Script Signing Best Practices

Hallo Zusammen,

verwendet hier jemand Script Signing?

Problem ist folgendes:
Da unsere AV-Lösung generell Powershell Nutzung blockiert, wir aber natürlich Powershell-Skripte von neo42 Paketen benutzen, wollten wir uns das mit signierten Scripten einfach machen.
Code Signing Zertifikat im APC hinterlegt, im AV hinterlegt und los gehts.

Nun die Frage, wie ist das mit signierten Paketen, wenn nach Zeitraum X das Zertifikat ausläuft und erneuert werden soll.
Die „alten“ Pakete liegen dann ja bereits auf den Server mit einem abgelaufenen Zertifikat, was für mich bedeutet: Ich muss alle Pakete löschen und neu vom APC signieren lassen, ziehen und weiterverteilen.

Gibt es hier eine bessere Praxis bei euch oder übersehe ich etwas?

Danke & Viele Grüße!

Hallo Clemens,

wird eine signierte Datei oder ein signiertes Skript auf Gültigkeit geprüft, so spielt die aktuelle Gültigkeit des Zertifikats keine Rolle mehr, wenn die Signatur eine sogenannte „Gegensignatur“ von einem Online-Server erhalten hat. Aus diesem Grund muss beim Skript Signing im APC auch immer ein Zeitstempel Server angegeben werden.

Auf diese Weise können zukünftige Prüfungen sicherstellen, dass das Zertifikat zum Zeitpunkt der Signatur noch gültig war.

Beispiel einer Signatur mit Zeitstempel:
image

image

Gruß
Marco