Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

Codesigning-Zertifikat unter Vertrauenswürdige Herausgeber, PowerShell vertraut trotzdem nicht

Mitglied: tyradux

tyradux (Level 1) - Jetzt verbinden

08.08.2013, aktualisiert 10:11 Uhr, 3933 Aufrufe, 3 Kommentare

Hallo Zusammen,

mal wieder ein kleines Problemchen.

Ich bin gerade dabei, PowerShell-Scripte zu schreiben. Funktioniert soweit gut. Diese möchte ich nun gerne signieren und die ExecutionPolicy sämtlicher Systeme auf "AllSigned" stellen. Passt soweit.

Nun ist es so, dass ich ein Zertifikat erstellt und per GPO verteilt habe. Die Clients haben dieses bekommen, es wird auch unter den vertrauenswürdigen Herausgebern angezeigt. Jetzt signiere ich das PowerShell-Script mittels Idera PowerShell Professional Plus. Wenn ich das Script nun aber ausführen möchte, wird angezeigt, dass dem Zertifikat nicht vertraut wird.

Das Ganze habe ich erst in einer VMware-Umgebung getestet, bevor ich es auf dem Produktivsystem genau gleich ausgerollt habe. Unter VMware hat's funktioniert, im Produktivsystem nicht.

Ich weiß zur Zeit auch gar nicht, wo ich beginnen soll, zu suchen.

Wir verwenden Windows Server 2008 R2 und Windows 7 Clients.

Any Tipps?

Update:
Ich habe eben herausgefunden, dass der Unterschied darin lag, dass ich in der Testumgebung direkt das Windows-Eigene Code Signing-Zertifikat verteilt habe. In der Produktivumgebung habe ich dieses Zertifikat dupliziert und dieses dann verteilt. Wenn ich in der Testumgebung das Zertifikat ebenso dupliziere, exportiere und per GPO verteile, traut PowerShell diesem ebenso nicht.
Das Interessante dabe ist, dass ich mit der selben Methode ein Zertifikat für die Paketerstellung für WSUS verteilt habe, da funktioniert alles Reibungslos. PowerShell scheint die Zertifikate irgendwie anders zu behandeln. Oder muss ich hier noch etwas genaues beachten?

mfg
Simon
Mitglied: colinardo
08.08.2013 um 13:33 Uhr
Hallo Simon,
ist dein Zertifikat selbst erstellt oder von einer offiziellen Stelle(Verisign, etc) ?
Wenn es selbst erstellt ist, ist das Root-Zertifikat der Zertifizierungsstelle auch auf den Clients vorhanden ?
Ansonsten probier mal diese Variante zum signieren:
http://www.hanselman.com/blog/SigningPowerShellScripts.aspx

Grüße Uwe
Bitte warten ..
Mitglied: tyradux
08.08.2013 um 16:04 Uhr
Hallo Uwe,

das Zertifikat ist selbst erstellt und ja, das Root-Zertifikat unserer CA ist ebenso auf den Clients. Ich habe es sicherheitshalber sogar auch noch per GPO verteilt.

Die Makecert-Variante möchte ich eigentlich nicht verwenden, da ich meine CA als Zertifizierungsstelle haben möchte. Es muss doch auch so irgendwie funktionieren. Irgendwie denke ich, habe ich da einfach noch etwas beim duplizieren und verteilen des Zertifikats übersehen.
Bitte warten ..
Mitglied: baer02
15.08.2013 um 16:45 Uhr
Hallo Simon,

ich beschäftige mich aktuell mit dem Thema. Ich habe ein Root-Zertifikat (Root.pvk - privat und Root.cer - öffentlich) erstellt und von dem ein neues Zertifikat "abgeleitet", welches dann im Zertifikatsspeicher gelandet ist. Davon habe ich dann wiederum eine öffentliche Zertifikatsdatei (michael.cer) exportiert.

Ziel ist ein Root-Zertifikat zu haben und davon Mitarbeiter-Zertifikate abzuleiten, die dann zum Signieren von Code benutzt werden.

Um einen Test durchzuführen, habe ich auf einem zweiten Rechner Root.cer in den Zertifikatsspeicher "Vertrauenswürdige Stammzertifizierungsstellen" importiert. Auf diesem Rechner 2 habe ich vorher mit erhöhten Rechten "Set-ExecutionPolicy AllSigned" ausgeführt.

Wenn ich nun ein Skript mit meinem Zertiifkat (michael.cer) auf Rechner 1 signiere und dann testweise auf Rechner 2 ausführen möchte, mache ich das im Explorer mit einem rechten Mausklick und die Auswahl "Mit Powershell ausführen".

Dann erscheint die Frage: "Möchten Sie Software dieses nicht vertrauenswürdigen Herausgebers ausführen?" mit unterschiedlichen Antwortoptionen. Wenn ich die Option A (Immer ausführen) auswähle, wird dadurch die Signatur (michael.cer) dem Zertifikatsspeicher (Aktueller Benutzer) hinzugefügt. Wenn ich das Zertifikat dort lösche erscheint beim nächsten Mal wieder die Abfrage.

Es funktioniert auch, wenn ich den Zertifikatsspeicher (Lokaler Computer) wähle, offenbar gibt es einen Unterschied zwischen signiert und vertrauenswürdig.

Es funktioniet übrigens auch nicht, wenn ich Root.cer zu den Vertrauenswürdigen Herausgebern hinzufüge, obwohl die Ausführung des Skriptes nur mit Root.cer in der Vertrauenswürdigen Stammzertifizierungsstelle grundsätzlich gelingt, man wird lediglich gefragt, ob man dem Herausgeber CN=Michael vertraut.

Ich habe ein wenig ausführlicher geschrieben, was ich gemacht habe, weil das möglicherweise noch andere lesen...

Viele Grüße Michael
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail
Outlook.de Exchange-Konto - Zertifikat nicht vertrauenswürdig
gelöst Frage von TrampelOutlook & Mail9 Kommentare

Hallo, ich habe mir vor ein paar Tagen Office 2016 Pro geholt und möchte nun ein Exchange-Konto in Outlook ...

Server
Synology Drive - Trotz CA-Zertifikat ist dieses nicht vertrauenswürdig
gelöst Frage von CoreknabeServer4 Kommentare

Moin, wir haben auf unserer Synology RS2414rp+ Synology Drive eingerichtet. Greife ich jetzt mit dem Windows Client auf den ...

iOS
Exchange Zertifikat für dyndns-Adresse nicht vertrauenswürdig (iOS 10.1.1)
gelöst Frage von danieluk15iOS7 Kommentare

Hallo zusammen, ich habe bei einem Kunden ein Problem mit seinem neuen iPhone (iOS 10.1.1). Wir möchten sein Exchange ...

Batch & Shell
Powershell Script mit Zertifikat signieren
gelöst Frage von zamsi7Batch & Shell5 Kommentare

Hallo an alle, ich würde gerne ein PS Script signieren um es im Gesamten Unternehmen verwenden zu können. Im ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...