Zertifikate für Win 10 Clients. CTL und CRL aktualisieren
Frage
-
Hallo,
bei uns haben Win 10 Clients immer wieder Probleme mit abgelaufenen Zertifikaten. So werden dann Websites nicht mehr korrekt aufgerufen. Die Zertifikate werden dann immer manuell nachinstalliert. Einmal eine grundsätzliche Frage: Werden Zertifikate bzw die CTL/CRL Listen für Windows 10 Clients automatisch über die monatlichen Windows Updates aktualisiert oder geschieht das separat über den Kontakt zu Microsoft über:
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
Proxy und Firewall lassen den Zugriff auf diese URL´s zu. Die Ursache warum es nicht korrekt funktioniert, scheint das Einspielen der BSI Policy zu sein. Dies wurde zur Vereinfachung getan, um nicht selbst Hand anlegen zu müssen. Im Nachhinein stellt sich heraus, dass es mehr Arbeit macht, weil die BSI Policy sehr rigoros Dinge blockiert, die anschließend wieder freigegeben werden müssen.In den GPO´s ist mir nun folgendes aufgefallen, was die Ursache zu sein scheint. Sind das die einzigen Policies, die verändert werden müssen, damit es wieder funktioniert ? Muss an anderer Stelle noch ein aktiv eingegriffen werden ?
Abgebildet sind die Settings der BSI Policy:
Computer Configuration\Policies\Administrative Templates\System\Internet Communication Management\Internet Communication Settings
Computer Configuration\Policies\Windows Settings\Security Settings\
