Code Signing Validierung

Moin zusammen,

ich beschäftige mich seit ein paar Tagen mit dem APC und bin sehr angetan!
Die Pakete werden bei uns über ein Code-Signing-Zertifikat unserer internen PKI durch das APC signiert und anschließend in Empirum importiert. Auf meinem Test-Client war das Code-Signing-Zertifikat noch nicht hinterlegt. Dadurch hing sich das Paket in der Ausführung auf, da die PowerShell eine Abfrage zum Vertrauen der Signatur startet.
Der Fehler war natürlich hausgemacht und konnte durch das Verteilen des Code-Signing-Zertifikats in den Trusted-Publisher-Store gelöst werden. Das hatte ich vorab vergessen gehabt.
Durch den Test habe ich mich gefragt, ob dahingehend eine Prüfung der digitalen Signatur der PowerShell-Skripte aus dem Empirum-Paket heraus sinnvoll wäre, bevor diese ausgeführt werden. Sollte ein Client z.B. dem zur Signatur genutzten Zertifikat nicht vertrauen oder die Signatur wäre abgelaufen, könnte das Paket vorab mit einer Fehlermeldung abgebrochen werden. Dies scheint mir insbesondere bei der Deinstallation eines Pakets sinnvoll, wobei die Skripte lokal vom Client aufgerufen werden. Hierbei könnte, je nach Paket und Lebenszeit eines Code-Signing-Zertifikats, der Fehler öfters auftreten. Eine Meldung im Log wäre hierbei sehr hilfreich.

Grüße

Hallo @HughHackman,

erst einmal freut es uns zu sehen, dass Sie unser APC Sie überzeugen kann. Auch ist es erfreulich zu sehen, dass Sie von der Skriptsignierung gebrauch machen.

Wir sind gerade dabei das Thema ExecutionPolicy weiter auszubauen und unser aktuellster Release erlaubt das setzen auch ohne GPO. Die Problematik mit hängenden Paketen bei Benutzerabfragen ist bereits bei uns im Backlog und sollte bei der nächsten Version mit aktualisiert werden. Es ist aber unwahrscheinlich, dass die Signaturprüfung in die Setup.inf wandern wird. Wir werden wahrscheinlich gebrauch vom -NonInteractive Flag der PowerShell machen, was Benutzerabfragen grundsätzlich unterbindet. In Ihrem Fall würde es dann auf einen schnell Fehler zurücklaufen, was bei fehlender/falscher Signatur sicherlich das richtige Verhalten sein sollte.

Gruß,
Julian

1 „Gefällt mir“