Anforderungen
- YubiKey 5 FIPS
- Software: YubiKey Manager
- Software: YubiKey Smart Card Minidriver
- Code-Signing-Zertifikat Sectigo (private durch YubiKey) und CA-Zertifikate
Anleitung - Zertifikat anfordern/erstellen
- https://doku.tid.dfn.de/de:dfnpki:tcs:codesigning
- https://cert-manager.com/customer/DFN/cs/uni-kassel-codesigningzertifikate
Zertifikate zum YubiKey hinzufügen
Damit ein Makro in einer Office-Anwendung signiert werden kann, muss nach der Ausstellung des Zertifikat, dieses Zertifikat zum YubiKey hinzugefügt werden.
- Öffnen Sie den YubiKey Manager
- Wählen Sie im Menü "Applications" aus
- Wählen Sie im Dropdown-Menü "PIV" aus
- Wählen Sie "Configure Certificates" aus
- Importieren Sie das Zertifikat mit einem Klick auf "Import" unter "Digital Signature" & "Card Authentication"
- Bei einem Zertifikat von Sectigo wählen Sie bitte "Certificate (w/ issuer after)"
- Sollten Sie eine PIN vergeben haben, wird diese beim Import abgefragt
- Wichtig!: Nach dem erfolgreichen Import verbinden Sie den YubiKey einmal neu (rein- & wieder rausstecken)
Herausgeberzertifikate hinzufügen
- Internetoptionen über die Windows-Suche öffnen
- Im Reiter "Inhalte" auf "Herausgeber" klicken
- Importieren Sie die CA-Zertifikate
Timestamp Server für VBA einstellen
- REG-Editor öffnen
- Navigieren zu "Computer\HKEY_CURRENT_USER\Software\Microsoft\VBA\Security"
- Eintrag Zeichenfolge (REG_SZ) erstellen
- Name: TimeStampURL
- Wert: http://timestamp.sectigo.com
- Eintrag DWORD erstellen
- Name: TimeStampRetryCount
- Wert: 2
- Eintrag DWORD erstellen
- Name: TimeStampRetryDelay
- Wert: 15
- Office Anwendungen neu starten
Makro in Office signieren
- Öffnen Sie die Datei mit dem Makro, welches Sie signieren möchten
- Gehen Sie im Reiter auf "Entwicklertools"
- Sollte der Reiter Entwicklertools bei Ihnen nicht vorhanden sein, kann es über das Menüband hinzugefügt werden
- Wählen Sie "Visual Basic" aus
- Wählen Sie "Extras" aus
- Wählen Sie "Digitale Signatur..." aus
- In dem neuen geöffneten Fenster klicken Sie unter "Signiert als" den Button "Wählen..."
- Wählen Sie das entsprechende Zertifikat aus mit dem Sie das Makro signieren wollen
- Sollten Sie einen PIN für den YubiKey vergeben haben, wird dieser nach der Auswahl des Zertifikats abgefragt
- Drücken Sie abschließend speichern
Wichtige Hinweise
- Auf den Systemen wo das signierte Makro genutzt werden soll, müssen die CA-Zertifikate als vertrauenswürdige Herausgeber hinterlegt sein
- In den Office-Anwendungen muss im Trust-Center in den Makroeinstellungen "Alle Makros, außer digital signierten Makros deaktivieren" ausgewählt sein
- Sollte sich die Makro-Datei auf einem Netzwerklaufwerk befinden, so muss diese Datei zu den vertrauenswürdigen Speicherorten hinzugefügt werden