rudbert
Goto Top

Signierte Treiber können trotz vorherigem Zertifikatimport nicht installiert werden

Hi Ihr!


Habe hier ein Problem beim Deployment einer Software. Diese liegt als MSI vor und kann somit schön mit Bordmitteln unattended installiert werden.

Jedoch wird im Verlauf der Installation ein PS-Treiber installiert.

Ich habe nun auf einem Testsystem das Vertrauenshäkchen gesetzt, und das Zertifikat exportiert. Diese verteile ich dann per GPO in die vertrauenswürdigen Herausgeber auf unseren Maschinen.

Soweit so gut; normalerweise müsste die unattended Installation nun klappen, da alle Maschinen dem Treiberhersteller nun vertrauen.


Allerdings erhalte ich trotzdem die Aufforderung die Treiberinstallation zu bestätigen.

c1



Kann mir jemand weiterhelfen?

Laut http://www.itninja.com/blog/view/signed-driver-certificate-issue-on-win ... sollte meine Vorgehensweise eigentlich klappen!


Gruß!
c2

Content-ID: 314717

Url: https://administrator.de/contentid/314717

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

AndreasHoster
AndreasHoster 08.09.2016 um 10:25:59 Uhr
Goto Top
Ich würde vermuten, für Treiber muß das Zertifikat nicht als Benutzerzertifikat, sondern als Computerzertifikat hinterlegt werden.
Also nicht beim Aktuellen Benutzer hinzufügen, sondern beim Computer.
Rudbert
Rudbert 08.09.2016 um 10:40:06 Uhr
Goto Top
Hi,


das ist natürlich im Computerkontext installiert; der Screenshot zeigt nur die Benutzerzertifikate.

Habe auch http://www.richud.com/wiki/Windows_7_Broken_Trusted_Publisher_Certifica ... ohne Erfolg probiert.

Das signtool zeigt exakt den gleichen Fehler in der Zertifikatskette; vermute mal der Hersteller hat da bei der Signierung was verbockt?


mfg
emeriks
emeriks 08.09.2016 um 12:07:10 Uhr
Goto Top
Hi,
das sind zwei verschiedene Paar Schuhe.

Das Eine ist das Zertifikat an sich. Dieses muss vertrauenswürdig (gültig) sein, damit Du überhaupt soweit kommst, dass Dir die Frage nach dem Vertrauen dieses Anbieters gestellt wird.

Das Andere ist die Bestätigung, dass Du diesem Anbieter vertrauen willst. Es kann auch ein Ambieter, welcher nicht Dein Vertrauen genießt, ein gültiges Zertifikat haben, welches ihm von einer gültigen, vertrauenswürdigen CA ausgestellt wurde.

E.
Rudbert
Rudbert 08.09.2016 um 14:04:22 Uhr
Goto Top
Hi,

aber wenn ich das Zertifikat (in diesem Fall von "pawisda") in die vertrauenswürdigen Herausgeber auf dem PC installiere, dürfte bei der Treiberinstallation keine Nachfrage erscheinen?

Oder sehe ich das falsch? Bin mir sicher, dass wir das bei einer anderen Software schon so gelöst hatten.

mfg
Rudbert
Rudbert 16.09.2016 um 09:26:31 Uhr
Goto Top
Hallo,


Ursache war wohl ein Bug in Windows bzw. einem kürzlichen Patch. Dieser besteht unter Win7 - Hotfix gibts hier.

https://support.microsoft.com/de-de/kb/2921916

Der Hotfix muss vor der Zertifikatsinstallation eingespielt sein auf dem System!


mfg