Windows CA - Codesignatur - PowerShell
Hi,
wir haben eine interne Windows CA in der Domäne. U.a. stellen wir für die Kollegen auch Zertifikate für die Code-Signierung aus. Damit können/müssen die Kollegen dann u.a. die von ihnen erstellen PS-Scripte signieren.
Die Verteilung des Root-Zertifikat erfolgt über die Domäne. Das funktioniert auch.
Nun hab ich angenommen, dass die signierten Scripte jetzt automatisch als vertraunswürdig gelten würden. Tun sie aber nicht.
Man muss erst explizit die Zertifikate der Autoren (öffentlicher Schlüssel) als "vertrauenswürdiger Herausgeber" auf die Computer verteilen (per GPO), damit das funktioniert.
Ist dem tatsächlich so oder machen wir etwas falsch, haben wir was vergessen?
E.
wir haben eine interne Windows CA in der Domäne. U.a. stellen wir für die Kollegen auch Zertifikate für die Code-Signierung aus. Damit können/müssen die Kollegen dann u.a. die von ihnen erstellen PS-Scripte signieren.
Die Verteilung des Root-Zertifikat erfolgt über die Domäne. Das funktioniert auch.
Nun hab ich angenommen, dass die signierten Scripte jetzt automatisch als vertraunswürdig gelten würden. Tun sie aber nicht.
Man muss erst explizit die Zertifikate der Autoren (öffentlicher Schlüssel) als "vertrauenswürdiger Herausgeber" auf die Computer verteilen (per GPO), damit das funktioniert.
Ist dem tatsächlich so oder machen wir etwas falsch, haben wir was vergessen?
E.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 365525
Url: https://administrator.de/forum/windows-ca-codesignatur-powershell-365525.html
Ausgedruckt am: 31.03.2025 um 14:03 Uhr
6 Kommentare
Neuester Kommentar

Ist dem tatsächlich so ?
So ist eshttps://social.technet.microsoft.com/Forums/sharepoint/en-US/e504cb9e-3f ...
Gruß

Nein nicht nur. Je nachdem wie die Prüfung in der jeweiligen Komponente von statten geht.
Hier noch etwas offizelles dazu von MS
https://blogs.technet.microsoft.com/heyscriptingguy/2010/06/17/hey-scrip ...
Hier noch etwas offizelles dazu von MS
https://blogs.technet.microsoft.com/heyscriptingguy/2010/06/17/hey-scrip ...
Zitat von @emeriks:
Betrifft das jetzt nur PS? Ich bilde mir ein, dass das mit signierten VBA-Projekten schon mal funktioniert hat, ohne dass wir das Zertifikat dafür explizit als "vertrauenswürdiger Herausgeber" verteilen mussten ...
Betrifft das jetzt nur PS? Ich bilde mir ein, dass das mit signierten VBA-Projekten schon mal funktioniert hat, ohne dass wir das Zertifikat dafür explizit als "vertrauenswürdiger Herausgeber" verteilen mussten ...
Bei Office kann man ja per GPO einstellen das mit einem gültigen Zertifikat signierter Code ausgeführt werden darf.
Gültig heißt in dem Fall nur das es von einer vertrauenswürdigen Stelle ausgestellt wurde.
Die Signatur wird aber im Projekt gespeichert, bei Powershell wird das ja etwas anders gehandhabt.
Zitat von @emeriks:
Na ja ... nö. Das techniche Prinzip ist das gleiche. Nur dass beim Auswerten des Zertifikats offenbar andere Voraussetzungen geprüft werden.
Na ja ... nö. Das techniche Prinzip ist das gleiche. Nur dass beim Auswerten des Zertifikats offenbar andere Voraussetzungen geprüft werden.
Scheint so, find ich zwar etwas strange aber ich kann die Herangehensweise nachvollziehen, mit signierten Office Dokumenten werden wahrscheinlich mehr User arbeiten als mit signierten Powershell Scripts, hier wollte man wohl noch eine zusätzliche Sicherung einbauen, so das wirklich nur ein kleiner Personenkreis die Scripte als vertrauenswürdig einstufen darf.
Ist ja auch nicht gerade selbsterklärend das ganze.