Wie ich vor kurzem auf leidige Art feststellen musste, ist die Verwendung von Zertifikaten ganz schön heimtückisch. Ich hatte den Effekt, dass die Installation und Ausführung einer einfachen signierten Anwendung auf meiner virtuellen Testmaschine extrem lang gedauert hat. So war es der Fall, dass vom Start der Installationsdatei bis zur Abfrage der Benutzerkontensteuerung auf einem Lenovo X1 Carbon-Host ca. 30 Sekunden vergingen. Die folgende Prüfung des Hersteller-Zertifikats erscheint ebenfalls nach ca. 30 Sekunden. Anschließend dauerte es bis zum 1. Installationsdialog ebenfalls nochmal die besagte halbe Minute. Die Installation selber lief sehr flüssig, was mich dann doch etwas stutzig machte. Ich wusste, dass die Signatur nicht überprüft werden kann, da ich keine Internetverbindung eingerichtet habe, aber die anderen Prozesse (UAC, Installationsdialog) haben ja genauso lange gedauert, daher dachte ich ausschließen zu können, dass es an einem Zertifikatsproblem liegt.
Ich habe anschließend verschiedene Maßnahmen zur Optimierung eingeleitet, wie zum Beispiel einen neuen physikalischen Client aufgesetzt, der nicht virtuell ist, aber auch hier gab es keinen nennenswerten Verbesserungen :-(.
Als ich keine weiteren Lösungsansätze hatte, habe ich zum Spaß meinem Kollegen vorgeschlagen, die unsignierte Anwendung zu installieren und siehe da, es liegt tatsächlich an der Prüfung des Zertifikats. Dadurch dass keine Internetverbindung vorhanden war, dauert dieser Prozess (und die anderen) extrem lange. Man kann dies auf einer Testmaschine umgehen, indem man die Prüfung auf gesperrte Zertifikate beim Herausgeber deaktiviert. Auf produktiven Systemen sollte davon allerdings abgesehen werden und stattdessen, eine Internetverbindung installiert werden (siehe auch).
Die Prüfung der Herstellerzertifikats kann wie folgt unterbunden werden (nochmal bitte nur im Testszenario anwenden):
Internet Explorer -> Einstellungen (Symbol) -> Internetoptionen -> Reiter „Erweitert“ -> Unter Sicherheit „Auf gesperrte Zertifikate von Herausgebern überprüfen“ den Haken entfernen (siehe Screenshot).
Im Nachhinein wäre es hilfreich gewesen zu wissen, dass mit großen Zeitabständen mehrfach versucht wird das Zertifikat zu überprüfen (siehe Wireshark-Ausschnitt).
