Digitale Signaturen
Generelles zu digitalen Zertifikaten und Signaturen
Digitale Zertifikate stellen eine Möglichkeit dar, den Hersteller einer Software zu verifizieren. Wenn ein Hersteller als 'vertrauenswürdige Quelle' eingestuft wurde, können die von diesem Hersteller signierten Makros auch bei der hohen Makro-Sicherheitsstufe ausgeführt werden.
Ihr Unternehmen hat dadurch zwei Vorteile: Ihre Anwender müssen nicht mehr bei jedem Start der Anwendung bestätigen, dass die Makros ausgeführt werden dürfen (wie bei der bisher empfohlenen Makro-Sicherheitsstufe 'Mittel') und die Makro-Sicherheitsstufe kann auf 'Hoch' gesetzt werden, wodurch das Ausführen von 'fremden' und daher potenziell gefährlichen Makros unterbunden wird.
Die digitalen Zertifikate sind immer nur einen bestimmten Zeitraum gültig. Nach Ablauf der Gültigkeit können signierte Produkte trotzdem weiter verwendet werden, weil ein sogenannter 'Timestamp' dafür sorgt, dass der Anwendung mitgeteilt wird, dass das Zertifikat zum Zeitpunkt der Signierung gültig war.
Um eine digital signierte Software zu nutzen, wird keine Internetverbindung benötigt (siehe Do signed assemblies/dlls require net connection for validation at startup).
Unsere digitalen Signaturen
Seit März 2010 signieren wir unsere Produkte mit einem von uns erstandenen Zertifikat. Wenn Sie also nach März 2010 ein neues Produkt von uns erhalten, wird es von uns signiert sein. Der Aufwand hierfür ist in Ihrem Angebot enthalten. Bei Nachbesserungen oder Updates von älteren Produkten signieren wir diese kostenfrei.
Folgende Liste führt die von uns verwendeten Zertifikate auf:
| Ausgestellt auf | Zertifizierungsstelle | Gültig bis |
|---|---|---|
| Gerhard Adamovich | DigiCert | 2022-11 |
| Gerhard Adamovich | DigiCert | 2020-10 |
| Gerhard Adamovich | DigiCert | 2018-10 |
| Gerhard Adamovich | DigiCert | 2016-09 |
| BRAINWORXX GmbH | DigiCert | 2015-09 |
| Patrick Wania | Thawte Code Signing CA | 2014-03 |
| wirDesign GmbH | Thawte Code Signing CA | 2012-03 |
Zertifikate verwalten: Vertrauenswürdige Quellen
Wenn Ihre Anwender digital signierte Vorlagen und Add-Ins verwenden, erhalten sie folgende Möglichkeiten:
- Makro-Sicherheit 'Niedrig': Keine Änderung, wird von uns nicht empfohlen.
- Makro-Sicherheit 'Mittel': In dem Dialog, in dem das Ausführen der Makros bestätigt wird, erscheint eine zusätzliche Option, 'Makros aus dieser Quelle immer vertrauen' bzw. 'Gesamtem Inhalt des Herausgebers vertrauen':
- Makro-Sicherheit 'Hoch': Beim ersten Ausführen wird der Anwender gebeten, das Ausführen der Makros aus dieser Quelle zu bestätigen.
Als Administrator haben Sie zusätzlich die Möglichkeit, das Zertifikat als 'vertrauenswürdige Quelle' einzustufen.
Für Administratoren: Unsere Produkte mit eigenen digitalen Signaturen versehen
Wenn Sie möchten, können Sie ein von Ihnen erworbenes Zertifikat verwenden, um die von uns bereitgestellten Makros zu signieren. Hierfür müssen Sie keine Passwörter von uns haben oder die Projekte öffnen - Sie müssen prinzipiell nur die Dateien öffnen, mit der Signatur versehen und neu speichern.
Wichtige Voraussetzungen
- Zertifikat zur Codesignierung
Bei der Beantragung des Zertifikates müssen Sie unbedingt sicher stellen, dass das Zertifikat explizit zur Signierung von Code ausgestellt wird, sonst werden Sie es nicht zur Signierung von Makros verwenden können. Die von Ihnen gewählte Zertifizierungsstelle kann Ihnen hierzu mehr Informationen bieten.
- Timestamp
Der Timestamp sorgt dafür, dass die von Ihnen verwendeten Zertifikate auch nach Ablauf ihrer Gültigkeit weiter verwendet werden können. Sie können dann zwar keine Projekte signieren, aber die schon signierten Projekte können weiter verwendet werden. Wenn Sie den Timestamp nicht verwenden, verfällt die Signatur und die Projekte können in der Makro-Sicherheitsstufe 'Hoch' nicht mehr ausgeführt werden.
Der Timestamp wird über einen Registry-Eintrag auf dem Rechner aufgerufen, auf dem Sie die Signierung vornehmen. Bei Ihren Anwendern ist dieser Eintrag nicht nötig. Der Registry-Eintrag enthält einen Pfad auf die Internetseite, die den Timestamp verifiziert. Die korrekten Einträge erfahren Sie von Ihrer Zertifizierungsstelle.
Beispiel für die Zertifizierungsstelle 'Thawte':
[HKEY_CURRENT_USER\Software\Microsoft\VBA\Security] "TimeStampURL"="http://timestamp.verisign.com/scripts/timstamp.dll" "TimeStampRetryCount"=dword:00000003 "TimeStampRetryDelay"=dword:00000003
Ihr Zertifizierungs-Arbeitsplatz
Richten Sie sich einen Arbeitsplatz ein, auf dem Sie die digitalen Signaturen vergeben möchten. Der Arbeitsplatz muss eine Internet-Verbindung haben, damit das Zwertifikat bestätigt und der Timestamp vergeben werden kann. Die Office-Version sollte der niedrigsten Version entsprechen, die in Ihrem Unternehmen verwendet wird.
Für die Signierung von Projekten für Office 2007 und neueren Versionen sollten Sie eine weitere Umgebung einrichten, in der Sie die für die neue Oberfläche spezifischen Dateien signieren können.
Installieren Sie auf dem Signatur-Arbeitsplatz das Zertifikat, indem Sie den Internet-Explorer starten und unter 'Extras', 'Internetoptionen' im Reiter 'Inhalte' unter 'Zertifikate' 'Zertifikate' auswählen. Wählen Sie dann 'Importieren' und folgen Sie den Anweisungen. Wenn Sie nicht den Internet-Explorer verwenden, können Sie von der Zertifizierungsstelle erfahren, wie Sie das Zertifikat importieren.
Welche Vorlagen und Add-Ins sollen in welcher Office-Version signiert werden?
Grundsätzlich sollten Sie die Vorlagen und Add-Ins, die von allen unterstützten Office-Versionen verwendet werden, in der in Ihrem Unternehmen niedrigsten verwendeten Office-Version signieren. Wenn Sie also überwiegend mit Office 2003 arbeiten, aber einige Arbeitsplätze noch mit XP, dann sollten Sie die Signierung mit Office XP vornehmen. So vermeiden Sie, dass eventuelle Add-Ins nicht in der höheren Version vorausgesetzt werden, die XP noch nicht zur Verfügung stellt.
- Allgemeine Vorlagen und Add-Ins
Dies sind Vorlagen und Add-Ins, die für alle zurzeit der Auslieferung üblichen Office-Versionen gültig sind. Die Dateiendungen dieser Dateien sind immer 3 Buchstaben lang (z. B. '.dot', '.ppa', '.xla'). Aktuell betreffen die Allgemeinen Vorlagen und Add-Ins die Office-Versionen 9 bis 14, also 2000, XP, 2003, 2007 und 2010.
- Spezielle Vorlagen und Add-Ins ab 2007
Um der neuen Benutzeroberfläche von Office ab Version 2007 gerecht zu werden, enthalten unsere Lösungen ab 2007 unter Umständen entsprechende zusätzliche Dateien, deren Dateiendungen immer vierstellig sind (z. B. '.dotm', '.ppam', '.xlam'). Aktuell betreffen die speziellen Vorlagen und Add-Ins die Office-Versionen 12 und 14, also 2007 und 2010.
- Szenarien
- Wenn Sie Office 2003, 2007 und 2010 in Ihrem Unternehmen verwenden, signieren Sie die allgemeinen Projekte in Office 2003 und die speziellen Dateien für 2007 in Office 2007.
- Wenn Sie Office 2000 und 2003 verwenden, signieren Sie alle Makros in Office 2000.
Anweisungen zur digitalen Signierung von Projekten
Nachdem Sie das Zertifikat erhalten und importiert haben, gehen Sie wie folgt vor: