Signierung von Makros

Anforderungen

• YubiKey 5 FIPS
• Software: YubiKey Manager
• Software: YubiKey Smart Card Minidriver
• Code-Signing-Zertifikat Sectigo (private durch YubiKey) und CA-Zertifikate

Anleitung - Zertifikat anfordern/erstellen

• https://doku.tid.dfn.de/de:dfnpki:tcs:codesigning
• https://cert-manager.com/customer/DFN/cs/uni-kassel-codesigningzertifikate

Zertifikate zum YubiKey hinzufügen

Damit ein Makro in einer Office-Anwendung signiert werden kann, muss nach der Ausstellung des Zertifikat, dieses Zertifikat zum YubiKey hinzugefügt werden.

1. Öffnen Sie den YubiKey Manager
2. Wählen Sie im Menü "Applications" aus
3. Wählen Sie im Dropdown-Menü "PIV" aus
4. Wählen Sie "Configure Certificates" aus
5. Importieren Sie das Zertifikat mit einem Klick auf "Import" unter "Digital Signature" & "Card Authentication" 
   1. Bei einem Zertifikat von Sectigo wählen Sie bitte "Certificate (w/ issuer after)"
   2. Sollten Sie eine PIN vergeben haben, wird diese beim Import abgefragt
6. Wichtig!: Nach dem erfolgreichen Import verbinden Sie den YubiKey einmal neu (rein- & wieder rausstecken)

Herausgeberzertifikate hinzufügen

1. Internetoptionen über die Windows-Suche öffnen
2. Im Reiter "Inhalte" auf "Herausgeber" klicken
3. Importieren Sie die CA-Zertifikate

Timestamp Server für VBA einstellen

1. REG-Editor öffnen
2. Navigieren zu "Computer\HKEY_CURRENT_USER\Software\Microsoft\VBA\Security"
3. Eintrag Zeichenfolge (REG_SZ) erstellen
   1. Name: TimeStampURL
   2. Wert: http://timestamp.sectigo.com
4. Eintrag DWORD erstellen
   1. Name: TimeStampRetryCount
   2. Wert: 2
5. Eintrag DWORD erstellen
   1. Name: TimeStampRetryDelay
   2. Wert: 15
6. Office Anwendungen neu starten

Makro in Office signieren

1. Öffnen Sie die Datei mit dem Makro, welches Sie signieren möchten
2. Gehen Sie im Reiter auf "Entwicklertools"
   1. Sollte der Reiter Entwicklertools bei Ihnen nicht vorhanden sein, kann es über das Menüband hinzugefügt werden
3. Wählen Sie "Visual Basic" aus
4. Wählen Sie "Extras" aus
5. Wählen Sie "Digitale Signatur..." aus
6. In dem neuen geöffneten Fenster klicken Sie unter "Signiert als" den Button "Wählen..."
7. Wählen Sie das entsprechende Zertifikat aus mit dem Sie das Makro signieren wollen
   1. Sollten Sie einen PIN für den YubiKey vergeben haben, wird dieser nach der Auswahl des Zertifikats abgefragt
8. Drücken Sie abschließend speichern

Wichtige Hinweise

• Auf den Systemen wo das signierte Makro genutzt werden soll, müssen die CA-Zertifikate als vertrauenswürdige Herausgeber hinterlegt sein
• In den Office-Anwendungen muss im Trust-Center in den Makroeinstellungen "Alle Makros, außer digital signierten Makros deaktivieren" ausgewählt sein
• Sollte sich die Makro-Datei auf einem Netzwerklaufwerk befinden, so muss diese Datei zu den vertrauenswürdigen Speicherorten hinzugefügt werden