25
Zertifikate für Benutzer zum Signieren von Dokumenten generieren
Hallo zusammen,
ich suche einen Weg um Benutzern ein Zertifikat zum Signieren von Dokumenten mittels Adobe Reader zur Verfügung zu stellen.
Ich habe hierzu eine neue Vorlage in der Zertifizierungsstelle eines Domänencontrollers erstellt und auch das Ausrollen in der Gruppenrichtlinie angepasst, siehe folgende Anleitung, nur eben als Benutzerzertifikat.
Zertifikate sind auch im Zertifikatsspeicher des jeweiligen Benutzers vorhanden.
https://www.einfaches-netzwerk.at/computerzertifikate-mittels-auto-enrol ...
Wenn ich nun PDFs mit diesem Zertifikat signiere, sind diese laut Adobe Acrobat ungültig, auch auf dem Rechner, auf dem signiert wurde.
--
Unterschrift ist UNGÜLTIG.
- Das Dokument wurde nach dem Anbringen der Zertifizierung nicht verändert oder beschädigt.
- Die Identität des Unterzeichners ist ungültig.
--
In den Details sehe ich unter dem Reiter "Sperrung:
--
Beim Erstellen der Zertifikatverkettung zu einem als Vertrauensanker eingestuften Zertifikat sind Fehler aufgetreten. Daher wurden bei diesem Zertifikat keine Sperrungsüberprüfungen durchgeführt.
--
Habe ich da einen grundsätzlichen Denkfehler und ich kann kein passendes Zertifikat von der Domänen Root CA ausstellen lassen?
Wie könnte ich alternativ vorgehen?
Die Signaturen sind nur für interne Zwecke bestimmt, sollten aber natürlich nicht durch den Benutzer selbst generiert werden (da das auch Dritte so jederzeit könnten), sondern automatisch oder durch die IT erstellt werden...
Danke schonmal!
ich suche einen Weg um Benutzern ein Zertifikat zum Signieren von Dokumenten mittels Adobe Reader zur Verfügung zu stellen.
Ich habe hierzu eine neue Vorlage in der Zertifizierungsstelle eines Domänencontrollers erstellt und auch das Ausrollen in der Gruppenrichtlinie angepasst, siehe folgende Anleitung, nur eben als Benutzerzertifikat.
Zertifikate sind auch im Zertifikatsspeicher des jeweiligen Benutzers vorhanden.
https://www.einfaches-netzwerk.at/computerzertifikate-mittels-auto-enrol ...
Wenn ich nun PDFs mit diesem Zertifikat signiere, sind diese laut Adobe Acrobat ungültig, auch auf dem Rechner, auf dem signiert wurde.
--
Unterschrift ist UNGÜLTIG.
- Das Dokument wurde nach dem Anbringen der Zertifizierung nicht verändert oder beschädigt.
- Die Identität des Unterzeichners ist ungültig.
--
In den Details sehe ich unter dem Reiter "Sperrung:
--
Beim Erstellen der Zertifikatverkettung zu einem als Vertrauensanker eingestuften Zertifikat sind Fehler aufgetreten. Daher wurden bei diesem Zertifikat keine Sperrungsüberprüfungen durchgeführt.
--
Habe ich da einen grundsätzlichen Denkfehler und ich kann kein passendes Zertifikat von der Domänen Root CA ausstellen lassen?
Wie könnte ich alternativ vorgehen?
Die Signaturen sind nur für interne Zwecke bestimmt, sollten aber natürlich nicht durch den Benutzer selbst generiert werden (da das auch Dritte so jederzeit könnten), sondern automatisch oder durch die IT erstellt werden...
Danke schonmal!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1121221418
Url: https://administrator.de/contentid/1121221418
Printed on: April 19, 2024 at 23:04 o'clock
25 Comments
Latest comment
Hi.
Du musst zwei Sachen beachten:
-Auf domänenexternen Geräten sind diese Signaturen nur dann vertrauenswürdig, wenn dem CA-Zertifikat und dem Signaturzertifikat vertraut wird.
-damit es domänenintern klappt, muss den Adobe Readern mitgeteilt werden, dass sie die windowsinternen Zertifikatsspeicher auch respektieren: https://www.adobe.com/devnet-docs/acrobatetk/tools/PrefRef/Windows/Secur ... suche dort nach iMSStoreTrusted, dieser muss auf 0x62 gestellt werden - man deployed also einen Registrywert an alle Domänenbenutzer.
Du musst zwei Sachen beachten:
-Auf domänenexternen Geräten sind diese Signaturen nur dann vertrauenswürdig, wenn dem CA-Zertifikat und dem Signaturzertifikat vertraut wird.
-damit es domänenintern klappt, muss den Adobe Readern mitgeteilt werden, dass sie die windowsinternen Zertifikatsspeicher auch respektieren: https://www.adobe.com/devnet-docs/acrobatetk/tools/PrefRef/Windows/Secur ... suche dort nach iMSStoreTrusted, dieser muss auf 0x62 gestellt werden - man deployed also einen Registrywert an alle Domänenbenutzer.
Hallo,
das scheint soweit zu klappen! Habe die admx zum Adobe Reader DC entsprechend erweitert, klappt prima
Nun erhalte ich aber den Status "Unbekannt" mit der Meldung:
"Es wurde versucht festzustellen, ob das Zertifikat gültig ist, indem geprüft wurde, ob es in einer Zertifikatssperrliste (CRL) auftaucht.
Klicken Sie auf "Probleme", um die Probleme anzuzeigen, die bei der Durchführung dieser Sperrungsüberprüfung auftraten."
Details:
Fehler beim Herunterladen der Zertifikatssperrliste (CRL)
Speicherort: ldap:///CN=FIRMENNAME%20Root%20CA,CN=dc01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=acb,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
Verbindung mit Server kann nicht hergestellt werden.
Eventuell gibt es noch keine CRL? Kann ich die generieren?
das scheint soweit zu klappen! Habe die admx zum Adobe Reader DC entsprechend erweitert, klappt prima
Nun erhalte ich aber den Status "Unbekannt" mit der Meldung:
"Es wurde versucht festzustellen, ob das Zertifikat gültig ist, indem geprüft wurde, ob es in einer Zertifikatssperrliste (CRL) auftaucht.
Klicken Sie auf "Probleme", um die Probleme anzuzeigen, die bei der Durchführung dieser Sperrungsüberprüfung auftraten."
Details:
Fehler beim Herunterladen der Zertifikatssperrliste (CRL)
Speicherort: ldap:///CN=FIRMENNAME%20Root%20CA,CN=dc01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=acb,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
Verbindung mit Server kann nicht hergestellt werden.
Eventuell gibt es noch keine CRL? Kann ich die generieren?
Zitat von @-BassT-:
Eventuell gibt es noch keine CRL? Kann ich die generieren?
Eventuell gibt es noch keine CRL? Kann ich die generieren?
Hi -BassT-!
Wie, es gibt keine CRL? Würde erstmal meine PKI ordentlich aufsetzen. Nach 1 kommt 2
Zumindest findet Adobe Reader keine CRL, so zumindest die genannte Meldung.
Zertifikate werden nun auch bei andren Mitarbeitern verteilt und eben bis auf die CRL auch akzeptiert...
Zertifikate werden nun auch bei andren Mitarbeitern verteilt und eben bis auf die CRL auch akzeptiert...
Ich kann dir nur bedingt weiterhelfen.
Zum einen weiß ich nicht, wie Adobe Reader DC hier vorgeht (fragt er nur die Domänen-CA oder auch Internet CAs?), zum anderen bin ich nicht 100% sattelfest dabei dich anzuleiten, wie Du die CRL prüfst oder erstellst.
Du kannst mittels folgenden Befehls mal das Vorhandensein einer CRL prüfen:
Das gelingt bei mir (im sich öffnenden Dialog auf "retrieve" klicken).
Wenn das nicht klappt, lies hier weiter
https://techcommunity.microsoft.com/t5/skype-for-business-blog/updated-c ... und
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Auch kann man natürlich den Adobe Reader so einstellen, dass er CRL Checks auslässt (dokumentiert siehe mein erster Post, Stichwort iReqRevCheck)
Zum einen weiß ich nicht, wie Adobe Reader DC hier vorgeht (fragt er nur die Domänen-CA oder auch Internet CAs?), zum anderen bin ich nicht 100% sattelfest dabei dich anzuleiten, wie Du die CRL prüfst oder erstellst.
Du kannst mittels folgenden Befehls mal das Vorhandensein einer CRL prüfen:
certutil -URL ldap:///CN=deineDom-DCName-ca,CN=DCName,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=deineDom,DC=de?certificateRevocationList?base?objectClass=cRLDistributionPointWenn das nicht klappt, lies hier weiter
https://techcommunity.microsoft.com/t5/skype-for-business-blog/updated-c ... und
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Auch kann man natürlich den Adobe Reader so einstellen, dass er CRL Checks auslässt (dokumentiert siehe mein erster Post, Stichwort iReqRevCheck)
Adobe nutzt die Adobe Approved Trust List (AATL) und die Trust-Liste der Europäischen Union (EUTL). Ich habe auch ein bisschen wühlen müssen um heraus zu finden wann genau Adobe hier ein Zertifikat als "bekannt" akzeptiert. Allerdings waren meine Zertifikate hier nicht selbst ausgestellt. Für mich klingt das jetzt so als würde Adobe in deinem Fall auf einer öffentlichen CRL nach deinen selbst ausgestellten Zertifikaten suchen und nicht fündig.
Also certutil kann die Listen (Basis+Delta) nun abrufen, im Adobe Reader gibt es immernoch den Fehler... komisch.
Ausstellen möchte ichs eigentlich nicht, ist ja ein Sicherheitsmerkmal...
Ausstellen möchte ichs eigentlich nicht, ist ja ein Sicherheitsmerkmal...
Ja, vielleicht solltest Du Dich damit begnügen, mittels Registrywert die Suche nach CRLs abzuschalten für den internen Betrieb.
Naja, momentan ist die Suche der Sperrliste deaktiviert, auch wenn ich das jetzt auf Dauer nicht als gute Lösung empfinde.
Gibt es die Möglichkeit, die Signatur mit einem Passwort zu verbinden, d.h. man muss beim Signieren das Passwort eingeben?
Bei selbst erstellten Zertifikaten (zB. via xca) geht das wohl, bei den verteilten Zertifikaten sehe ich da keine Möglichkeit
Gibt es die Möglichkeit, die Signatur mit einem Passwort zu verbinden, d.h. man muss beim Signieren das Passwort eingeben?
Bei selbst erstellten Zertifikaten (zB. via xca) geht das wohl, bei den verteilten Zertifikaten sehe ich da keine Möglichkeit
Schon beim Anfordern des Zertifikats muss eingestellt werden, dass die Nutzer ein Kennwort vergeben müsen. Das stellt man in der Zertifikatsvorlage ein.
Achso, das klingt gut! Werde ich testen!
Dann kann man das ja doch als elektronische Signatur einsetzen (=erfordert zwei Komponenten, hier dann Zertifikat+Passwort)
Dann kann man das ja doch als elektronische Signatur einsetzen (=erfordert zwei Komponenten, hier dann Zertifikat+Passwort)
Habe das gerade getestet, der Benutzerhat dann die Wahl zwischen mittlerer Sicherheit (ohne Kennwort) und hoher Sicherheit (mit Kennwort), kann man das auf die hohe Sicherheit festlegen?
der Benutzerhat dann die Wahl zwischen mittlerer Sicherheit (ohne Kennwort) und hoher Sicherheit (mit Kennwort), kann man das auf die hohe Sicherheit festlegen?
Das wundert mich nun, da es bei uns mit abgebildeter Einstellung keine Möglichkeit für den Nutzer gibt, kein Kennwort zu vergeben. Hast Du wirklich die veröffentlichte Vorlage angepasst?
Ja, sonst hätte ich die Meldung nicht bekommen:
Nach Registrieren des Passwortes kann in der Zertifikatsstelle das Zertifikat ausstellen,
danach muss am Client aber wohl wieder eine Registrierung durchgeführt werden, dann ohne Passworteingabe. Etwas kompliziert...
Nach Registrieren des Passwortes kann in der Zertifikatsstelle das Zertifikat ausstellen,
danach muss am Client aber wohl wieder eine Registrierung durchgeführt werden, dann ohne Passworteingabe. Etwas kompliziert...
Ach ja... hab vergessen, dass wir noch Folgendes eingestellt haben:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
GPO_Name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options ->System cryptography: Force strong key protection for user keys stored on the computer setting to User must enter a password each time they use a key
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
GPO_Name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options ->System cryptography: Force strong key protection for user keys stored on the computer setting to User must enter a password each time they use a key
Ah, prima! Das hilft
Das mit der zweiten Registrierung
---
1. Registrierung = Passworteingabe
- Freischaltung / Ausstellen via Zertifizierungsstelle -
2. Registrierung durch Nutzer
---
kann man nicht automatisieren? Also dass nur einmal ein Benutzereingriff erforderlich ist?
Das mit der zweiten Registrierung
---
1. Registrierung = Passworteingabe
- Freischaltung / Ausstellen via Zertifizierungsstelle -
2. Registrierung durch Nutzer
---
kann man nicht automatisieren? Also dass nur einmal ein Benutzereingriff erforderlich ist?
Was meinst Du mit 2.? Was verstehst Du darunter? Ich muss nichts registrieren, um das so ausgestellte Zerttifikat sofort nutzen zu können.
Ich habe eingestellt, dass die Zertifikate auf dem Server quasi bestätigt (bzw. eben "Ausgestellt" werden müssen.
Erst danach sind diese wohl beim Nutzer hinterlegt, zumindest erhält er nach dem Ausstellen eine entspr. Benachrichtigung
Erst danach sind diese wohl beim Nutzer hinterlegt, zumindest erhält er nach dem Ausstellen eine entspr. Benachrichtigung
Ah, der Prozess des Enrollments benötigt administrative Zustimmung, verstehe. Ja, das muss man ja nicht einstellen, sondern kann auto-enrollment ermöglichen.
Ja, aber dann habe ich als Administrator nicht mehr die Wahl, das Ausrollen von Zertifikaten zu unterbinden für einzelne Nutzer bzw. gezielt zu bestätigen
Wenn du das brauchst. Du kannst ja schon zum Ausrollen nur die berechtigen, die du für nötig hältst.
Hallo,
entschuldigt die späte Antwort,
soweit klappt das Ganze ganz gut.
Wo beschränke ich das Ganze am besten auf bestimmte Gruppen? In der Gruppenrichtlinie oder in der Zertifikatsvorlage?
Danke schonmal!
entschuldigt die späte Antwort,
soweit klappt das Ganze ganz gut.
Wo beschränke ich das Ganze am besten auf bestimmte Gruppen? In der Gruppenrichtlinie oder in der Zertifikatsvorlage?
Danke schonmal!
In der Zert.vorlage kannst Du einstellen, wer so ein Zertifikat bekommen ("enrollen") darf. Am besten dort.
Also Zertifikatvorlage löschen und in der Templateverwaltung die Haken "Registrieren" und "Automatisch registrieren" bei Domänen-Benutzer raus, dafür bei der gewünschten Gruppe rein - richtig?
Wieso löschen? Die genannten Änderungen bei der bestehenden machen.
