emeriks
Goto Top

Windows CA - Codesignatur - PowerShell

Hi,
wir haben eine interne Windows CA in der Domäne. U.a. stellen wir für die Kollegen auch Zertifikate für die Code-Signierung aus. Damit können/müssen die Kollegen dann u.a. die von ihnen erstellen PS-Scripte signieren.

Die Verteilung des Root-Zertifikat erfolgt über die Domäne. Das funktioniert auch.
Nun hab ich angenommen, dass die signierten Scripte jetzt automatisch als vertraunswürdig gelten würden. Tun sie aber nicht.

Man muss erst explizit die Zertifikate der Autoren (öffentlicher Schlüssel) als "vertrauenswürdiger Herausgeber" auf die Computer verteilen (per GPO), damit das funktioniert.

Ist dem tatsächlich so oder machen wir etwas falsch, haben wir was vergessen?

E.

Content-ID: 365525

Url: https://administrator.de/forum/windows-ca-codesignatur-powershell-365525.html

Ausgedruckt am: 31.03.2025 um 14:03 Uhr

135333
Lösung 135333 21.02.2018 aktualisiert um 10:37:11 Uhr
Goto Top
emeriks
emeriks 21.02.2018 um 10:44:18 Uhr
Goto Top
OK, danke.

Betrifft das jetzt nur PS? Ich bilde mir ein, dass das mit signierten VBA-Projekten schon mal funktioniert hat, ohne dass wir das Zertifikat dafür explizit als "vertrauenswürdiger Herausgeber" verteilen mussten ...
135333
135333 21.02.2018 aktualisiert um 10:50:41 Uhr
Goto Top
Zitat von @emeriks:
Betrifft das jetzt nur PS?
Nein nicht nur. Je nachdem wie die Prüfung in der jeweiligen Komponente von statten geht.

Hier noch etwas offizelles dazu von MS
https://blogs.technet.microsoft.com/heyscriptingguy/2010/06/17/hey-scrip ...
rzlbrnft
Lösung rzlbrnft 21.02.2018 aktualisiert um 13:09:05 Uhr
Goto Top
Zitat von @emeriks:
Betrifft das jetzt nur PS? Ich bilde mir ein, dass das mit signierten VBA-Projekten schon mal funktioniert hat, ohne dass wir das Zertifikat dafür explizit als "vertrauenswürdiger Herausgeber" verteilen mussten ...


Bei Office kann man ja per GPO einstellen das mit einem gültigen Zertifikat signierter Code ausgeführt werden darf.
Gültig heißt in dem Fall nur das es von einer vertrauenswürdigen Stelle ausgestellt wurde.
Die Signatur wird aber im Projekt gespeichert, bei Powershell wird das ja etwas anders gehandhabt.
emeriks
emeriks 21.02.2018 um 13:17:43 Uhr
Goto Top
Bei Office kann man ja per GPO einstellen das mit einem gültigen Zertifikat signierter Code ausgeführt werden darf.
Schon klar
Gültig heißt in dem Fall nur das es von einer vertrauenswürdigen Stelle ausgestellt wurde.
Das meinte ich! Also kannst Du das so bestätigen.
Die Signatur wird aber im Projekt gespeichert, bei Powershell wird das ja etwas anders gehandhabt.
Na ja ... nö. Das techniche Prinzip ist das gleiche. Nur dass beim Auswerten des Zertifikats offenbar andere Voraussetzungen geprüft werden.
rzlbrnft
rzlbrnft 21.02.2018 aktualisiert um 15:07:54 Uhr
Goto Top
Zitat von @emeriks:
Na ja ... nö. Das techniche Prinzip ist das gleiche. Nur dass beim Auswerten des Zertifikats offenbar andere Voraussetzungen geprüft werden.

Scheint so, find ich zwar etwas strange aber ich kann die Herangehensweise nachvollziehen, mit signierten Office Dokumenten werden wahrscheinlich mehr User arbeiten als mit signierten Powershell Scripts, hier wollte man wohl noch eine zusätzliche Sicherung einbauen, so das wirklich nur ein kleiner Personenkreis die Scripte als vertrauenswürdig einstufen darf.
Ist ja auch nicht gerade selbsterklärend das ganze.