Nutzung von CodeSigning-Zertifikaten
Hallo zusammen,
in unserer Umgebung werden u. a. PowerShell-Scripte nur ausgeführt, wenn diese signiert wurden. Das Signaturverfahren wird dabei über eine interne CA abgebildet (selbstsigniert), wobei sich berechtigte Benutzer entsprechende Codesigning-Zertifikate ausstellen lassen können. So weit - so gut.
Damit die so ausgestellten Zertifikate nun von den jeweiligen Systemen akzeptiert werden, müssen diese ja nun noch - möglichst per GPO - in den Speicher der vertrauenswürdigen Herausgeber importiert werden. Hier jetzt die Frage: Müssen hier zwingend alle einzelnen User-Zertifikate importiert/übertragen werden oder lässt sich hier auch definieren, dass alle (CodeSigning-)Zertifikate einer CA automatisch auch als "vertrauenswürdige Herausgeber" akzeptiert werden? Letzteres würde den Prozess der Verteilung ja verschlanken.
Gruß
Michael
in unserer Umgebung werden u. a. PowerShell-Scripte nur ausgeführt, wenn diese signiert wurden. Das Signaturverfahren wird dabei über eine interne CA abgebildet (selbstsigniert), wobei sich berechtigte Benutzer entsprechende Codesigning-Zertifikate ausstellen lassen können. So weit - so gut.
Damit die so ausgestellten Zertifikate nun von den jeweiligen Systemen akzeptiert werden, müssen diese ja nun noch - möglichst per GPO - in den Speicher der vertrauenswürdigen Herausgeber importiert werden. Hier jetzt die Frage: Müssen hier zwingend alle einzelnen User-Zertifikate importiert/übertragen werden oder lässt sich hier auch definieren, dass alle (CodeSigning-)Zertifikate einer CA automatisch auch als "vertrauenswürdige Herausgeber" akzeptiert werden? Letzteres würde den Prozess der Verteilung ja verschlanken.
Gruß
Michael
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2936758524
Url: https://administrator.de/forum/nutzung-von-codesigning-zertifikaten-2936758524.html
Ausgedruckt am: 21.04.2025 um 08:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
dies funktioniert natürlich ohne die Verteilung der einzelnen User Zertifikate. Andernfalls würde ja sonst "fremde" auf die Userzertifikate zugreifen können.
Beachte, dass du am besten das Skript mit einerm externen Zeitstemperl signierst. Andernfalls funktioniert das Skript nicht mehr, wenn das Zertifikat abgelaufen ist. (Ja das geht auch, wenn es sich um eine Interne CA handelt).
Näheres dazu hier:
www.windowspro.de/wolfgang-sommergut/powershell-scripts-signieren-zertifikaten-einer-ad-zertifizierungsstelle
Der Code lautet z.B.:
dies funktioniert natürlich ohne die Verteilung der einzelnen User Zertifikate. Andernfalls würde ja sonst "fremde" auf die Userzertifikate zugreifen können.
Beachte, dass du am besten das Skript mit einerm externen Zeitstemperl signierst. Andernfalls funktioniert das Skript nicht mehr, wenn das Zertifikat abgelaufen ist. (Ja das geht auch, wenn es sich um eine Interne CA handelt).
Näheres dazu hier:
www.windowspro.de/wolfgang-sommergut/powershell-scripts-signieren-zertifikaten-einer-ad-zertifizierungsstelle
Der Code lautet z.B.:
Set-AuthenticodeSignature myScript.ps1 (gci Cert:\CurrentUser\My -CodeSigningCert)`
-TimestampServer http://timestamp.globalsign.com/scripts/timstamp.dll `
-HashAlgorithm "SHA256"
Hallo Michael,
die Installation des konkreten Signatur-Zertifikats lässt sich nicht vermeiden.
In kleineren Umgebungen ist der Aufwand dadurch überschaubar. Eine "längere Liste" von persönlichen Ausstellern deutet darauf hin, dass der Signaturprozess nicht an die Gegebenheiten angepasst ist. In dem Maßstab wäre wahrscheinlich ein Organisationszertifikat mit Freigabeprozess und zentral automatisierter Signatur von freigegebenem Code angebracht.
Grüße
Richard
die Installation des konkreten Signatur-Zertifikats lässt sich nicht vermeiden.
In kleineren Umgebungen ist der Aufwand dadurch überschaubar. Eine "längere Liste" von persönlichen Ausstellern deutet darauf hin, dass der Signaturprozess nicht an die Gegebenheiten angepasst ist. In dem Maßstab wäre wahrscheinlich ein Organisationszertifikat mit Freigabeprozess und zentral automatisierter Signatur von freigegebenem Code angebracht.
Grüße
Richard