ConnectWise ScreenConnect (später nur noch "ScreenConnect") bietet Kunden die Möglichkeit, den Installer für ihre ScreenConnect-Agents mit einem eigenen Code Signing-Zertifikat selbst zu signieren. Für On-Premise-Kunden wird diese Methode seit Juli 2025 zur festen Voraussetzung, da der Installer nicht mehr von ConnectWise signiert wird.

Durch diesen Prozess wird nur die Executable des Installers signiert. Alle weiteren Programme (inklusive des installierten Agents selbst) werden weiterhin von ConnectWise signiert.

Zum Abspeichern des Private Keys des Code Signing-Zertifikats muss ein Hardware-Token verwendet werden. Die einzige Art eines von ScreenConnect unterstützten Tokens ist der Azure Key Vault (später nur noch "Key Vault").

In diesem Artikel finden Sie Anweisungen, um die folgenden Schritte durchzuführen:

• Azure Key Vault konfigurieren
• Certificate Signing Request (CSR) generieren
• Code Signing-Zertifikat zur ScreenConnect Instanz hinzufügen

Voraussetzungen

Seitens ScreenConnect:

• ScreenConnect Version 25.4.25 oder höher
• Certificate Signing extension Version 1.0.4 oder höher

Benötigte Services:

• Azure
• Key Vault (premium)

Azure Key Vault konfigurieren

1. In Azure anmelden

Melden Sie sich im Azure Portal an.

Falls noch kein Azure Konto existiert, erstellen Sie sich ein neues.

2. Key Vault Resource finden

Geben Sie oben in der Suchleiste "Key Vault" / "Schlüsseltresor" ein und wählen Sie den gleichnamigen Eintrag aus.

3. Neuen Key Vault anlegen

Falls noch kein Key Vault mit dem Pricing Tier "Premium" existiert, legen Sie über den Button "Erstellen" einen neuen an.

Wichtige Hinweise (navigieren Sie zwischen den Untermenüs durch Klicken auf die jeweiligen Menüpunkte):

• Grundlegende Einstellungen
  • Abonnement
    Subscription/Abonnement auswählen über welches der Key Vault abgerechnet werden soll.
  • Ressourcengruppe
    Neue Gruppe erstellen oder in eine bestehende hinzufügen.
  • Name des Schlüsseltresors
    Der Name des Key Vaults muss global einzigartig sein.
  • Tarif
    Als Tarif muss "Premium" ausgewählt werden.
    
    
    
• Zugriffskonfiguration
  • Berechtigungsmodell
    Stellen Sie sicher, dass "Rollenbasierte Azure-Zugriffssteuerung" ausgewählt ist.
• Netzwerk
  • Öffentlichen Zugriff aktivieren
    Lassen Sie den öffentlichen Zugriff aktiviert, soweit nicht mit "Privaten Endpunkten" gearbeitet wird.
    
    
    
  • Zugriff erlauben von: Alle Netzwerke
    
    
    

Alle weiteren Einstellungen können Sie nach belieben anpassen. Sobald Sie fertig sind, können Sie den Tresor über den Button "Überprüfen + erstellen" erstellen lassen.

4. Passende Berechtigungen setzen

Selbst mit einem globalen Admin-Konto ist es aufgrund des Berechtigungsmodells nicht möglich, die Objekte des Key Vaults zu verwalten, wenn die entsprechenden Berechtigungen nicht vorliegen.

Nachdem der Key Vault fertig erstellt wurde öffnen Sie diesen befolgen diese Schritte:

1. Wechseln Sie in den Tab "Zugriffssteuerung (IAM)".
2. Klicken Sie oben auf "Hinzufügen > Rollenzuweisung hinzufügen".
3. Suchen Sie nach der Rolle "Administrator für Schlüsseltresor" und klicken diese an.
   
   
   
4. Wechseln Sie in den Tab "Mitglieder".
5. Drücken Sie auf "+ Mitglieder auswählen".
6. Suchen Sie Ihren eigenen Nutzer, klicken diesen an und klicken auf "Auswählen".
7. Bestätigen Sie die Zuweisung über den Button "Überprüfen und zuweisen".

Certificate Signing Request (CSR) generieren

1. Öffnen Sie den gerade erstellten oder schon existierenden (premium) Key Vault

Geben Sie oben in der Suchleiste "Key Vault" / "Schlüsseltresor" ein und wählen Sie den gleichnamigen Eintrag aus. Anschließend wählen Sie den passenden Key Vault aus.

2. Öffnen Sie die Zertifikate

Öffnen Sie im Key Vault Menü unter "Objekte" die "Zertifikate".

3. Klicken Sie auf "Generieren/importieren"

4. Zertifikat erstellen

Füllen Sie die Informationen wie folgt aus:

• Methode der Zertifikaterstellung: "Generieren"
• Zertifikatsname: Suchen Sie sich einen wiedererkennbaren Namen aus. Beispiel: "ihrefirma-code-signing-2025"
• Typ der Zertifizierungsstelle (ZS): "Zertifikat wurde durch nicht integrierte Zertifizierungsstelle ausgestellt"
• Betreff: Betreff des Zertifikats. Beispiel: "CN=ihrefirma.de, O=Ihre Firma GmbH"
• DNS-Namen: kann ignoriert werden
• Gültigkeitsdauer (in Monaten): 12
• Inhaltstyp: PKCS #12
• Lebensdauer-Aktionstyp: Hier können Sie die gewünschte Aktion auswählen, mit der Sie gegen Lebensende des Zertifikats auf dessen Ablauf hingewiesen werden möchten.
• Prozentsatz der Lebensdauer / Anzahl der Tagen vor Ablauf: Bezieht sich auf die Option "Lebensdauer-Aktionstyp"
  
  
  
• Erweiterte Richtlinienkonfiguration: Klicken Sie auf "Nicht konfiguriert", um die weiteren Einstellungen vorzunehmen
  • Erweiterte Schlüsselverwendung (EKU): "1.3.6.1.5.5.7.3.3, 1.3.6.1.4.1.311.10.3.13"
  • X.509-Flags für Schlüsselverwendung: Folgende Optionen auswählen:
    • Digitale Signatur
    • Schlüsselchiffrierung
  • Schlüssel beim Erneuern wiederverwenden?: Nein
  • Privater Schlüssel exportierbar?: Nein
  • Schlüsseltyp: RSA-HSM
  • Schlüsselgröße: 4096
  • Zertifikattransparenz aktivieren?: Nein
  • Zertifikattyp: Leer lassen
    
    Wichtig: Mit OK bestätigen

Mit klick auf "Erstellen" das Zertifikat erstellen lassen.

5. Neues Zertifikat auswählen

6. CSR herunterladen

Oben links auf "Zertifikatvorgang" klicken. Anschließend den Button "CSR herunterladen" klicken.

7. CSR bereitstellen

Diese CSR-Datei kann nun verwendet werden, um bei einem geeigneten Anbieter ein Code Signing-Zertifikat im HSM-Format anzufordern.

8. Zertifikat importieren

Nachdem man das Zertifikat vom Anbieter erhalten hat, kann man es im selben Menü wie in Schritt 6 über den Button „Signierte Anforderung zusammenführen” importieren.

Die Erstellung des Code Signing-Zertifikats ist somit abgeschlossen.

Code Signing-Zertifikat zur ScreenConnect-Instanz hinzufügen

1. Neue App-Registrierung erstellen

Im Azure Portal in der Suchleiste nach "Anwendungsregistrierung" suchen und den gleichnamigen Menüpunkt auswählen.

Anschließend oben auf "+ Neue Anwendung" klicken.

Der Anwendung muss lediglich ein Name vergeben und erstellt werden.

2. Zugriffssteuerung des Key Vaults anpassen

Nach der Erstellung der App Registrierung suchen Sie im Azure Portal nach dem Key Vault ("Schlüsseltresor"), wählen diesen aus und öffnen das Menü "Zugriffssteuerung (IAM".

3. Der Anwendungsregistrierung die passenden Rollen vergeben

1. Klicken Sie auf "+ Hinzufügen > Rollenzuweisung hinzufügen".
2. Suchen Sie nach der Rolle "Key Vault Certificate User" und wählen diese aus.
3. Fügen Sie im "Mitglieder" Tab über den Button "+ Mitglieder auswählen" die zuvor erstellte Anwendungsregistrierung hinzu.
4. Schließen Sie die Rollenzuweisung mit dem Button "Überprüfen und zuweisen" hinzu.
5. Führen Sie die gleichen Schritte noch einmal durch, diesmal für die Rolle "Kryptografiebenutzer für Schlüsseltresore".

4. Zertifikat-ID notieren

Suchen Sie im Key Vault das zuvor importierte Zertifikat heraus. Wählen Sie innerhalb des Zertifikats die aktuelle Version (bei der ersten Erstellung sollte es nur eine geben).

Notieren Sie sich den Wert "Zertifikat-ID".

5. Geheimen Clientschlüssel erstellen

1. Suchen Sie über die Suchfunktion im Azure Portal die im Schritt 1 erstellte Anwendungsregistrierung.
2. Wählen Sie im Seitenmenü "Verwalten > Zertifikate & Geheimnisse" aus.
3. Klicken Sie im Tab "Geheime Clientschlüssel" auf "+ Neuer geheimer Clientschlüssel".
4. Vergeben Sie eine beliebige Beschreibung und eine Laufzeit von 12 Monaten. Bestätigen Sie mit Klick auf "Hinzufügen".
5. Notieren Sie sich den Wert temporär.

6. Client und Tenant ID notieren

Wechseln Sie in der Anwendungsregistrierung in den Menüpunkt "Übersicht".

Notieren Sie sich hier die Werte "Anwendungs-ID (Client)" und "Verzeichnis-ID (Mandant)".

7. ScreenConnect Extension installieren

Installieren Sie die Extension "Certificate Signing".

8. Certificate Signing konfigurieren

1. Öffnen Sie in der Administration Ihres ScreenConnect-Servers den neuen Menüpunkt "Certificate Signing".
2. Klicken Sie auf den Button "Configure Azure Certificate".
3. Fügen Sie die zuvor notierten Werte ein:
   • Azure Tenant Id = In Schritt 6 notierte "Verzeichnis-ID (Mandant)"
   • Azure Client Id = In Schritt 6 notierte "Anwendungs-ID (Client)"
   • Azure Client Secret = In Schritt 5 notierten Wert des Clientschlüssels
   • Code Signer URI = In Schritt 4 notierte "Zertifikat-ID"

Nach Klick auf "SAVE" sollte das Zertifikat mit Ihrer ScreenConnect-Instanz verknüpft sein und heruntergeladene Installer künftig automatisch signiert werden.