none
Server bekommt abgelaufene Zertifikate RRS feed

  • Frage

  • Hallo,

    ich habe Domain Mitgliedserver, die von unserer CA ständig zwei Zertifikate erhalten, die abgelaufen sind.
    Beide landen im Bereich Trusted Root Certification Authorities und ich weiß nicht warum.

    Das eine Zertifikat ist das "USERTrust RSA Certification Authority", also ein externes Zertifikat und eines von unsere
    internen PKI CA.

    Wie oder wo muss ich suchen oder ansetzen, damit diese nicht mehr verteilt werden?

    Gruß
    Daniel

    Freitag, 8. Januar 2021 16:04

Alle Antworten

  • Moin,

    Externe PKI = Gruppenrichtlinien. Mach nen GPRESULT, dann siehst Du, welche GPO es war.

    Interne PKI = it depends. Wenn eure CA einmal verlängert wurde, dann wird das ursprüngliche Zertifikat dennoch mit veröffentlicht, halt unterschiedlich versioniert. Das ist nicht schädlich und kann toleriert werden. Aber wenn Du das auch in der GPO findest, sollte das da raus.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 8. Januar 2021 16:41
  • Hallo,
    danke für das schnelle Feedback.

    Bezüglich internem Zertifikat, habe ich mir das auch gedacht. Allerdings stört sich unser
    SCCM Server daran und bemängelt, dass der IIS nicht mehr auf HTTPS Anfragen antwortet, weil
    da schon wieder so ein abgelaufenen CA Zertifikat reingekommen ist.

    Es flattern mir auch ständig UserTRUST Intermediate Zertifikate in die Knoten rein, da weiß ich
    auch noch nicht wie das abstellen kann.


    Freitag, 8. Januar 2021 17:02
  • Moin,

    da musst Du mal schauen, ob in den Trusted Roots Zertifikate stehen, die keine Roots sind, d.h. nicht von sich selbst signiert sind. Das würde das Verhalten im IIS erklären.

    Wenn ein Zertifikat "plötzlich" und immer wieder im Store erscheint, ist es mit ziemlicher Sicherheit eine Gruppenrichtlinie.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 8. Januar 2021 17:20
  • "Wenn ein Zertifikat "plötzlich" und immer wieder im Store erscheint, ist es mit ziemlicher Sicherheit eine Gruppenrichtlinie."

    Stimmt nicht ganz - es gibt auch noch andere Verteilungsmöglichkeiten wie "Enterprise Store", "Windows Root Certificate Program update", Scripts etc.

    Um nachvollziehen zu können woher das Zertifikat genau stammt ist es sinnvoll in der Zertifikats-MMC die Option "View -> Options... -> Show the following: Physical certificate stores" zu aktivieren:

    MMC Cert View Options

    um dann in den jeweiligen Stores suchen zu können, wo genau das Zertifikat herkommt:MMC Cert Store View Options

    Samstag, 9. Januar 2021 10:04
  • Könnte sein, das Lets Encrypt im Einsatz ist und dadurch eben limitierte Zertifikate reinkommen.
    Samstag, 9. Januar 2021 11:57
  • Ein exzellenter Hinweis :-)

    Dennoch: Ich wette ein Bier bei einer nächsten persönlichen Zusammenkunft, dass es aus einer Gruppenrichtlinie kommt.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Samstag, 9. Januar 2021 13:09
  • Kann ich dir ja dann faxen;-).
    Samstag, 9. Januar 2021 15:42
  • Kann ich dir ja dann faxen;-).
    Hmmm. I like faxen :-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Samstag, 9. Januar 2021 19:21
  • Hallo, Schindler, Daniel,

    ist die Thematik abgeklärt?

    Wenn diese Tipps Dir weitergeholfen haben, markiere bitte den entsprechenden Beitrag, der zur Lösung geführt hat, als Antwort. Wenn Du eine andere Lösung gefunden hast, bitte teile sie der Community mit, sodass auch andere Benutzer davon profitieren können.

    Grüße,

    Mihaela

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 21. Januar 2021 12:28
    Moderator