Makro mit Zertifikat digital signieren

[TryOut 10]

Hallo zusammen

 

Ich habe vor einigen Tagen ein Makro geschrieben, welches beim Öffnen von Word direkt ein Fenster öffnet, wo man eine Vorlage auswählen muss. Das soll nun in unserer ganzen Domäne so eingerichtet werden. Aus Sicherheitsgründen sollen nur Makros mit digitaler Signierung ausgeführt werden. Also habe ich mit Selfcert ein eigenes Zertifikat erstellt und per GPO an alle Clients verteilt. Das hat erst nach langem Suchen und Ausprobieren funktioniert aber jetzt läufts, das Zertifikat ist installiert. Leider ist die Sache damit noch nicht behoben, denn der User muss das Makro immernoch manuell aktivieren (Was natürlich niemand machen wird auf Dauer). Wenn ich allerdings das Zertifikat bei den vertrauenswürdigen Herausgeber reinkriegen würde, würde alles funktionieren wie ich es wollte.

Leider habe ich schon so ziemlich alles funkioniert. Das Zertifikat habe ich bei der GPO schon importiert (Computerconfiguration --> Policies --> Windows Settings --> Security Settings --> Public Key Policies --> Trusted Publishers --> import). Unter den Public Key Policies habe ich auch schon die Einstellungen gesetzt für "Certificate Services Client - Certificate Enrollment Policy" sowie bei "Certificate Services Client - Auto-Enrollment". Das einzige wo ich meine Probleme habe ist unsere interne Zertifizierungsstelle, obwohl ich hier auch schon alles nach Anleitung gemacht habe:

 

Windows: Automatische Zertifikatverteilung (Certificate Autoenrollment) einrichten | Andys Blog – Linux, Mac, Windows

 

Kann mir hierbei irgendjemand helfen? Ich bin schon seit mehreren Tagen am suchen :(

 

Liebe Grüsse Lea

[Dukel 451]

Erstell eine PKI und mach das ganze damit.

[TryOut 10]

das gibts schon aber ich versteh nur bahnhof... :) kann man denn hier einfache zertifikate erstellen? Und wenn ja, wo? Das mit den Vorlagen kenn isch schon...

 

Und danke für deine Antwort :)

[zahni 550]

Wie Dukel schrieb: Installiere eine Windows-CA . Dazu gibt es div. Anleitungen im Internet. Dann kannst Du ein Zertifikat zu Code-Signatur erstellen, mit dem Du die Makros signieren kannst. Dem Office musst per GPO noch beibringen nur gültig signierte Makros auszuführen.

 

-Zahni

[TryOut 10]

Wie schon gesagt gibt es diese Windows CA schon, fertig installiert. Mein Problem ist, dass ich überall nur Zertifikatvorlagen erstellen kann, und dazu gibt es auch Anleitungen bis zur genüge. Nur wo man dann die richtigen Zertifikate erstellt, das steht nirgends. Überall wird nur der Weg über Selfcert erklärt, nur dabei habe ich als Herausgeber immer gerade den Namen, denn ich als Zertifikatsnamen angebe...

Also meine Frage: Wo in der PKI kann ich diese Zertifikate installieren?

 

Gruss Lea

[TryOut 10]

Kurze Korrigierung, ich meine nicht wo in der PKI die Zertifikate installieren, sondern erstellen...

[zahni 550]

Nun liest Du DIr das hier mal richtig durch:

 

Windows PKI Documentation Reference and Library - TechNet Articles - United States (English) - TechNet Wiki

 

Dann weist Du auch, wozu die Templates da sind und was man damit macht.

Ich bin mir sicher, dass es dafür auch ein Seminar gibt. Ohne das Du das Thema richtig verstanden hast, solltest DU es nicht produktiv einführen.

 

-Zahni

[TryOut 10]

Ah super okay das hat jetzt funktioniert... Jetzt fehlt nur noch der vertrauenswürdige Herausgeber.. Aber da google ich mal noch eine Weile...

 

Ja du weisst sicher wie das ist im Unternehmen. Man braucht etwas unbedingt und da muss man einfach durch. Hier hat das Thema niemand so richtig verstanden und da ich die erste bin die es braucht, bleibts einfach an mir hängen :)

 

Vielen Dank für eure Hilfe!

[zahni 550]

Jetzt fehlt nur noch der vertrauenswürdige Herausgeber..

 

Hm, dann hast Du Deine CA nicht richtig installiert.

[TryOut 10]

Da kann ich nichts dazu sagen, die habe ich nicht installiert... Das komische ist, als Herausgeber ist unsere PKI eingetragen, und die PKI steht auch unter den vertrauenswürdigen Stammzertifizierungsstellen. Aber wenn mein Makro (mit diesem Zertifikat signiert) ausgeführt wird, ist erstmal der Inhalt deaktiviert und dann steht da, die Signatur ist gültig, aber sie stammt von einem Herausgeber, dem ich noch nicht vertraue.

 

Denkst du die CA ist wirklich nicht richtig installiert?

[zahni 550]

Wie hast Du das Makro denn signiert ?

Du benötigst ein Zertifiakt zur Code-Signatur mit einem privaten Schlüssel in Deinem persönlichen Speicher.

 

Mittels "certutil -dump" muss der Root-Zertifkate Deiner CA angezeigt werden, denn das wird von der CA im AD veröffentlicht (zumindet per default).

 

-Zahni

[TryOut 10]

Das mit certutil -dump funktioniert einwandfrei...

 

also ich habe im Konsolenstamm ein Zertifikat angefordert, und gemäss meiner Zertifikat-Vorlage wurde dann das Zertifikat für eine CodeSignatur erstellt. Das Zertifikat ist jetzt in meinem persönlichen Speicher. Dann habe ich dieses Zertifikat aus dem Internet Explorer exportiert und im Visual Basic Editor gesagt "Extras" --> "Digitale Signatur" und dann dieses Zertifikat hinzugefügt. Das hat alles funktioniert, und auf meinem Computer funktioniert dieses Makro auch. Aber dieses Makro soll nun beim Öffnen von Word immer und in der ganzen Domäne ausgeführt werden. Deshalb muss mein Zertifikat in der ganzen Domäne verteilt und als gültig angesehen werden...

Deshalb möchte ich es via GPOs verteilen.

Das einzige Problem hierbei, das ich mir vorstellen könnte, ist, dass ich das Zertifikat für meinen User angefordert habe und deswegen andere User dieses nicht als vertrauenswürdig ansehen. Nun möchte ich entweder ein Zertifikat anfordern, welches dann für die gesamte Domäne gültig und vertrauenswürdig ist oder ich füge meinen User zu den vertrauenswürdigen Herausgebern hinzu... Geht das überhaupt? Meine GPOs ziehen nämlich nicht so richtig...

[Dukel 451]

Aber dieses Makro soll nun beim Öffnen von Word immer und in der ganzen Domäne ausgeführt werden. Deshalb muss mein Zertifikat in der ganzen Domäne verteilt und als gültig angesehen werden...

 

Dann hast du das System nicht begriffen. Da dein Zertifikat vom Root Zertifikat (und ggf. Zwischenzertifikaten) unterzeichnet wurden reicht es, wenn andere Rechner dem Root Zertifikat vertrauen.

Deines musst du nicht verteilen. Wenn das nicht geht ist etwas andere verkonfiguriert.

[TryOut 10]

hmm okay also dann meinst du wird dem root ca nicht vollständig vertraut?

[TryOut 10]

Okay ich habe den Fehler gefunden. Bei Code Signaturen muss man das Zertifikat in der GPO zu den Trusted Publishers hinzugefügt werden. Wieso das am Anfang nicht funktioniert hat, war dass ich die Policy dummerweise nur bei der OU der Users, nicht aber bei den Computern hinzugefügt habe.

Nochmals vielen Dank für eure Hilfe!