none
Zertifikat von Stammzertifizierungs Stelle lässt sich nich mappen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich versuche gerade ein Cert Mapping Eintrag für ein Zertifikat von einer Stammzertifizierungs Stelle zu erstellen.
    Dafür benutze ich folgendes Kommando in PS:

    New-Item -Path WSMAN:\localhost\ClientCertificate -Credential (Get-Credential) -Subject psttest01 -URI * -Issuer c7b3c4a0dda6a7025757974598349f5b9821f3 -Force

    Doch dann kommt folgende Fehlermeldung:

    New-Item: WinRM kann die Konfigurationsänderung nicht durchführen, da der für die Zertifikatzuordnung
    verwendete Aussteller ungültig ist. Das durch den Ausstellerfingerabdruck identifizierte Zertifikat muss
    im Computerspeicher "Vertrauenswürdige Stammzertifizierungsstellen" oder "Zwischenzertifizierungsstellen"
    vorhanden sein. Das Zertifikat muss über eine Schlüsselverwendung verfügen, die es dem Zertifikat ermöglicht, 
    andere Zertifikate zu signieren.
    In Zeile:1 Zeichen:1
+ New-Item -Path WSMAN:\localhost\ClientCertificate -Credential (Get-Credential) - ...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+CategoryInfo              :NotSpecified: (:) [New-Item], InvalidOperationException
+FullQualifiedErrorId      :System.InvalidOperationException,Microsoft.PowerShell.Commands.NewItemCommand

    Allerdings ist das Zertifikat in "Vertrauenswürdige Stammzertifizierungsstellen". Mit einem selbst signierten Zertifikat welches die gleichen Eigenschaften hat funktioniert es schon. Wo könnte der Fehler liegen ?

    Danke schonmal im Vorraus,

    jofri

    EDIT: Ich habe das Subject zu psttest01 geändert. Es war vorher Falsch


    • Bearbeitet jofri99 Mittwoch, 8. Juni 2016 14:10
    Mittwoch, 8. Juni 2016 07:30
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Haben die Lösung gefunden.  Es lag daran dass das Zertifikat nicht unter Clientauthentifizierungsaussteller vorhanden war. Nachdem man es dort eingefügt hat konnte man es Problemlos mappen.
    Donnerstag, 9. Juni 2016 14:09
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    versuchst Du evtl., das CA-Zertifikat als solches an einen User zu mappen? das geht natürlich nicht, weil Client-Authentifizierung ja kein valider Verwendungszweck für ein CA-Zertifikat ist...

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Mittwoch, 8. Juni 2016 07:34
    |
  • Question
    Anmelden
    0
    Anmelden
    Nein, ich möchte es an den lokalen Computer mappen. Gibt es dafür ein extra Argument? Denn normalerweise habe ich alle Zertifikate (Client und Server-Authentifizierung) über dieses Kommando gemappt. Allerdings waren es bisher immer selbst signierte.
    Mittwoch, 8. Juni 2016 07:55
    |
  • Question
    Anmelden
    1
    Anmelden
    Ob User oder Computer war nicht das, was ich meinte. Hast Du von der CA ein Computer-Zertifikat für diesen Computer ausgestellt und veruchst Du dieses zu mappen oder mappst Du das CA-Zertifikat als Solches? Danach sieht nämlich Dein Befehl so ein Bißchen aus...

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Mittwoch, 8. Juni 2016 08:00
    |
  • Question
    Anmelden
    0
    Anmelden
    Also ich habe 2 Maschinen: PSTTEST01 und PSTTEST02. Für PSTTEST01 wurde das Zertifikat ausgestellt. Ich habe es auf PSTTEST01 installiert und anschließend exportiert. Dann habe ich das exportierte Zertifikat auf dem PSTTEST02 in Vertrauenswürdige Stammzertifizierungsstellen installiert. Dort habe ich dann den Befehl ausgeführt und die Fehelermeldung bekommen.
    Mittwoch, 8. Juni 2016 08:07
    |
  • Question
    Anmelden
    0
    Anmelden
    Du musst das CA-Zertifikat in die Trusted Roots und das Computer-Zertifikat in Personal Certs (des Computers) importieren.

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Mittwoch, 8. Juni 2016 08:27
    |
  • Question
    Anmelden
    1
    Anmelden
    Was meinst du mit Computerzertifikat? Das Exportierte vom CA-Zertifikat? Also das CA-Zertifikat kann ich nur unter Eigene Zertifikate installieren. Hier nochmal 2 Screenshots. Im ersten liegt rechts das Stammzertifikat welches ich dann installiert habe unter Eigene Zertifikate. Im zweiten sieht man dann dass es auch unter Trusted Roots liegt. Die Fehlermeldung bleibt aber...
    Mittwoch, 8. Juni 2016 08:49
    |
  • Question
    Anmelden
    1
    Anmelden
    > Was meinst du mit Computerzertifikat? Das Exportierte vom CA-Zertifikat?
     
    Zertifikate sind immer eine Kette. Ganz oben steht die Root-CA. Deren
    Cert muß in "Vertrauenswürdige Stammzertifizierungsstellen". Root-CAs
    erkennst Du leicht daran, daß "Ausgestellt von" und "Ausgestellt für"
    identisch sind.
     
    Dann kommen ggf. Sub-CAs. Deren Certs müssen in
    "Zwischenzertifizierungsstellen".
     
    >  Ich habe es auf PSTTEST01 installiert und anschließend exportiert. Dann habe ich das exportierte Zertifikat auf dem PSTTEST02 in Vertrauenswürdige Stammzertifizierungsstellen installiert.
     
    Warum willst Du ein Computerzertifikat für PSTTTEST01 auf PSTTEST02 als
    Root-CA installieren?
     > New-Item -Path WSMAN:\localhost\ClientCertificate -Credential
    (Get-Credential) -Subject BWFE-CA2016dev -URI * -Issuer
    c7b3c4a0dda6a7025757974598349f5b9821f3 -Force
     
    BWFE-CA2016dev ist eine CA - das kann niemals das Subject eines
    Client-Zertifikats sein. Ist das Cert dieser CA in
    "Zwischenzertifizierungsstellen"? Oder ist das eine Root-CA und ist es
    dann in "Stammzertifizierungsstellen"? (Laut Screenshot nein...)
     
    Mittwoch, 8. Juni 2016 15:07
    |
  • Question
    Anmelden
    0
    Anmelden
    Haben die Lösung gefunden.  Es lag daran dass das Zertifikat nicht unter Clientauthentifizierungsaussteller vorhanden war. Nachdem man es dort eingefügt hat konnte man es Problemlos mappen.
    Donnerstag, 9. Juni 2016 14:09
    |