xrated2 15 Geschrieben 5. April Melden Teilen Geschrieben 5. April Bei WPP ist nach vielen Jahren das Zertifikat abgelaufen. Habe also ein neues erstellt innerhalb WPP und es via GPO mit der bekannten Methode an die Clients verteilt. Zwischendurch am Server das alte Zertifikat gelöscht und später wieder importiert (von einem Client) als es nicht mehr ging, weiß nicht ob das der Fehler war. Kann ich mir aber nicht vorstellen. Privater Schlüssel scheint laut certlm noch da zu sein. Das seltsame ist das die meisten Pakete nicht mehr funktionieren, neuere d.h. von diesem und letzten Jahr anscheinend schon. Die Frage ist, was da passiert ist? Scheint schon mit dem ablauf des alten Zertifikates zu tun haben. Wenn man in WPP beim betroffenen Paket auf revise geht "verfication of file signature failed" beim .cab file. Die Clients bringen den Fehler "einige Dateien sind nicht signiert" 800B0109 Cab File von WPP: Wenn ich auf dem Server das entsprechende .cab File von WPP raussuche steht bei Signatur: Ein erforderliche Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. Als Signaturzeitpunkt steht: Nicht verfügbar Unter Signaturliste steht: WPP Self-Signed sha1 Nicht verfügbar WPP Self-Signed sha256 Nicht verfügbar In dem Zertifikat selber steht sha512 Lösung: Signieren des cab files mit dem neuen Zertifikat. Als erstes habe ich dann in certlm für User erneut das neue Zertifikat inkl. private key importiert, sonst findet es signtool nicht. Man könnte aber auch das pfx mit signtool direkt angeben. Der Befehl lautet dann signtool sign /v /fd sha1 /tr http://timestamp.digicert.com /td sha1 /n "WPP Self-Signed" cabfile signtool sign /v /as /fd sha256 /tr http://timestamp.digicert.com /td sha256 /n "WPP Self-Signed" cabfile Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 5. April Melden Teilen Geschrieben 5. April Neu signieren kannst du doch mit wpp erledigen. Warum der Aufwand? Zitieren Link zu diesem Kommentar
xrated2 15 Geschrieben 5. April Autor Melden Teilen Geschrieben 5. April Ach ist das mit "resign" gemeint, hatte ich ganz übersehen. Da dachte ich eher das heisst soviel wie Paket "kündigen". Aber was ist denn da die Ursache? Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 5. April Melden Teilen Geschrieben 5. April Die alte Version hatte vermutlich kein timestamping und somit ist das Paket eben ungültig. Wenn du jetzt nen timestamp drin hast, sollte das zukünftig nicht mehr passieren. Zitieren Link zu diesem Kommentar
xrated2 15 Geschrieben 5. April Autor Melden Teilen Geschrieben 5. April WPP hatte ich schon vor einiger Zeit aktualisiert, da scheint ja nichts mehr neues zu kommen. Merkwürdig ist eben das die Pakete ja schon seit einiger Zeit ungültig waren aber sich erst durch den Zertifikatwechsel nicht mehr installieren ließen. Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 5. April Melden Teilen Geschrieben 5. April Na wenn du das alte Zertifikat entfernt hast auf den Clients wär das nicht verwunderlich. ;) Zitieren Link zu diesem Kommentar
xrated2 15 Geschrieben 5. April Autor Melden Teilen Geschrieben 5. April Ja irgendwie muss es so gewesen sein. Aber auf dem Server hatte WPP be revise auch schon gemeckert das es ungültig ist. Vielleicht war das schon länger so. Und der Client hat wohl einfach nur nach Ablauf des Zertifikats nichts mehr installiert. Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 5. April Melden Teilen Geschrieben 5. April Ja mit einem abgelaufenen Zertifikat kann man ein Paket nicht mehr bearbeiten. ;) Aber Hauptsache es geht jetzt wieder alles. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.