danke im Voraus,

Sarek

Edited by Sarek
Link to comment

Also das ist für mich keine Lösung. Wenn ich dann mal in zwei Monaten wieder an das GPO ran muß, müßte ich wieder alles konfigurieren. Nene, ich habe jetzt mal einen VMWARE-Player direkt auf dem Server installiert und darauf einen Win7-PC aufgesetzt. 40 Euro für die Windows-Lizenz habe ich dann schon noch ;)

Endlich! :)

 

 

Wenn ich jetzt das Zertifikat in die "Vertrauenswürdigen Herausgeber" importiere, wird es dann direkt im GPO gespeichert, so daß ich die CER-Datei anschließend löschen kann?

AFAIK ja. Aber weshalb? Hast Du zu wenig Platz auf der HDD?

Da steht ja, daß das Zertifikat in den Zertifikatsspeicher übernommen wird. Aber wo ist der, auf dem Server, oder auf dem Admin-PC, an dem ich den Import durchführe?

Wie lange dauert es bis Du es selbst nachgeprft hast? Start > Ausführen > MMC [ENTER]. Zertifikate wählen, lokaler Computer. Wo ist das Zertifikat?

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...