Code Signatur - Windows CA - Herausgeber anpassen?

[emmsinator 10]

Hallo zusammen,

 

ich habe ein Anliegen, welches ich per Google-Suche etc. leider nicht lösen kann.

 

Es geht um folgendes:

Ich habe von unseren Programmieren im Haus die Aufgabe bekommen, ein Software Zertifikat zu erstellen, um deren Software digital zu signieren. Da wir in unserer Domäne eine Windows-CA haben, habe ich dafür ein Code-Signatur Zertifikat erstellt und meinen Programmier-Kollegen zur Verfügung gestellt.

 

Dies funktioniert auch so, wie es soll. Es wird angenommen etc. Siehe Anhang. Allerdings soll der Herausgeber noch angepasst werden. Dort steht derzeit "Administrator" drin. Das ist auch richtig, weil über den Administrator-Account das Zertifikat erstellt wurde. Allerdings ist nun gewünscht, dass dort nicht "Administrator" steht, sondern unser Firmen-Name, weil wir als Firma ja die jeweilige Software erstellen.

 

Ist das überhaupt machbar? In meinen Augen, ist die Angabe des Herausgebers an der Stelle genau richtig.

 

Kann man das ändern, und wenn ja, wie?

 

Das Zertifikat wird nur intern, innerhalb unserer Domäne verwendet. Also reden wir hierbei ausschließlich um ein privates Zertifikat über die Windows-CA.

 

Könnt ihr mir in dieser Sache weiterhelfen?

 

Vielen Dank im Voraus!

 

MfG

 

 

[Dunkelmann 96]

Moin,

 

Du benötigst dafür eine angepasste Zertifikatsvorlage.

Die Standardvorlage 'Codesignatur' verwendet den AD-Benutzer, der das Zertifikat angefordert hat.

Dazu gehtst Du in die mmc 'Zertifikatsvorlagen' und dublizierst die Vorlage 'Codesignatur', gibst ihr einen neuen Namen. Im Register 'Antragsteller' aktivierts Du die Option 'Informationen werden in der Anforderung angegeben'

In der CA fügst Du die neue Vorlage hinzu.

Dann forderst Du ein neues Zertifikat auf Basis der neuen Vorlage an. Hier sollte dann auch der Hinweis erscheinen, dass weitere Informationen benötigt werden. Dann kannst Du unter 'Antagsteller' / 'Allgemeiner Name' angeben was Du möchtest.

[emmsinator 10]

Moin Moin,

vielen Dank für den Hinweis! :-)

 

Das klingt ja eigentlich relativ einfach.

 

Ich wollte es gerade mal ausprobieren, allerdings kommt dann offenbar schon das nächste Problem zu Tage. Offensichtlich kann unsere Zertifizierungsstelle keine Zertifikatvorlagen verarbeiten, die mindestens vom Typ 2003 Enterprise sind. Zumindest sagt das die Meldung im Anhang aus.

 

Kann es sein, dass unsere PKI derzeit in einem falschen Modus o.ä. läuft? Oder hat das den Grund, dass wir die CA auf einem 2008R2 Standard installiert haben?

 

 

 

 

 

 

bearbeitet 12. Februar 2014 von emmsinator

[Sunny61 810]

In welchem Modus läuft die Domain? Falls noch 2003 mußt Du updaten.

[Dunkelmann 96]

Das ist schade, Server 2008(R2) Standard hat als CA einige Einschränkungen:

 

Standard editions of Windows Server 2008 and Windows Server 2003 support only version 1 certificate templates, which are not customizable and do not support key archival or autoenrollment.

http://technet.microsoft.com/en-us/library/cc730826%28v=ws.10%29.aspx

[zahni 559]

Willst Du die Software  verkaufen ?  Dann musst Du ein Zertifikat einer öffentlichen CA kaufen und damit  signieren.

Sonst wird das Zertifikat bei  Euren Kunden  als ungültig  erkannt. Eure Kunden sind auch gut beraten nicht  einfach Euer Root-Zertifikat  zu importieren.

[NeMiX 76]

Sonst wird das Zertifikat bei  Euren Kunden  als ungültig  erkannt. Eure Kunden sind auch gut beraten nicht  einfach Euer Root-Zertifikat  zu importieren.

 

Warum? SSL ist für mich mittlerweile broken by Design, wenn man sich alleine das letzte Jahr ansieht was da falsch lief.

Wenn es sich um eine spezifische Software handelt, kann ich als Unternehmen das Root Zert direkt bei mir löschen falls ich bedenken habe.

Bei einem der großen Hersteller mache ich das nicht mal eben ohne evtl. andere Dinge lahm zu legen...

[emmsinator 10]

Hallo zusammen,

danke für eure Nachrichten.

 

In welchem Modus läuft die Domain? Falls noch 2003 mußt Du updaten.

2008 R2.

 

Das ist schade, Server 2008(R2) Standard hat als CA einige Einschränkungen:

 

http://technet.microsoft.com/en-us/library/cc730826%28v=ws.10%29.aspx

Oh, schade! :-( Also kann ich deinen Lösungsvorschlag mit unserem System offenbar nicht umsetzen. Richtig?

 

Willst Du die Software  verkaufen ?  Dann musst Du ein Zertifikat einer öffentlichen CA kaufen und damit  signieren.

Sonst wird das Zertifikat bei  Euren Kunden  als ungültig  erkannt. Eure Kunden sind auch gut beraten nicht  einfach Euer Root-Zertifikat  zu importieren.

Nein. Es geht hier rein um die interne Nutzung auf Clients in unserer Domäne.

[Dunkelmann 96]

Oh, schade! :-( Also kann ich deinen Lösungsvorschlag mit unserem System offenbar nicht umsetzen. Richtig?

Es gäbe zwei alternative Wege, die Anforderung umzusetzen: Einen eleganten und einen 'nicht so schönen'

• Der saubere Weg: die CA auf einen Server 2008R2 Enterprise oder 2012(R2) Standard migrieren und die angepasste Vorlage nutzen.

  Eventuell wird hierfür eine neue Lizenz fällig, aber eine PKI macht man richtig oder gar nicht

• Der andere Weg: Das Zertifikat über einen Dummy-User mit dem gewünschten Namen anfordern.

[emmsinator 10]

 

Es gäbe zwei alternative Wege, die Anforderung umzusetzen: Einen eleganten und einen 'nicht so schönen'

• Der saubere Weg: die CA auf einen Server 2008R2 Enterprise oder 2012(R2) Standard migrieren und die angepasste Vorlage nutzen.

  Eventuell wird hierfür eine neue Lizenz fällig, aber eine PKI macht man richtig oder gar nicht

• Der andere Weg: Das Zertifikat über einen Dummy-User mit dem gewünschten Namen anfordern.

Danke dir!

 

Ich habe mich jetzt erstmal für den "anderen Weg" mit dem Dummy-User entschieden.

 

Wenn wir die CA dann irgendwann mal migrieren, werde ich mich der Sache nochmal annehmen.

 

Danke für die Unterstützung! :-)