Jump to content

Erneuern eines abgelaufenen Codesigning-Zertifikats


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin zusammen,

mein Problem ist eine ziemlich schräge Sache und ich vermute als Ursache unsere Unkenntnis.

 

Wir haben uns vor einem Jahr mit XCA eine PKI aufgebaut. Im Einsatz sind W7-Clients und 2008R2 bis 2016-Server. Die Domänenebene ist 2008R2. Es geht um VBA-Code für Outlook 2010. Über GPOs wurden die Einstellung für die Makro-Sicherheit so eingestellt, dass nur signierter Code ausgeführt wird. Auch das Codesigning-Zertifikat wird per GPO ausgerollt. Alles lief.

Nach einem Jahr läuft nun bald das alte Zertifikat aus. Kein Ding, neues erstellt und verteilt. Nun wollte ich den Code, der auch geändert wurde, mit dem neuen Zertifikat signieren. Ich kann auch das neue Zertifikat auswählen, aber beim Speichern bzw. Schließen von Outlook kommt die Meldung: "Ein Problem mit der digitalen Signatur ist aufgetreten. Das VBA-Projekt konnte nicht digital Signiert werden. Die Unterschrift wird verworfen."

 

Ich brüte seit Tagen schon an dem Problem. Das neue Zertifikat wurde auch schon neu erstellt. In den Zertifikatsinformationen ist auch zu sehen, dass der Zweck des Zertifikats dem Codesigning dient. Der Zertifizierungspfad ist ebenfalls bis zum Root-Zertifikat gegeben und im Status wird angezeigt, dass das Zertifikat gültig ist. Über'n I-Explorer wird das Zertifikat auch an den richtigen Stellen (Vertrauenswürdige Herausgeber) angezeigt. Allerdings sind da auch noch das alte Zertifikat und ein Versuchszertifikat im Reiter "Andere Personen" drin, die sich nicht löschen lassen.

 

Ach ja ... selbstverständlich war ich bereits an diversen PCs zugange. Die lokale Installation kann's also auch nicht sein. Mittlerweile habe ich einen W10-Rechner stehen mit Office 2010 und 365 an Bord. Am oben beschriebenen Verhalten hat sich nichts geändert, außer dass bei Outlook 365 nicht mal ein passendes Zertifikat zur Auswahl gefunden wird. 

 

Hoffentlich konnte ich die Situation einigermaßen anschaulich schildern und hoffe ihr könnt mir helfen. :-)

 

Mit besten Grüßen

 

Arne

 

 

 

 

Link zu diesem Kommentar

Moin,

 

damit man Code nicht jedes Mal beim Erneuern des Zertifikats neu signieren muss, setzt man beim Code Signing üblicherweise Timestamp-Server ein. Der Timestamp ist dann Teil der Signatur, damit ist bewiesen, dass die Signatur zum Zeitpunkt des Signierens gültig war, auch wenn das Zertifikat längst abgelaufen ist. Statt also über den Problemen eures (unvollständigen) Ansatzes weiter zu brüten, würde ich die Infrastruktur nach diesem Prinzip neu machen.

 

Warum nutzt du nicht die in Windows integrierte CA?

 

Gruß, Nils

 

Link zu diesem Kommentar

Hi Nils,

 

wir hatten uns beraten lassen und da hieß es, dass das ganze mit XCA einfacher und unabhängiger ist, anstatt mit einer AD-integrierten PKI. Timestamp-Server ... hmm ... wieder was neues ... :-)

 

Ich höre jetzt erst mal aus deiner Antwort heraus, dass mein Problem wohl kein bekanntes ist. Eine PKI einstampfen und neu aufsetzen ist ja nun auch nicht gerade eine simple Geschichte. Ok, ich schau mal, wie ich mit deinen Hinweisen klar komme. Ich melde mich.

 

Danke

Arne

Link zu diesem Kommentar

Argumente waren insbesondere die Unabhängigkeit vom AD und die Bedienbarkeit von XCA. Man verwies darauf, dass man damit im eigenen Hause gute Erfahrungen gemacht hat. Weiterhin haben wir eine Vorlage erhalten, wie man sich einen Zertifikatsterminkalender anlegt. Den haben wir soweit automatisiert, dass unser Ticketsystem automatisch Tickets ausspuckt, sobald irgendein Zertifikat abläuft.

Link zu diesem Kommentar

Moin,

 

eine gute Beratung hätte euch in dem Zusammenhang sicher auch über die üblichen Verfahren beim Code-Signing informiert ... aber geschenkt.

 

Ihr müsst die PKI ja jetzt nicht einstampfen, das Verfahren mit dem Timestamp-Server ist nicht Windows-spezifisch. Ihr müsst halt eure Prozesse für das Code-Signing ändern. Das würde ich tun, bevor ich die bestehenden Probleme weiter bearbeite, weil die ja offenkundig auf den alten, ungünstigen Prozessen beruhen.

Ich ergänze trotzdem einen Schuss ins Blaue: Ist auf dem Rechner, von dem aus du den Code signieren willst, der Private Key für das Zertifikat denn vorhanden und für den Useraccount zugänglich?

 

Gruß, Nils

PS. für eine Windows-PKI hätte ich dir jetzt ein gutes Buch empfohlen ... ob du für euer Produkt eins findest, weiß ich nicht. 

bearbeitet von NilsK
Ergänzung
Link zu diesem Kommentar
vor 5 Stunden schrieb Alith Anar:

Empfehlungen nehme ich trotzdem gerne :-)

Ich auch! :-)

 

Das ist/war ja gerade unser Problem ... eine gute Anleitung ...

 

 

@Entscheidung AD-integriert oder nicht

Das war keine evangelistisches Ding. Es war einfach der erprobte Weg unserer Berater und sie konnten uns dahingehend gut beraten. 

Wir sind da grundsätzlich offen. Wenn dein Buchtipp mir die Augen öffnen kann ... klasse! :-)

 

Das mit dem Key ist noch mal ein guter Hinweis. Das prüfe ich mal. 

 

Edit: Das war's nicht.

bearbeitet von Jokesoft
Update
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...