Zertifikate für Benutzer zum Signieren von Dokumenten generieren

Hallo zusammen,

ich suche einen Weg um Benutzern ein Zertifikat zum Signieren von Dokumenten mittels Adobe Reader zur Verfügung zu stellen.

Ich habe hierzu eine neue Vorlage in der Zertifizierungsstelle eines Domänencontrollers erstellt und auch das Ausrollen in der Gruppenrichtlinie angepasst, siehe folgende Anleitung, nur eben als Benutzerzertifikat.
Zertifikate sind auch im Zertifikatsspeicher des jeweiligen Benutzers vorhanden.

https://www.einfaches-netzwerk.at/computerzertifikate-mittels-auto-enrol ...

Wenn ich nun PDFs mit diesem Zertifikat signiere, sind diese laut Adobe Acrobat ungültig, auch auf dem Rechner, auf dem signiert wurde.

--
Unterschrift ist UNGÜLTIG.
- Das Dokument wurde nach dem Anbringen der Zertifizierung nicht verändert oder beschädigt.
- Die Identität des Unterzeichners ist ungültig.
--

In den Details sehe ich unter dem Reiter "Sperrung:
--
Beim Erstellen der Zertifikatverkettung zu einem als Vertrauensanker eingestuften Zertifikat sind Fehler aufgetreten. Daher wurden bei diesem Zertifikat keine Sperrungsüberprüfungen durchgeführt.
--

Habe ich da einen grundsätzlichen Denkfehler und ich kann kein passendes Zertifikat von der Domänen Root CA ausstellen lassen?

Wie könnte ich alternativ vorgehen?

Die Signaturen sind nur für interne Zwecke bestimmt, sollten aber natürlich nicht durch den Benutzer selbst generiert werden (da das auch Dritte so jederzeit könnten), sondern automatisch oder durch die IT erstellt werden...

Danke schonmal!

Content-Key: 1121221418

Url: https://administrator.de/contentid/1121221418

Ausgedruckt am: 26.11.2021 um 18:11 Uhr

Mitglied: DerWoWusste
DerWoWusste 04.08.2021 aktualisiert um 10:20:19 Uhr
Goto Top
Hi.

Du musst zwei Sachen beachten:
-Auf domänenexternen Geräten sind diese Signaturen nur dann vertrauenswürdig, wenn dem CA-Zertifikat und dem Signaturzertifikat vertraut wird.
-damit es domänenintern klappt, muss den Adobe Readern mitgeteilt werden, dass sie die windowsinternen Zertifikatsspeicher auch respektieren: https://www.adobe.com/devnet-docs/acrobatetk/tools/PrefRef/Windows/Secur ... suche dort nach iMSStoreTrusted, dieser muss auf 0x62 gestellt werden - man deployed also einen Registrywert an alle Domänenbenutzer.
Mitglied: -BassT-
-BassT- 04.08.2021 aktualisiert um 11:25:57 Uhr
Goto Top
Hallo,

das scheint soweit zu klappen! Habe die admx zum Adobe Reader DC entsprechend erweitert, klappt prima :) face-smile

Nun erhalte ich aber den Status "Unbekannt" mit der Meldung:

"Es wurde versucht festzustellen, ob das Zertifikat gültig ist, indem geprüft wurde, ob es in einer Zertifikatssperrliste (CRL) auftaucht.

Klicken Sie auf "Probleme", um die Probleme anzuzeigen, die bei der Durchführung dieser Sperrungsüberprüfung auftraten."

Details:

Fehler beim Herunterladen der Zertifikatssperrliste (CRL)
Speicherort: ldap:///CN=FIRMENNAME%20Root%20CA,CN=dc01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=acb,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint

Verbindung mit Server kann nicht hergestellt werden.

Eventuell gibt es noch keine CRL? Kann ich die generieren?
Mitglied: mininik
mininik 04.08.2021 um 11:30:33 Uhr
Goto Top
Zitat von @-BassT-:
Eventuell gibt es noch keine CRL? Kann ich die generieren?

Hi -BassT-!

Wie, es gibt keine CRL? Würde erstmal meine PKI ordentlich aufsetzen. Nach 1 kommt 2 :) face-smile
Mitglied: -BassT-
-BassT- 04.08.2021 um 12:00:53 Uhr
Goto Top
Zumindest findet Adobe Reader keine CRL, so zumindest die genannte Meldung.

Zertifikate werden nun auch bei andren Mitarbeitern verteilt und eben bis auf die CRL auch akzeptiert...
Mitglied: DerWoWusste
DerWoWusste 04.08.2021 aktualisiert um 14:35:44 Uhr
Goto Top
Ich kann dir nur bedingt weiterhelfen.
Zum einen weiß ich nicht, wie Adobe Reader DC hier vorgeht (fragt er nur die Domänen-CA oder auch Internet CAs?), zum anderen bin ich nicht 100% sattelfest dabei dich anzuleiten, wie Du die CRL prüfst oder erstellst.

Du kannst mittels folgenden Befehls mal das Vorhandensein einer CRL prüfen:
Das gelingt bei mir (im sich öffnenden Dialog auf "retrieve" klicken).

Wenn das nicht klappt, lies hier weiter
https://techcommunity.microsoft.com/t5/skype-for-business-blog/updated-c ... und
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...

Auch kann man natürlich den Adobe Reader so einstellen, dass er CRL Checks auslässt (dokumentiert siehe mein erster Post, Stichwort iReqRevCheck)
Mitglied: ukulele-7
ukulele-7 04.08.2021 um 14:16:57 Uhr
Goto Top
Adobe nutzt die Adobe Approved Trust List (AATL) und die Trust-Liste der Europäischen Union (EUTL). Ich habe auch ein bisschen wühlen müssen um heraus zu finden wann genau Adobe hier ein Zertifikat als "bekannt" akzeptiert. Allerdings waren meine Zertifikate hier nicht selbst ausgestellt. Für mich klingt das jetzt so als würde Adobe in deinem Fall auf einer öffentlichen CRL nach deinen selbst ausgestellten Zertifikaten suchen und nicht fündig.
Mitglied: -BassT-
-BassT- 04.08.2021 um 14:27:40 Uhr
Goto Top
Also certutil kann die Listen (Basis+Delta) nun abrufen, im Adobe Reader gibt es immernoch den Fehler... komisch.

Ausstellen möchte ichs eigentlich nicht, ist ja ein Sicherheitsmerkmal...
Mitglied: DerWoWusste
DerWoWusste 04.08.2021 um 14:35:15 Uhr
Goto Top
Ja, vielleicht solltest Du Dich damit begnügen, mittels Registrywert die Suche nach CRLs abzuschalten für den internen Betrieb.
Mitglied: -BassT-
-BassT- 10.08.2021 um 11:17:44 Uhr
Goto Top
Naja, momentan ist die Suche der Sperrliste deaktiviert, auch wenn ich das jetzt auf Dauer nicht als gute Lösung empfinde.

Gibt es die Möglichkeit, die Signatur mit einem Passwort zu verbinden, d.h. man muss beim Signieren das Passwort eingeben?
Bei selbst erstellten Zertifikaten (zB. via xca) geht das wohl, bei den verteilten Zertifikaten sehe ich da keine Möglichkeit :( face-sad
Mitglied: DerWoWusste
DerWoWusste 10.08.2021 um 11:30:23 Uhr
Goto Top
Schon beim Anfordern des Zertifikats muss eingestellt werden, dass die Nutzer ein Kennwort vergeben müsen. Das stellt man in der Zertifikatsvorlage ein.
capture
Mitglied: -BassT-
-BassT- 10.08.2021 um 11:34:16 Uhr
Goto Top
Achso, das klingt gut! Werde ich testen!

Dann kann man das ja doch als elektronische Signatur einsetzen (=erfordert zwei Komponenten, hier dann Zertifikat+Passwort)
Mitglied: -BassT-
-BassT- 10.08.2021 um 11:39:56 Uhr
Goto Top
Habe das gerade getestet, der Benutzerhat dann die Wahl zwischen mittlerer Sicherheit (ohne Kennwort) und hoher Sicherheit (mit Kennwort), kann man das auf die hohe Sicherheit festlegen?
Mitglied: DerWoWusste
DerWoWusste 10.08.2021 um 11:49:57 Uhr
Goto Top
der Benutzerhat dann die Wahl zwischen mittlerer Sicherheit (ohne Kennwort) und hoher Sicherheit (mit Kennwort), kann man das auf die hohe Sicherheit festlegen?
Das wundert mich nun, da es bei uns mit abgebildeter Einstellung keine Möglichkeit für den Nutzer gibt, kein Kennwort zu vergeben. Hast Du wirklich die veröffentlichte Vorlage angepasst?
Mitglied: -BassT-
-BassT- 10.08.2021 um 12:18:59 Uhr
Goto Top
Ja, sonst hätte ich die Meldung nicht bekommen:

sig1

sig2

sig3

sig4

sig5

Nach Registrieren des Passwortes kann in der Zertifikatsstelle das Zertifikat ausstellen,
danach muss am Client aber wohl wieder eine Registrierung durchgeführt werden, dann ohne Passworteingabe. Etwas kompliziert...
Mitglied: DerWoWusste
DerWoWusste 10.08.2021 aktualisiert um 13:19:51 Uhr
Goto Top
Ach ja... hab vergessen, dass wir noch Folgendes eingestellt haben:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
GPO_Name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options ->System cryptography: Force strong key protection for user keys stored on the computer setting to User must enter a password each time they use a key
Mitglied: -BassT-
-BassT- 10.08.2021 um 13:26:34 Uhr
Goto Top
Ah, prima! Das hilft

Das mit der zweiten Registrierung

---
1. Registrierung = Passworteingabe

- Freischaltung / Ausstellen via Zertifizierungsstelle -

2. Registrierung durch Nutzer
---

kann man nicht automatisieren? Also dass nur einmal ein Benutzereingriff erforderlich ist?
Mitglied: DerWoWusste
DerWoWusste 10.08.2021 um 13:29:40 Uhr
Goto Top
Was meinst Du mit 2.? Was verstehst Du darunter? Ich muss nichts registrieren, um das so ausgestellte Zerttifikat sofort nutzen zu können.
Mitglied: -BassT-
-BassT- 12.08.2021 um 14:25:40 Uhr
Goto Top
Ich habe eingestellt, dass die Zertifikate auf dem Server quasi bestätigt (bzw. eben "Ausgestellt" werden müssen.

Erst danach sind diese wohl beim Nutzer hinterlegt, zumindest erhält er nach dem Ausstellen eine entspr. Benachrichtigung
Mitglied: DerWoWusste
DerWoWusste 12.08.2021 um 14:32:47 Uhr
Goto Top
Ah, der Prozess des Enrollments benötigt administrative Zustimmung, verstehe. Ja, das muss man ja nicht einstellen, sondern kann auto-enrollment ermöglichen.
Mitglied: -BassT-
-BassT- 12.08.2021 um 17:27:22 Uhr
Goto Top
Ja, aber dann habe ich als Administrator nicht mehr die Wahl, das Ausrollen von Zertifikaten zu unterbinden für einzelne Nutzer bzw. gezielt zu bestätigen
Mitglied: DerWoWusste
DerWoWusste 12.08.2021 aktualisiert um 22:06:31 Uhr
Goto Top
Wenn du das brauchst. Du kannst ja schon zum Ausrollen nur die berechtigen, die du für nötig hältst.
Mitglied: -BassT-
-BassT- 25.11.2021 um 15:45:54 Uhr
Goto Top
Hallo,

entschuldigt die späte Antwort,
soweit klappt das Ganze ganz gut.

Wo beschränke ich das Ganze am besten auf bestimmte Gruppen? In der Gruppenrichtlinie oder in der Zertifikatsvorlage?

Danke schonmal!
Mitglied: DerWoWusste
DerWoWusste 25.11.2021 um 15:54:02 Uhr
Goto Top
In der Zert.vorlage kannst Du einstellen, wer so ein Zertifikat bekommen ("enrollen") darf. Am besten dort.
Mitglied: -BassT-
-BassT- 25.11.2021 um 16:37:40 Uhr
Goto Top
Also Zertifikatvorlage löschen und in der Templateverwaltung die Haken "Registrieren" und "Automatisch registrieren" bei Domänen-Benutzer raus, dafür bei der gewünschten Gruppe rein - richtig?
Mitglied: DerWoWusste
DerWoWusste 25.11.2021 um 18:14:19 Uhr
Goto Top
Wieso löschen? Die genannten Änderungen bei der bestehenden machen.
Heiß diskutierte Beiträge
question
Installationsproblem Office 2021 - alle Links öffnen Edge! gelöst SarekHLVor 1 TagFrageMicrosoft Office14 Kommentare

Hallo zusammen, ich habe gerade Office 2021 auf einem Notebook installiert und habe ein seltsames Phänomen! Die Verknüpfungen zu den Office-Programmen führen allesamt zu Edge! ...

question
Umzug von Hyper-V zu VMware und erneute Aktivierung von Windowspianoman82Vor 1 TagFrageWindows Server11 Kommentare

Hallo! Ich habe eine Frage im Hinblick auf Windows-Aktivierung da mir hier aktuell der Ansatz fehlt. Es geht um die Migration von diversen Windows Server ...

question
VPN Tunnel inkonsistent? gelöst NespressoVor 1 TagFrageNetzwerkprotokolle4 Kommentare

Hallo zusammen, das Thema VPN ist bei mir recht neu, doch habe ich es hinbekommen den Windows Server 2016 eigenen VPN dienst zu konfigurieren und ...

question
WSUS Problem mit Office + ExplorerfrenchfriesguyVor 1 TagFrageWindows Update7 Kommentare

Hallo zusammen ich/wir haben folgendes Problem mit einem Teil unseres Windows-Clients (W10E, 20H2) in Verbindung mit den Windows Updates. Die Updates werden über einen WSUS-Server ...

question
Eigener Server für Groupware und Nextcloudjonny-flashVor 1 TagFrageE-Mail5 Kommentare

Hallo zusammen, ich darf für ein kleines Startup temporär die Administration übernehmen, und habe bevor es los geht ein paar Fragen, die ich hier gern ...

question
VPN- 2 Sicherheitsfunktionen gelöst TekamolosVor 1 TagFrageVerschlüsselung & Zertifikate3 Kommentare

Hallo Jungs, beim Lernen habe ich diese Frage bekommen, da es im Internet sehr viel über VPN und viel Text und Protokolle gibt, war ich ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 22 StundenFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 16 StundenFrageNetzwerkmanagement6 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...