Einzelnen Beitrag anzeigen

Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#10

AW: eigenes Zertifikat

  Alt 21. Feb 2019, 10:24
Das Tutorial ist in der Tat hoffnungslos veraltet. Selbst die KB-Artikel der diversen CAs sind meist hoffnungslos veraltet. Die Dokumentation von Microsoft existiert teils in so vielen widersprüchlichen Versionen, daß einem schlecht wird. Wer des Englischen mächtig ist, ist noch immer mit dieser Abhandlung am besten bedient. Wird von Zeit zu Zeit aktualisiert und ist besser als jegliche Informationen der vorgenannten Quellen.

Ich habe auch festgestellt, daß es durchaus ein paar Minuten dauern kann, bis eine Signatur als gültig angesehen wird. Das kann man selber testen indem man eine signierte und auf einem anderen System geprüfte Datei, welche Elevation erfordert, auf ein anderes System kopiert und startet. Zuerst kommt üblicherweise eine Warnung, während ein paar Minuten später das übliche blaue oder grüne Häkchen im Dialog auftaucht. Grund ist vermutlich, daß hier vom System auch noch die CRLs konsultiert werden und eben nicht nur der lokale Zertifikatsspeicher.

PS: ich habe auch das SignTool aus dem W10 SDK genommen...wie gehabt.
... auf? Klingt vielleicht seltsam, aber /verify basiert bspw. auf den systemspezifischen Policies. Ein Windows 10 wird sich hier also anders verhalten als ein Windows 7. Egal ob du nun das signtool aus dem neuesten Windows 10 SDK nutzt oder nicht. Sprich: benutzt du dasselbe signtool (inklusive entsprechender DLLs) auf einer anderen Windowsversion, bekommst du ein anderes Verhalten. Sogar Windows 10 1803 kann sich anders verhalten als 1809 ... aber das sind üblicherweise kleinere Sprünge als eben Windows 7 auf 10.

Übrigens gibt es nicht das Windows 10 SDK. Mittlerweile dürfte es ein halbes Dutzend geben. Auf meinem System habe ich zumindest allein vier verschiedene Windows 10 SDKs installiert (10.0.10240.0, 10.0.16299.0, 10.0.17134.0, 10.0.17763.0).

Timestamp ist optional (wenn es bisher auch ohne funktioniert hat).
Ein Zeitstempel ist immer optional, korrekt. Aber ohne Zeitstempel läuft die Signatur zusammen mit dem Zertifikat aus. Das ist eher selten gewünscht. Zumal man aus Sicherheitsgründen immer ein Zertifikat mit einer eher beschränkten Gültigkeitsdauer benutzt.

Sollte das Verhalten gewünscht sein, daß die Signatur mit der Zertifikatsgültigkeit verfällt, kann im Zertifikat noch die EKU 1.3.6.1.4.1.311.10.3.13 (Lifetime Signing) gesetzt werden ... oder man läßt halt den Zeitstempel weg. Das ist aber wiederum so unkonventionell, daß es üblicherweise auf einen Fehler des Anwenders verweist. Die EKU kannst du mit "makecert -eku 1.3.6.1.4.1.311.10.3.13" setzen ...

Falls hier die Angst bestehen sollte, daß der Zeitstempel von einem bestimmten Anbieter sein muß, so darf ich das als unbegründet zurückweisen. Beispielsweise bietet Certum keinen SHA256-gehashten-Zeitstempel an, weshalb sie auf andere Anbieter von Zeitstempelservern verweisen. Für WinDirStat benutze ich dann http://timestamp.digicert.com für SHA256 und http://time.certum.pl für SHA1.

Übrigens, als Admin würde ich an die Decke gehen wenn ein kommerzieller Softwareanbieter selbstsignierte Zertifikate benutzt und mglw. sogar noch die Zertifikate ohne deutlichen Hinweis als vertrauenswürdig installiert. Ist aber ein anderes Thema und du schreibst ja es sei allein für interne Zwecke.

...ich habe keine pfx Datei, ich habe kein Paßwort, ich habe keinen Timestamp.
Irrelevant wo das Zertifikat (bspw. Zertifikat und privater Schlüssel) herkommt. Der Zertifikatsspeicher ist aber definitiv sicherer als eine PFX-Datei die womöglich noch nicht einmal paßwortgeschützt ist.

Das Tutorial hat immer funktioniert...was habe ich übersehen?
Was du übersehen, bzw. "verschlafen" hast, sind die teils drastisch verschärften Anforderungen an Zertifikate und damit erstellte Signaturen. Siehe auch (aber nicht nur) hier.

Nach dem ich das andere Zertifikat (DIMOWA®) installiert hatte, wurde die EXE (dSRG.exe) richtig erkannt.

Was darauf hindeutet, daß signtool womöglich ein anderes Zertifikat zum Signieren aussucht, als du dachtest (mit höheren Verbosity-Leveln kannst du schauen was genau signtool da macht). Schließlich hat signtool ganz eigene Regeln welches Zertifikat genommen wird (bspw. mit der längsten Gültigkeit) wenn man nur den Namen benutzt um das Zertifikat zu identifizieren. Stattdessen sollte man eigentlich den Fingerabdruck des Zertifikats benutzen, muß dann aber das entsprechende Skript alle paar Jahre aktualisieren.

Auch immer dran denken, daß zum Signieren das Zertifikat und der passende private Schlüssel verfügbar sein müssen. Zertifikat allein reicht nur zum verifizieren einer Signatur, aber eben nicht zum Signieren.

Und dann noch ein paar Notizen ...
  • Zertifikate werden üblicherweise von einer CA (Certification Authority) signiert, diese Signatur ist üblicherweise mit SHA1 oder SHA-256 (also SHA2 mit 256bit) gehasht, die Zertifikate werden in diesem Sinn als SHA1 oder SHA2 kategorisiert
  • Die Zertifikate bis hinauf zur Wurzel sollten alle Signaturen mit dem gleichen Hash-Algorithmus gehasht sein
  • Zertifikate ohne Wurzel sind üblicherweise selbstsigniert, da aber Systeme immer den Zertifikaten aus einer Zertifikatskette vertrauen schenken, muß eben dieses Zertifikat selbst als vertrauenswürdig im System installiert werden
  • Man kann ohne weiteres ein SHA1-Zertifikat nehmen um eine Signatur zu erzeugen die einen SHA2-Hash enthält und umgekehrt
  • Gleiches gilt für Zeitstempel, auch hier kann man theoretisch mischen wie man will, sollte man aber nicht
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat