emeriks
Feb 21, 2018
view2994
view6
0
Goto Top

Windows CA - Codesignatur - PowerShell

GermansolvedQuestionWindows ServerMicrosoft
Hi,
wir haben eine interne Windows CA in der Domäne. U.a. stellen wir für die Kollegen auch Zertifikate für die Code-Signierung aus. Damit können/müssen die Kollegen dann u.a. die von ihnen erstellen PS-Scripte signieren.

Die Verteilung des Root-Zertifikat erfolgt über die Domäne. Das funktioniert auch.
Nun hab ich angenommen, dass die signierten Scripte jetzt automatisch als vertraunswürdig gelten würden. Tun sie aber nicht.

Man muss erst explizit die Zertifikate der Autoren (öffentlicher Schlüssel) als "vertrauenswürdiger Herausgeber" auf die Computer verteilen (per GPO), damit das funktioniert.

Ist dem tatsächlich so oder machen wir etwas falsch, haben wir was vergessen?

E.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 365525

Url: https://administrator.de/contentid/365525

Printed on: April 19, 2024 at 02:04 o'clock

6 Comments
Latest comment
Goto Top
Mitglied: 135333
Solution 135333 Feb 21, 2018 updated at 09:37:11 (UTC)
Goto Top
Ist dem tatsächlich so ?
So ist es
https://social.technet.microsoft.com/Forums/sharepoint/en-US/e504cb9e-3f ...

Gruß
Member: emeriks
emeriks Feb 21, 2018 at 09:44:18 (UTC)
Goto Top
OK, danke.

Betrifft das jetzt nur PS? Ich bilde mir ein, dass das mit signierten VBA-Projekten schon mal funktioniert hat, ohne dass wir das Zertifikat dafür explizit als "vertrauenswürdiger Herausgeber" verteilen mussten ...
Mitglied: 135333
135333 Feb 21, 2018 updated at 09:50:41 (UTC)
Goto Top
Zitat von @emeriks:
Betrifft das jetzt nur PS?
Nein nicht nur. Je nachdem wie die Prüfung in der jeweiligen Komponente von statten geht.

Hier noch etwas offizelles dazu von MS
https://blogs.technet.microsoft.com/heyscriptingguy/2010/06/17/hey-scrip ...
Member: rzlbrnft
Solution rzlbrnft Feb 21, 2018 updated at 12:09:05 (UTC)
Goto Top
Zitat von @emeriks:
Betrifft das jetzt nur PS? Ich bilde mir ein, dass das mit signierten VBA-Projekten schon mal funktioniert hat, ohne dass wir das Zertifikat dafür explizit als "vertrauenswürdiger Herausgeber" verteilen mussten ...


Bei Office kann man ja per GPO einstellen das mit einem gültigen Zertifikat signierter Code ausgeführt werden darf.
Gültig heißt in dem Fall nur das es von einer vertrauenswürdigen Stelle ausgestellt wurde.
Die Signatur wird aber im Projekt gespeichert, bei Powershell wird das ja etwas anders gehandhabt.
Member: emeriks
emeriks Feb 21, 2018 at 12:17:43 (UTC)
Goto Top
Bei Office kann man ja per GPO einstellen das mit einem gültigen Zertifikat signierter Code ausgeführt werden darf.
Schon klar
Gültig heißt in dem Fall nur das es von einer vertrauenswürdigen Stelle ausgestellt wurde.
Das meinte ich! Also kannst Du das so bestätigen.
Die Signatur wird aber im Projekt gespeichert, bei Powershell wird das ja etwas anders gehandhabt.
Na ja ... nö. Das techniche Prinzip ist das gleiche. Nur dass beim Auswerten des Zertifikats offenbar andere Voraussetzungen geprüft werden.
Member: rzlbrnft
rzlbrnft Feb 21, 2018 updated at 14:07:54 (UTC)
Goto Top
Zitat von @emeriks:
Na ja ... nö. Das techniche Prinzip ist das gleiche. Nur dass beim Auswerten des Zertifikats offenbar andere Voraussetzungen geprüft werden.

Scheint so, find ich zwar etwas strange aber ich kann die Herangehensweise nachvollziehen, mit signierten Office Dokumenten werden wahrscheinlich mehr User arbeiten als mit signierten Powershell Scripts, hier wollte man wohl noch eine zusätzliche Sicherung einbauen, so das wirklich nur ein kleiner Personenkreis die Scripte als vertrauenswürdig einstufen darf.
Ist ja auch nicht gerade selbsterklärend das ganze.
GermansolvedQuestionWindows ServerMicrosoft
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment