Jump to content
Sign in to follow this  
Jokesoft

Erneuern eines abgelaufenen Codesigning-Zertifikats

Recommended Posts

Moin zusammen,

mein Problem ist eine ziemlich schräge Sache und ich vermute als Ursache unsere Unkenntnis.

 

Wir haben uns vor einem Jahr mit XCA eine PKI aufgebaut. Im Einsatz sind W7-Clients und 2008R2 bis 2016-Server. Die Domänenebene ist 2008R2. Es geht um VBA-Code für Outlook 2010. Über GPOs wurden die Einstellung für die Makro-Sicherheit so eingestellt, dass nur signierter Code ausgeführt wird. Auch das Codesigning-Zertifikat wird per GPO ausgerollt. Alles lief.

Nach einem Jahr läuft nun bald das alte Zertifikat aus. Kein Ding, neues erstellt und verteilt. Nun wollte ich den Code, der auch geändert wurde, mit dem neuen Zertifikat signieren. Ich kann auch das neue Zertifikat auswählen, aber beim Speichern bzw. Schließen von Outlook kommt die Meldung: "Ein Problem mit der digitalen Signatur ist aufgetreten. Das VBA-Projekt konnte nicht digital Signiert werden. Die Unterschrift wird verworfen."

 

Ich brüte seit Tagen schon an dem Problem. Das neue Zertifikat wurde auch schon neu erstellt. In den Zertifikatsinformationen ist auch zu sehen, dass der Zweck des Zertifikats dem Codesigning dient. Der Zertifizierungspfad ist ebenfalls bis zum Root-Zertifikat gegeben und im Status wird angezeigt, dass das Zertifikat gültig ist. Über'n I-Explorer wird das Zertifikat auch an den richtigen Stellen (Vertrauenswürdige Herausgeber) angezeigt. Allerdings sind da auch noch das alte Zertifikat und ein Versuchszertifikat im Reiter "Andere Personen" drin, die sich nicht löschen lassen.

 

Ach ja ... selbstverständlich war ich bereits an diversen PCs zugange. Die lokale Installation kann's also auch nicht sein. Mittlerweile habe ich einen W10-Rechner stehen mit Office 2010 und 365 an Bord. Am oben beschriebenen Verhalten hat sich nichts geändert, außer dass bei Outlook 365 nicht mal ein passendes Zertifikat zur Auswahl gefunden wird. 

 

Hoffentlich konnte ich die Situation einigermaßen anschaulich schildern und hoffe ihr könnt mir helfen. :-)

 

Mit besten Grüßen

 

Arne

 

 

 

 

Share this post


Link to post
Share on other sites

Moin,

 

damit man Code nicht jedes Mal beim Erneuern des Zertifikats neu signieren muss, setzt man beim Code Signing üblicherweise Timestamp-Server ein. Der Timestamp ist dann Teil der Signatur, damit ist bewiesen, dass die Signatur zum Zeitpunkt des Signierens gültig war, auch wenn das Zertifikat längst abgelaufen ist. Statt also über den Problemen eures (unvollständigen) Ansatzes weiter zu brüten, würde ich die Infrastruktur nach diesem Prinzip neu machen.

 

Warum nutzt du nicht die in Windows integrierte CA?

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Hi Nils,

 

wir hatten uns beraten lassen und da hieß es, dass das ganze mit XCA einfacher und unabhängiger ist, anstatt mit einer AD-integrierten PKI. Timestamp-Server ... hmm ... wieder was neues ... :-)

 

Ich höre jetzt erst mal aus deiner Antwort heraus, dass mein Problem wohl kein bekanntes ist. Eine PKI einstampfen und neu aufsetzen ist ja nun auch nicht gerade eine simple Geschichte. Ok, ich schau mal, wie ich mit deinen Hinweisen klar komme. Ich melde mich.

 

Danke

Arne

Share this post


Link to post
Share on other sites
vor 14 Minuten schrieb Jokesoft:

wir hatten uns beraten lassen und da hieß es, dass das ganze mit XCA einfacher und unabhängiger ist

Beschränkte sich die Empfehlung darauf, oder kamen da auch Argumente? ;)

Share this post


Link to post
Share on other sites

Argumente waren insbesondere die Unabhängigkeit vom AD und die Bedienbarkeit von XCA. Man verwies darauf, dass man damit im eigenen Hause gute Erfahrungen gemacht hat. Weiterhin haben wir eine Vorlage erhalten, wie man sich einen Zertifikatsterminkalender anlegt. Den haben wir soweit automatisiert, dass unser Ticketsystem automatisch Tickets ausspuckt, sobald irgendein Zertifikat abläuft.

Share this post


Link to post
Share on other sites

Hmm, also da eine ad integrierte ca bei Windows vieles automatisiert kann, wäre die Abhängigkeit jetzt weniger von Nachteil. Aber ok, ich kenne eure Umgebung nicht.

Share this post


Link to post
Share on other sites

Moin,

 

eine gute Beratung hätte euch in dem Zusammenhang sicher auch über die üblichen Verfahren beim Code-Signing informiert ... aber geschenkt.

 

Ihr müsst die PKI ja jetzt nicht einstampfen, das Verfahren mit dem Timestamp-Server ist nicht Windows-spezifisch. Ihr müsst halt eure Prozesse für das Code-Signing ändern. Das würde ich tun, bevor ich die bestehenden Probleme weiter bearbeite, weil die ja offenkundig auf den alten, ungünstigen Prozessen beruhen.

Ich ergänze trotzdem einen Schuss ins Blaue: Ist auf dem Rechner, von dem aus du den Code signieren willst, der Private Key für das Zertifikat denn vorhanden und für den Useraccount zugänglich?

 

Gruß, Nils

PS. für eine Windows-PKI hätte ich dir jetzt ein gutes Buch empfohlen ... ob du für euer Produkt eins findest, weiß ich nicht. 

Edited by NilsK
Ergänzung

Share this post


Link to post
Share on other sites
vor 9 Stunden schrieb NilsK:

PS. für eine Windows-PKI hätte ich dir jetzt ein gutes Buch empfohlen ... ob du für euer Produkt eins findest, weiß ich nicht. 

Empfehlungen nehme ich trotzdem gerne :-)

Share this post


Link to post
Share on other sites
vor 5 Stunden schrieb Alith Anar:

Empfehlungen nehme ich trotzdem gerne :-)

Ich auch! :-)

 

Das ist/war ja gerade unser Problem ... eine gute Anleitung ...

 

 

@Entscheidung AD-integriert oder nicht

Das war keine evangelistisches Ding. Es war einfach der erprobte Weg unserer Berater und sie konnten uns dahingehend gut beraten. 

Wir sind da grundsätzlich offen. Wenn dein Buchtipp mir die Augen öffnen kann ... klasse! :-)

 

Das mit dem Key ist noch mal ein guter Hinweis. Das prüfe ich mal. 

 

Edit: Das war's nicht.

Edited by Jokesoft
Update

Share this post


Link to post
Share on other sites

Ok, Buch ist besorgt. Damit betrachte ich den Thread erst mal als abgeschlossen. Ich werde hier demnächst noch berichten wie's bei uns weitergeht. 

 

Danke erst mal.

Arne

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...