Am 29. März 2026 ist das Zwischenzertifikat für die Codesignierung bei der 3CX Desktop-App (MSIX) abgelaufen. Seit dem ist die App nicht mehr funktionsfähig – bisher konnte ich noch keine Lösung finden.
Was ist 3CX?
3CX ist ein Softwareentwicklungsunternehmen und Entwickler der gleichnamigen 3CX Telefonanlagen-Software. Es ist ein komplettes Geschäftskommunikationssystems, das Telefonanrufe, Videokonferenzen, Live-Chat, Facebook und die Integration eingehender WhatsApp-Nachrichten umfasst. Das Unternehmen wurde 2005 gegründet, residiert auf Zypern und hat laut Wikipedia ca. 200 Beschäftigte (Stand 2018). Das Unternehmen fällt schon mal durch nicht so "partnerfreundliche" Geschäftsmethoden auf (siehe Links am Artikelende). Meine letzte bewusste Wahrnehmung war im Oktober 2025 über den administratore.de-Artikel 3CX "neues" Geschäftsmodell.
Ein kurzer Leserhinweis auf Facebook
Ein Blog-Leser hat mich letzte Woche auf Facebook in einer privaten Nachricht über ein Problem mit 3CX-Software informiert (danke) und schrieb: "Wir haben Applocker im Einsatz. Durch das abgelaufene Zertifikat sperrt Applocker die App. Neuinstallation ist nicht möglich, weil das Zertifikat der msix Datei abgelaufenen ist." Es ging um die 3CX-App für Windows. Die private Nachricht hat mich erst die Tage erreicht und ist krankheitsbedingt nicht direkt in den Blog eingeflossen.
Das Problem: 3CX-App-Zertifikat ist abgelaufen
Der Blog-Leser hat mich mit "vielleicht ein Beitrag wert…" auf den Beitrag 3CX MSIX App – Expired Code Signing Certificate since 29.03.2026 im 3CX-Forum hingewiesen. Der Thread-Starter beklagt im Post vom 30. März 2026, dass in seinem Unternehmensumfeld ein Problem mit der "3CX Desktop App" (MSIX) auf allen Systemen aufgetreten sei. Das Problem war, dass das MSIX-Paket der All mit einem abgelaufenen Code-Signing-Zertifikat signiert ist. Der Poster hat folgende Eckdaten angegeben:
- Herausgeber: 3CX Ltd
- Aussteller: SSL.com Code Signing Intermediate CA RSA R1
- Gültigkeit: 30.03.2023 – 29.03.2026
Da das Intermediate-Zertifikat für die MSIX-Datei abgelaufen ist, streikt die App und die Nutzer können die 3CX-Telefonfunktionen nicht mehr nutzen. Der Entwickler 3CX hat zwar schnell reagiert und ein neues MSIX-Paket (Version 20.0.1098.0 und ähnliche Builds wie 20.0.1096.0) mit gültigem Zertifikat bereitgestellt, was das Problem aber nicht immer behoben hat.
Ein zweiter Nutzer schrieb dazu, dass man das neue MSIX-Paket (Version 20.0.1098.0) über Microsoft System Center Configuration Manager bereitgestellt habe. Das neue MSIX-Paket aktualisiert jedoch nicht die vorhandene Anwendung (Version 20.0.1076.0). Er bat um Erklärung, warum das Update nicht angewendet wird und fragte, ob er die vorherige Version (20.0.1076.0) vor der Bereitstellung der neuen Version deinstalliert müsse. Zudem wies er darauf hin, dass die 3CX-Anwendung mit der neuen Version vollständig neu konfiguriert werden müsse, was angesichts über 200 Kunden ein erhebliches Problem darstellt.
Ein weiterer Nutzer kommentierte, dass das Herausgeberzertifikat dieses App-Pakets nicht überprüft werden konnte. Der Nutzer solle sich an den Systemadministrator oder den App-Entwickler wenden, um ein neues App-Paket mit verifizierten Zertifikaten zu erhalten. Das Stammzertifikat und alle direkt darunter liegenden Zertifikate der Signatur im App-Paket müssen verifiziert sein (Error 0x800B010A).
Beim Deployment über SCCM, Intune oder GPO muss das alte Paket deinstalliert und dann das neue Paket installiert werden. Ein weiterer Nutzer schrieb zum 31.3.2026, dass die neue MSIX-Version 20.0.1098.0 dazu führte, dass jeder Mitarbeiter seine 3CX-App neu einrichten musste. Am Ende sei die 3CX-App doppelt installiert gewesen. Außerdem musste die alte Version deinstalliert werden. Die Forenbeiträge zeigt über die Woche verteilt Problemmeldungen über eine nicht funktionierende 3CX-App an. Frage: War jemand aus der Leserschaft betroffen? Ist das Problem nun behoben?
Ähnliche Artikel
Die 3CX MySQL-Sicherheitslücke und der Umgang mit Kritik durch den Anbieter
3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023)
Kickt 3CX Partner mit mangelndem Umsatz?
3CX: Update-Zwang für NFR-Lizenz auf Version 20 seit 15.11.2024
Angriffe auf 3CX-Telefonanlagen seit Mitte Mai 2025?
MVP: 2013 – 2016
Ja, das Problem überraschte uns auch letzte Woche. Kurzerhand haben wir die Applocker-Regeln derart relaxed, dass 3CX trotzdem ausgeführt wird. Nicht schön, aber was will man machen – Telefon ist immer noch kritisch.
Mich würde interessieren, wie Ihr AppLocker angepasst habt, da wir das gleiche Problem haben.
ja ich hatte auch einem VDI setup auch am letzten montag 30.03. schnell die 3CX app redeployed weil der applocker die ausführung gesperrt hat.
keine infos online, aber weil halt die ausführung gesperrt wurde und scheinbar weil die app keine parameter hatte sie für den applocker relevant sind, hab ich einfach mal deinstalliert, eine neue msix geholt und wieder installiert, und das hats getan.
mir ist auch aufgefallen dass das Zertifikat anders ist uns die app eine neue ID hat, sprich seine alten appdaten nicht übernehnen konnte
hach gute alte win32 software war so einfach im vergleich…
Die 3CX .MSIX Electron-App ist EOL (https://www.3cx.de/blog/windows-desktop-app-eol/).
Es wird daher absehbar auch keine Rezertifizierung geben. 3CX weisst selbst darauf hin, dass auf die App aus dem Windowsstore oder die PWA ausgewichen werden soll.
Meine Meinung dazu: Wir setzen selbst weiterhin die .MSIX ein und ich denke gar nicht daran, dies zu ändern. In Multisession-Umgebungen sowie hinsichtlich des Bedienkomforts ist die Electron-App ungeschlagen.
(Windowsapp: Optisch und funktional eine Verschlechterung; man kann nicht mal die Schriftgröße ändern. Jetzt bin ich selbst noch 31 Jahre alt, finde es aber selbst zu klein geschrieben – was wollen dann die Kollegen Ü50 dazu sagen?; und zur PWA: Benachrichtigungen kommen verspätet oder nie, wenn Anrufe kommen, und im Multisession werden die PWA-Provisionierungen defaultmäßig nicht im FSLogix-Container des Nutzers mitgespeichert, da müsste ich eine GPO schreiben dafür extra. Und dann weiss ich von vornherein nicht mal, ob es dann überhaupt ordentlich funktioniert im Multisession, so ein Gebastel. Nein danke.)
Viel Erfolg allen Mitstreitern…
Moin, sorry, eben erst gelesen – wir haben die Packaged App Rules von enforced auf Audit gestellt – quasi den Applocker für Windows Apps deaktiviert. Geht im Moment nicht anders…
Kein Problem, Du musst Dich nicht entschuldigen.
Aber schade, den AppLocker möchte ich eigentlich nicht deaktivieren.
Es gibt seit gestern abend eine aktuelle MSIX-Datei, dort sind die Zertifikate von der Laufzeit OK. Lokal lässt sich das jetzt installieren, aber unter Citrix bekomme ich das leider immer noch nicht hin:
Add-AppProvisionedPackage -online -skiplicense -packagepath '.\3CX.msix'
Add-AppProvisionedPackage : Fehler 8007000B: Der Herausgebername für das App-Manifest (CN=3CX Ltd, O=3CX Ltd,
L=Egkomi, C=CY) muss mit dem Antragstellernamen des Signaturzertifikats (CN=3CX LTD, O=3CX LTD, L=Nicosia, C=CY,
SERIALNUMBER=HE 173409, OID.2.5.4.15=Private Organization, OID.1.3.6.1.4.1.311.60.2.1.3=CY) übereinstimmen.
Servus!
Das neue 3CX.MSIX Paket lässt sich bei uns auch nicht installieren.
Da gibt es ein Differenz zwischen der AppManifest.xml und dem Signaturzertifikat der MSIX.
Peinlich für einen Software-Entwickler dass die das nicht auf die Reihe bekommen . . .