none
Root Zertifikat wird nicht als vertrauenswürdigen Herausgeber angesehen RRS feed

  • Frage

  • Hallo

    Ich habe ein Makro geschrieben, welches in der ganzen Domäne immer beim Öffnen von Word ausgeführt werden soll. Aus Sicherheitsgründen sollen nur signierte Makros ausgeführt werden dürfen, also habe ich von unserer internen Stammzertifizierungsstelle ein Zertifikat zur Code Signierung angefordert und an das Makro angehängt. Wenn ein anderer Benutzer nun aber das Word öffnet und das Makro ausgeführt werden soll, erscheint die Meldung, dass der Herausgeber nicht als vertrauenswürdig angesehen wird. Das Root Zertifikat ist aber auf allen Clients unter vertrauenswürdige Stammzertifizierungsstellen aufgeführt.

    Kennt jemand einen Grund, wieso das Root Zertifikat als nicht vertrauenswürdigen Herausgeber angesehen wird?

    Danke...

    Donnerstag, 2. August 2012 13:26

Antworten

  • Hi,
     
    Am 02.08.2012 15:26, schrieb BchTryOut:
    > dass der Herausgeber nicht als vertrauenswürdig angesehen wird. Das Root
    > Zertifikat ist aber auf allen Clients unter vertrauenswürdige
    > Stammzertifizierungsstellen aufgeführt.
     
    Bei Code Signing MUSS JEDES!! zur Signatur verwendete Zertifikat als
    "Vertrauenswürdiger Herausgeber" verteilt werden. Nicht die RootCA als
    genereller "Herausgeber". Herausgeber oder Trusted Publisher bedeutet
    tatsächlich Einzahl in dem Fall.
     
    Siehe "Code Signing Best Practices", Seite 30
    | The Trusted Publishers certificate store is different from the
    | Trusted Root Certification Authorities certificate store in that only
    | end-entity certificates can be trusted. In other words, adding a test
    | CA root certificate to the Trusted Publishers certificate store does
    | not configure all certificates that this CA issued as trusted. Each
    | certificate must be added separately.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    • Als Antwort markiert BchTryOut Donnerstag, 2. August 2012 15:14
    Donnerstag, 2. August 2012 13:46

Alle Antworten

  • Auf dem betroffenen Client als betroffener Benutzer führ mal folgendes aus:

    certutil -v -verify -urlfetch <Zertifikat zur Code Signierung>.cer > C:\temp\certutil_verify_urlfetch.txt

    und verifiziere einmal die Ausgabe, ob dort wirklich keine Fehler auftauchen.

    -
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Donnerstag, 2. August 2012 13:45
  • Hi,
     
    Am 02.08.2012 15:26, schrieb BchTryOut:
    > dass der Herausgeber nicht als vertrauenswürdig angesehen wird. Das Root
    > Zertifikat ist aber auf allen Clients unter vertrauenswürdige
    > Stammzertifizierungsstellen aufgeführt.
     
    Bei Code Signing MUSS JEDES!! zur Signatur verwendete Zertifikat als
    "Vertrauenswürdiger Herausgeber" verteilt werden. Nicht die RootCA als
    genereller "Herausgeber". Herausgeber oder Trusted Publisher bedeutet
    tatsächlich Einzahl in dem Fall.
     
    Siehe "Code Signing Best Practices", Seite 30
    | The Trusted Publishers certificate store is different from the
    | Trusted Root Certification Authorities certificate store in that only
    | end-entity certificates can be trusted. In other words, adding a test
    | CA root certificate to the Trusted Publishers certificate store does
    | not configure all certificates that this CA issued as trusted. Each
    | certificate must be added separately.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    • Als Antwort markiert BchTryOut Donnerstag, 2. August 2012 15:14
    Donnerstag, 2. August 2012 13:46
  • Oh super, das hat jetzt funktioniert, vielen Dank für eure Hilfe!
    Donnerstag, 2. August 2012 15:14