gladop
Goto Top

Excel Macros über eine Zertifizierungstelle signieren

Hallo Zusammen,

ich arbeite mit einem DC auf dem eine Zertifizierungsstelle installiert ist.
Dessen Root-Zertifikat ist auf allen Rechnern in der Domain verteilt. (liegt unter "Vertrauenswürdige Stammzertifikate")
Wir haben einige Excel Vorlagen mit Makros.
Diese habe ich über eine Codesignatur, die ich von der Zertifizierungsstelle angefordert habe signiert.
Im Excel-Trust-Center ist "Alle VBA-Makros deaktivieren, außer digital signierten Makros" eingestellt.

Wenn ich jetzt aber die Signierte Excel Vorlage öffne, wird mir eine Warnung angezeigt und die Makros sind deaktiviert.

Ich hätte erwartet, dass Excel merkt, dass das Root Zertifikat der Zertifizierungsstelle bereits unter "Vertrauenswürdige Stammzertifikate" liegt und damit die Codesignatur auch als vertrauenswürdig einstuft.
Ich habe zwar die Möglichkeit dem Herausgeber des Zertifikates zu vertrauen aber dann wird dieses nur unter "Vertrauenswürdige Herausgeber" gespeichert und wenn die nächste Tabelle von jemand anderem signiert ist (über die gleiche Zertifizierungsstelle) bekomme ich wieder eine Warnung.

Ich finde im Netz alles mögliche zum Thema Zertifikate erstellen, Macros signieren und co. aber mir muss da noch irgendein Puzzle teil fehlen.
(Oder mein Gedankengang ist ganz falsch :/)

Ich bin über jeden Hilfe dankbar.

Grüße
Gladop

Content-Key: 5281133170

Url: https://administrator.de/contentid/5281133170

Printed on: February 23, 2024 at 08:02 o'clock

Member: mbehrens
Solution mbehrens Jan 11, 2023 at 00:17:40 (UTC)
Goto Top
Zitat von @Gladop:

ich arbeite mit einem DC auf dem eine Zertifizierungsstelle installiert ist.
Dessen Root-Zertifikat ist auf allen Rechnern in der Domain verteilt. (liegt unter "Vertrauenswürdige Stammzertifikate")
Wir haben einige Excel Vorlagen mit Makros.
Diese habe ich über eine Codesignatur, die ich von der Zertifizierungsstelle angefordert habe signiert.
Im Excel-Trust-Center ist "Alle VBA-Makros deaktivieren, außer digital signierten Makros" eingestellt.

Wenn ich jetzt aber die Signierte Excel Vorlage öffne, wird mir eine Warnung angezeigt und die Makros sind deaktiviert.

Es fehlt das Zertifikat, mit dem die Makros signiert worden sind auf dem Zielsystem.

Ich hätte erwartet, dass Excel merkt, dass das Root Zertifikat der Zertifizierungsstelle bereits unter "Vertrauenswürdige Stammzertifikate" liegt und damit die Codesignatur auch als vertrauenswürdig einstuft.
Ich habe zwar die Möglichkeit dem Herausgeber des Zertifikates zu vertrauen aber dann wird dieses nur unter "Vertrauenswürdige Herausgeber" gespeichert und wenn die nächste Tabelle von jemand anderem signiert ist (über die gleiche Zertifizierungsstelle) bekomme ich wieder eine Warnung.

Richtig, es hat ja auch ein anderer Benutzer signiert.

Also das CA in "Vertrauenswürdige Stammzertifizierungsstellen" und bei allen Nutzern das zum signieren genutzte Zertifikat in "Herausgeber" (ohne priv. Key), bei denjenigen, die signieren, in "Eigene Zertifikate" (inkl. priv. Key).
Member: Gladop
Gladop Jan 11, 2023 updated at 10:25:11 (UTC)
Goto Top
@mbehrens vielen Dank für deine Antwort.

Zitat von @mbehrens:

Also das CA in "Vertrauenswürdige Stammzertifizierungsstellen" und bei allen Nutzern das zum signieren genutzte Zertifikat in "Herausgeber" (ohne priv. Key), bei denjenigen, die signieren, in "Eigene Zertifikate" (inkl. priv. Key).

Das heißt, wenn ich 10 Benutzern ermöglichen möchte Excel Vorlagen mit Makros zu signieren und jeder Benutzer ein eigenes Zertifikat bekommt, muss die CA 10 Zertifikate erstellen und diese Zertifikate auf alle PCs in der Domain verteilen?

Gibt es eine Möglichkeit das "kleiner" zu halten?
z.B. allen Makros, die mit einem Zertifikat signiert wurden, dass von unserer CA ausgestellt wurde, generell zu vertrauen?

Grüße
Gladop
Mitglied: 5175293307
Solution 5175293307 Jan 11, 2023 updated at 10:42:09 (UTC)
Goto Top
Zitat von @Gladop:

Das heißt, wenn ich 10 Benutzern ermöglichen möchte Excel Vorlagen mit Makros zu signieren und jeder Benutzer ein eigenes Zertifikat bekommt, muss die CA 10 Zertifikate erstellen und diese Zertifikate auf alle PCs in der Domain verteilen?
Ja.
Gibt es eine Möglichkeit das "kleiner" zu halten?
Ja, ein zentrales Company- Codesigning Zertifikat erstellen das von mehreren Usern benutzt wird und dessen Public Key in den TrustedPublishers landet und Public und Private Key dessen bei dei den Usern im private Store die damit Signieren dürfen.

Wurstel
Member: Gladop
Gladop Jan 11, 2023 at 13:18:16 (UTC)
Goto Top
@5175293307 danke für die Klarstellung.

Ich finde es schon praktisch, wenn an der Signatur ersichtlich ist, wer das Makro signiert hat.
Dann werde ich wohl mehrere Signaturen an alle Benutzer verteilen und den Personenkreis, der signieren darf klein halten.

Nochmal vielen Dank für eure Hilfe. face-smile
Mitglied: 5175293307
5175293307 Jan 11, 2023 at 15:26:05 (UTC)
Goto Top
Für das Signieren würde sich bspw. auch ein Netzwerk-Ordner mit entspr. Zugriffsrechten eignen in den die Leute ihre Dateien rein droppen können und sie dann automatisch signiert und in einen Ausgabeordner geschmissen werden.