Jump to content

Code Signatur - Windows CA - Herausgeber anpassen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe ein Anliegen, welches ich per Google-Suche etc. leider nicht lösen kann.

 

Es geht um folgendes:

Ich habe von unseren Programmieren im Haus die Aufgabe bekommen, ein Software Zertifikat zu erstellen, um deren Software digital zu signieren. Da wir in unserer Domäne eine Windows-CA haben, habe ich dafür ein Code-Signatur Zertifikat erstellt und meinen Programmier-Kollegen zur Verfügung gestellt.

 

Dies funktioniert auch so, wie es soll. Es wird angenommen etc. Siehe Anhang. Allerdings soll der Herausgeber noch angepasst werden. Dort steht derzeit "Administrator" drin. Das ist auch richtig, weil über den Administrator-Account das Zertifikat erstellt wurde. Allerdings ist nun gewünscht, dass dort nicht "Administrator" steht, sondern unser Firmen-Name, weil wir als Firma ja die jeweilige Software erstellen.

 

Ist das überhaupt machbar? In meinen Augen, ist die Angabe des Herausgebers an der Stelle genau richtig.

 

Kann man das ändern, und wenn ja, wie?

 

Das Zertifikat wird nur intern, innerhalb unserer Domäne verwendet. Also reden wir hierbei ausschließlich um ein privates Zertifikat über die Windows-CA.

 

Könnt ihr mir in dieser Sache weiterhelfen?

 

Vielen Dank im Voraus!

 

MfG

 

 

Link zu diesem Kommentar

Moin,

 

Du benötigst dafür eine angepasste Zertifikatsvorlage.

Die Standardvorlage 'Codesignatur' verwendet den AD-Benutzer, der das Zertifikat angefordert hat.

Dazu gehtst Du in die mmc 'Zertifikatsvorlagen' und dublizierst die Vorlage 'Codesignatur', gibst ihr einen neuen Namen. Im Register 'Antragsteller' aktivierts Du die Option 'Informationen werden in der Anforderung angegeben'

In der CA fügst Du die neue Vorlage hinzu.

Dann forderst Du ein neues Zertifikat auf Basis der neuen Vorlage an. Hier sollte dann auch der Hinweis erscheinen, dass weitere Informationen benötigt werden. Dann kannst Du unter 'Antagsteller' / 'Allgemeiner Name' angeben was Du möchtest.

Link zu diesem Kommentar

Moin Moin,

vielen Dank für den Hinweis! :-)

 

Das klingt ja eigentlich relativ einfach.

 

Ich wollte es gerade mal ausprobieren, allerdings kommt dann offenbar schon das nächste Problem zu Tage. Offensichtlich kann unsere Zertifizierungsstelle keine Zertifikatvorlagen verarbeiten, die mindestens vom Typ 2003 Enterprise sind. Zumindest sagt das die Meldung im Anhang aus.

 

Kann es sein, dass unsere PKI derzeit in einem falschen Modus o.ä. läuft? Oder hat das den Grund, dass wir die CA auf einem 2008R2 Standard installiert haben?

 

 

 

 

 

 

post-64195-0-11718400-1392204550_thumb.jpg

bearbeitet von emmsinator
Link zu diesem Kommentar

Das ist schade, Server 2008(R2) Standard hat als CA einige Einschränkungen:

 

Standard editions of Windows Server 2008 and Windows Server 2003 support only version 1 certificate templates, which are not customizable and do not support key archival or autoenrollment.

http://technet.microsoft.com/en-us/library/cc730826%28v=ws.10%29.aspx

Link zu diesem Kommentar

Sonst wird das Zertifikat bei  Euren Kunden  als ungültig  erkannt. Eure Kunden sind auch gut beraten nicht  einfach Euer Root-Zertifikat  zu importieren.

 

Warum? SSL ist für mich mittlerweile broken by Design, wenn man sich alleine das letzte Jahr ansieht was da falsch lief.

Wenn es sich um eine spezifische Software handelt, kann ich als Unternehmen das Root Zert direkt bei mir löschen falls ich bedenken habe.

Bei einem der großen Hersteller mache ich das nicht mal eben ohne evtl. andere Dinge lahm zu legen...

Link zu diesem Kommentar

Hallo zusammen,

danke für eure Nachrichten.

 

In welchem Modus läuft die Domain? Falls noch 2003 mußt Du updaten.

2008 R2.

 

Das ist schade, Server 2008(R2) Standard hat als CA einige Einschränkungen:

 

http://technet.microsoft.com/en-us/library/cc730826%28v=ws.10%29.aspx

Oh, schade! :-( Also kann ich deinen Lösungsvorschlag mit unserem System offenbar nicht umsetzen. Richtig?

 

Willst Du die Software  verkaufen ?  Dann musst Du ein Zertifikat einer öffentlichen CA kaufen und damit  signieren.

Sonst wird das Zertifikat bei  Euren Kunden  als ungültig  erkannt. Eure Kunden sind auch gut beraten nicht  einfach Euer Root-Zertifikat  zu importieren.

Nein. Es geht hier rein um die interne Nutzung auf Clients in unserer Domäne.

Link zu diesem Kommentar

Oh, schade! :-( Also kann ich deinen Lösungsvorschlag mit unserem System offenbar nicht umsetzen. Richtig?

Es gäbe zwei alternative Wege, die Anforderung umzusetzen: Einen eleganten und einen 'nicht so schönen'

  • Der saubere Weg: die CA auf einen Server 2008R2 Enterprise oder 2012(R2) Standard migrieren und die angepasste Vorlage nutzen.

    Eventuell wird hierfür eine neue Lizenz fällig, aber eine PKI macht man richtig oder gar nicht

  • Der andere Weg: Das Zertifikat über einen Dummy-User mit dem gewünschten Namen anfordern.
Link zu diesem Kommentar

 

Es gäbe zwei alternative Wege, die Anforderung umzusetzen: Einen eleganten und einen 'nicht so schönen'

  • Der saubere Weg: die CA auf einen Server 2008R2 Enterprise oder 2012(R2) Standard migrieren und die angepasste Vorlage nutzen.

    Eventuell wird hierfür eine neue Lizenz fällig, aber eine PKI macht man richtig oder gar nicht

  • Der andere Weg: Das Zertifikat über einen Dummy-User mit dem gewünschten Namen anfordern.

Danke dir!

 

Ich habe mich jetzt erstmal für den "anderen Weg" mit dem Dummy-User entschieden.

 

Wenn wir die CA dann irgendwann mal migrieren, werde ich mich der Sache nochmal annehmen.

 

Danke für die Unterstützung! :-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...