Как заставить windows доверять подписи кода, сертификат которой истек?

Question

[alex_ak1]

У меня есть windows server 2008 с доменом и терминалом, на котором я пытаюсь развернуть политику ограниченного использования программ (не AppLocker, а просто srp).
Есть какая-то программа, подписанная сертификатом (видно в свойствах), но срок действия этого сертификата истек.
Если посмотреть на подпись, то она вроде верна (и от администратора, и от ограниченного пользователя).
signtool verify /pa говорит, что все нормально.
Я добавляю этот сертификат в политику, обновляю политики и все, не могу запустить программу от пользователя, так как внезапно сертификат считается недействительным. Но он же был действителен на момент подписания программы!
Как мне быть в данной ситуации? Добавлять программы по хешу странно, по полному пути (тем более с масками) по моему небезопасно.

Answer 1

[АртемЪ]

Как заставить windows доверять подписи кода, сертификат которой истек?

Отключить проверку сертификатов, разрешить запуск неподписанного кода.

Но он же был действителен на момент подписания программы!

Ну значит в момент подписания проблем с запуском не было.
А сейчас он недействительный, поэтому windows его блокирует.

Comments

[alex_ak1]

Может просто не заморачиваться и забить на все это srp? Нехай вирусы и прочий шлак таскают.

И, если че, подписанный код в данном контексте вообще про другое, ога.

[АртемЪ]

alex_ak1, Не понял смысла вашей фразы.

[alex_ak1]

АртемЪ, У меня есть программа, которую я хочу запускать. Она подписана. Но обновить ее нельзя. И сертификат у нее истек. Но когда она была подписана, она была верна. Что мне делать?

[АртемЪ]

alex_ak1,
Бывают два вида программ -

• Подписанные - программы подписанные электронной подписью с валидным сертификатом выданным доверенным издателем, который не отозван, не просрочен.
  
• Неподписанные - программы не подписанные электронной подписью, или программы с просроченным или отозванным сертификатом.
  

Если вам нужно запускать неподписанные - разрешите запуск неподписанных.
Если вам нужно запускать только подписанные - запретите запуск неподписанных.
Что тут непонятного?

Она подписана. Но обновить ее нельзя. И сертификат у нее истек.

Взаимоисключиающие понятия.
Если сертификат истек - значит не подписана.
Если подписана - сертификат не просрочен и не отозван.

[alex_ak1]

АртемЪ, Но код когда-то же был подписан! Разве нет способа доверять коду, который был когда-то подписан?

[АртемЪ]

alex_ak1, Доверяют подписанному коду при следующих условиях -
1)Сертификат выдал доверенный издатель.
2)Сертификат не отозван.
3)Сертификат не просрочен.

Любой сертификат выдается на ограниченный срок, обычно год или два. Пока сертификат действителен - можно доверять, если сертификат отозвали или не продлили, нельзя.
Вот и все.
Это собственно базовые вещи на которых держится вся система подписи кода.
Любой сертификат могут отозвать - например по причине компрометации ключей.
Любой сертификат нужно регулярно продлевать - может издателя уже давно нет, и ключи уже непонятно кому принадлежат.