none
Root Zertifikat über GPO nicht vertrauenswürdig RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    ich habe eine neue PKI erstellt und komme hier leider nicht weiter. Ich vermute einen Bug in Windows 10 oder in Kombination mit einer Windows Server 2016 PKI.

    • 1x Windows Server 2016 Root CA (offline) (CSP: RSA#Microsoft Software Key Storage Provider, Key character length: 4096, Hash algorithm: SHA256)
    • 1x Windows Server 2016 SubCA (in Domäne)
    • Der Public Key des Root Zertifikates wurde über eine Gruppenrichtlinie an die Domänenclients verteilt.
    • Es wurde für eine Test-Seite auf dem IIS ein Zertifikat ausgestellt und eingebunden.

    Zum Fehler:

    • Der Internet Explorer oder Edge auf Windows 10 Clients meint, dass das Root Zertifikat nicht im Speicher der vertrauenswürdigen Stammzertifizierungsstellen befindet. Dies stimmt jedoch definitiv nicht. Das Zertifikat ist dort mit dem gleichen Fingerprint enthalten.

    • Exportiere ich nun dieses "angeblich" fehlende Zertifikat (über MMC - Zertifikate Computer) auf diesem Client, lösche es und importiere es an gleicher Stelle wieder - ist die Zertifikatskette ok und die Seite vertrauenswürdig.
    • Lösche ich es nochmal und mache ein gpupdate /force wird das Zertifikat über die GPO wieder hinzugefügt. Jetzt tritt der Fehler wieder auf. Ich habe auch die GPO neu erstellt - dies ändert aber nichts.

    SSL Status in IE löschen oder zurücksetzen oder Neustart bringt alles nichts. In Chrome funktioniert es und andere Windows 7 Clients oder 2008 R2 Server können auch mit IE zugreifen (diese bekommen das Zertifikat über die gleich GPO)

    Diese Probleme habe ich bisher noch nie mit einer eigenen PKI gehabt und von denen habe ich schon viele eingerichtet

    Ich verstehe es nicht, jemand eine Idee?

    Mittwoch, 21. Februar 2018 09:57
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    wenn die Issuing CAs Enterprise sind, solltest Du die Standalone Root ebenfalls im AD registrieren:

    certutil -dspublish -f RootCA.crt RootCA
certutil -dspublish -f root RootCA.crl

    so dass pkiview.msc die auch mit anzeigt. 

    EDIT: Was steht im Zertifikat der SubCA in der Property "AIA"?

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.


    Mittwoch, 21. Februar 2018 10:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    ldap Pfad auf der Root CA ist bei AIA und CRL entfernt.

    Dafür gibt es einen Pfad zu einem Webserver, welcher die Informationen bereitstellt.

    Sperrliste und Zertifikat sind darüber erfolgreich erreichbar.

    Auf der Root CA (in der Regel ausgeschaltet) ist ein Script, welche diese Informationen beim Einschalten auf dem Webserver aktualisiert.

    Infos aus dem SubCA Cert:

    [1]Stelleninformationszugriff
         Zugriffsmethode=Zertifizierungsstellenaussteller (1.3.6.1.5.5.7.48.2)
         Alternativer Name:
              URL=http://pki.irgendeinedomain.com/CertEnroll/XYZ-ROOTCA.crt

    Gruß Markus

    Mittwoch, 21. Februar 2018 13:30
    |