Jokesoft 0 Geschrieben 17. Juli 2018 Melden Teilen Geschrieben 17. Juli 2018 Moin zusammen, mein Problem ist eine ziemlich schräge Sache und ich vermute als Ursache unsere Unkenntnis. Wir haben uns vor einem Jahr mit XCA eine PKI aufgebaut. Im Einsatz sind W7-Clients und 2008R2 bis 2016-Server. Die Domänenebene ist 2008R2. Es geht um VBA-Code für Outlook 2010. Über GPOs wurden die Einstellung für die Makro-Sicherheit so eingestellt, dass nur signierter Code ausgeführt wird. Auch das Codesigning-Zertifikat wird per GPO ausgerollt. Alles lief. Nach einem Jahr läuft nun bald das alte Zertifikat aus. Kein Ding, neues erstellt und verteilt. Nun wollte ich den Code, der auch geändert wurde, mit dem neuen Zertifikat signieren. Ich kann auch das neue Zertifikat auswählen, aber beim Speichern bzw. Schließen von Outlook kommt die Meldung: "Ein Problem mit der digitalen Signatur ist aufgetreten. Das VBA-Projekt konnte nicht digital Signiert werden. Die Unterschrift wird verworfen." Ich brüte seit Tagen schon an dem Problem. Das neue Zertifikat wurde auch schon neu erstellt. In den Zertifikatsinformationen ist auch zu sehen, dass der Zweck des Zertifikats dem Codesigning dient. Der Zertifizierungspfad ist ebenfalls bis zum Root-Zertifikat gegeben und im Status wird angezeigt, dass das Zertifikat gültig ist. Über'n I-Explorer wird das Zertifikat auch an den richtigen Stellen (Vertrauenswürdige Herausgeber) angezeigt. Allerdings sind da auch noch das alte Zertifikat und ein Versuchszertifikat im Reiter "Andere Personen" drin, die sich nicht löschen lassen. Ach ja ... selbstverständlich war ich bereits an diversen PCs zugange. Die lokale Installation kann's also auch nicht sein. Mittlerweile habe ich einen W10-Rechner stehen mit Office 2010 und 365 an Bord. Am oben beschriebenen Verhalten hat sich nichts geändert, außer dass bei Outlook 365 nicht mal ein passendes Zertifikat zur Auswahl gefunden wird. Hoffentlich konnte ich die Situation einigermaßen anschaulich schildern und hoffe ihr könnt mir helfen. Mit besten Grüßen Arne Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 17. Juli 2018 Melden Teilen Geschrieben 17. Juli 2018 Moin, damit man Code nicht jedes Mal beim Erneuern des Zertifikats neu signieren muss, setzt man beim Code Signing üblicherweise Timestamp-Server ein. Der Timestamp ist dann Teil der Signatur, damit ist bewiesen, dass die Signatur zum Zeitpunkt des Signierens gültig war, auch wenn das Zertifikat längst abgelaufen ist. Statt also über den Problemen eures (unvollständigen) Ansatzes weiter zu brüten, würde ich die Infrastruktur nach diesem Prinzip neu machen. Warum nutzt du nicht die in Windows integrierte CA? Gruß, Nils Zitieren Link zu diesem Kommentar
Jokesoft 0 Geschrieben 17. Juli 2018 Autor Melden Teilen Geschrieben 17. Juli 2018 Hi Nils, wir hatten uns beraten lassen und da hieß es, dass das ganze mit XCA einfacher und unabhängiger ist, anstatt mit einer AD-integrierten PKI. Timestamp-Server ... hmm ... wieder was neues ... Ich höre jetzt erst mal aus deiner Antwort heraus, dass mein Problem wohl kein bekanntes ist. Eine PKI einstampfen und neu aufsetzen ist ja nun auch nicht gerade eine simple Geschichte. Ok, ich schau mal, wie ich mit deinen Hinweisen klar komme. Ich melde mich. Danke Arne Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 17. Juli 2018 Melden Teilen Geschrieben 17. Juli 2018 vor 14 Minuten schrieb Jokesoft: wir hatten uns beraten lassen und da hieß es, dass das ganze mit XCA einfacher und unabhängiger ist Beschränkte sich die Empfehlung darauf, oder kamen da auch Argumente? ;) Zitieren Link zu diesem Kommentar
Jokesoft 0 Geschrieben 17. Juli 2018 Autor Melden Teilen Geschrieben 17. Juli 2018 Argumente waren insbesondere die Unabhängigkeit vom AD und die Bedienbarkeit von XCA. Man verwies darauf, dass man damit im eigenen Hause gute Erfahrungen gemacht hat. Weiterhin haben wir eine Vorlage erhalten, wie man sich einen Zertifikatsterminkalender anlegt. Den haben wir soweit automatisiert, dass unser Ticketsystem automatisch Tickets ausspuckt, sobald irgendein Zertifikat abläuft. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 17. Juli 2018 Melden Teilen Geschrieben 17. Juli 2018 Hmm, also da eine ad integrierte ca bei Windows vieles automatisiert kann, wäre die Abhängigkeit jetzt weniger von Nachteil. Aber ok, ich kenne eure Umgebung nicht. Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 17. Juli 2018 Melden Teilen Geschrieben 17. Juli 2018 (bearbeitet) Moin, eine gute Beratung hätte euch in dem Zusammenhang sicher auch über die üblichen Verfahren beim Code-Signing informiert ... aber geschenkt. Ihr müsst die PKI ja jetzt nicht einstampfen, das Verfahren mit dem Timestamp-Server ist nicht Windows-spezifisch. Ihr müsst halt eure Prozesse für das Code-Signing ändern. Das würde ich tun, bevor ich die bestehenden Probleme weiter bearbeite, weil die ja offenkundig auf den alten, ungünstigen Prozessen beruhen. Ich ergänze trotzdem einen Schuss ins Blaue: Ist auf dem Rechner, von dem aus du den Code signieren willst, der Private Key für das Zertifikat denn vorhanden und für den Useraccount zugänglich? Gruß, Nils PS. für eine Windows-PKI hätte ich dir jetzt ein gutes Buch empfohlen ... ob du für euer Produkt eins findest, weiß ich nicht. bearbeitet 17. Juli 2018 von NilsK Ergänzung Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 18. Juli 2018 Melden Teilen Geschrieben 18. Juli 2018 vor 9 Stunden schrieb NilsK: PS. für eine Windows-PKI hätte ich dir jetzt ein gutes Buch empfohlen ... ob du für euer Produkt eins findest, weiß ich nicht. Empfehlungen nehme ich trotzdem gerne Zitieren Link zu diesem Kommentar
Jokesoft 0 Geschrieben 18. Juli 2018 Autor Melden Teilen Geschrieben 18. Juli 2018 (bearbeitet) vor 5 Stunden schrieb Alith Anar: Empfehlungen nehme ich trotzdem gerne Ich auch! Das ist/war ja gerade unser Problem ... eine gute Anleitung ... @Entscheidung AD-integriert oder nicht Das war keine evangelistisches Ding. Es war einfach der erprobte Weg unserer Berater und sie konnten uns dahingehend gut beraten. Wir sind da grundsätzlich offen. Wenn dein Buchtipp mir die Augen öffnen kann ... klasse! Das mit dem Key ist noch mal ein guter Hinweis. Das prüfe ich mal. Edit: Das war's nicht. bearbeitet 18. Juli 2018 von Jokesoft Update Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 18. Juli 2018 Melden Teilen Geschrieben 18. Juli 2018 vor 4 Stunden schrieb Alith Anar: Empfehlungen nehme ich trotzdem gerne https://www.amazon.de/PKI-CA-Windows-Netzwerken-Handbuch-Administratoren/dp/3836255901 1 Zitieren Link zu diesem Kommentar
Jokesoft 0 Geschrieben 18. Juli 2018 Autor Melden Teilen Geschrieben 18. Juli 2018 vor 2 Stunden schrieb NorbertFe: https://www.amazon.de/PKI-CA-Windows-Netzwerken-Handbuch-Administratoren/dp/3836255901 Hat er dir das auch schon nahe gelegt, oder woher weißt du welche Buch Nils empfehlen wollte? Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 18. Juli 2018 Melden Teilen Geschrieben 18. Juli 2018 Weil ich nils kenne und wir uns neulich über das Buch unterhalten haben. Aber du kannst auch warten bis nils sich meldet. ;) 1 Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 18. Juli 2018 Melden Teilen Geschrieben 18. Juli 2018 Moin, *lol* - ich stimme Norbert völlig zu. Gruß, Nils Zitieren Link zu diesem Kommentar
Jokesoft 0 Geschrieben 19. Juli 2018 Autor Melden Teilen Geschrieben 19. Juli 2018 Ok, Buch ist besorgt. Damit betrachte ich den Thread erst mal als abgeschlossen. Ich werde hier demnächst noch berichten wie's bei uns weitergeht. Danke erst mal. Arne Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.