Jump to content
Sign in to follow this  
edv-freak

W10 Build1803 im AD Problem mit Zertifikaten

Recommended Posts

Hallo in die Runde,

 

ich habe in der Firma das Problem, das Rechner mit dem neuen Windows 10 Update 1803 keine Computerzertifikate von der internen Windows Zertifizierungsstelle (2012 R2) anfordern können.

Bzw. es sind keine Zertifikatstypen verfügbar. Grund: die Berechtigungen auf die Zertifikatsvorlage lassen es nicht zu das sich der aktuelle Benutzer für diesen Zertifikatstyp einschreibt.

 

Das muss ein Bug sein, da der "Domänencomputer" das Recht zum registrieren hat ? Und andere Windows 10 Rechner mit älteren Build können problemlos Computerzertifikat anfordern..

 

Kann das bitte jemand prüfen, der gleiche oder ähnliche Konstellation hat ?

 

Vielen Dank

 

Frank

 

Share this post


Link to post
Share on other sites

Was möchtest Du denn für Zertifikate  abrufen bzw. wo kann sich  "der aktuelle  Benutzer" nicht  reinschreiben? Wie  willst Du die Zertifikate abrufen?

Computerzertifikate können, wie der Name  schon  sagt, nur  von Computern und nicht  von Benutzern abgerufen werden.

Share this post


Link to post
Share on other sites

Ich habe mich vielleicht ungünstig ausgedrückt.  Alle Windows 10  Rechner mit Build 1803 (egal ob neu installiert oder geupdatet) können keine Computerzertifikate anfordern. Es wird nicht angeboten.

Der Computer soll/muss es ja auch anfordern können. Und das geht halt bei den neuen Win10 nicht.

 

Bei allen anderen Domänen Rechnern (Win7, Win8.1, Win10  mit alten Build) geht's ja auch.

Wir benötigen die Zertifikate für WLAN (802.1X WPA2 Ent) und VPN.

keineAuswahl.jpg

Edited by edv-freak

Share this post


Link to post
Share on other sites

Du willst sie also manuell als Benutzer abrufen? ist die CA schon auf SHA256 umgestellt? 

Kann gut sein, dass 1803 keine SHA1-Zertifikate mag.

Edited by zahni

Share this post


Link to post
Share on other sites

Ja, im Moment manuell als Nutzer. Wollte aber auch zukünftig auf automatisch Registrieren umstellen. Das mache ich aber erst wenn das manuelle wieder klappt :)

Ja die CA habe ich schon im letzten Jahr auf SHA256 umgestellt.

Es betrifft nur die Computerzertifikate, Benutzerzertifikate lassen sich anfordern bzw. werden angeboten (nicht weiter getestet).

Es wäre mal wichtig zu wissen ob jemand anders dieses Problem auch hat.

Oder ob ich was an der CA ändern muss, immerhin habe ich diese seit Server 2008R2. Jetzt ist sie unter 2012R2. Habe auch schon in der Zertifikatsvorlage die Kompatibilitätseinstellungen auf Win8.1 probiert, leider ohne Erfolg.

 

Share this post


Link to post
Share on other sites

Hats Du denn das Zertifikate-Plugin  mit dem "Lokalen Computer" verbunden und die MMC  als  "Administrator" gestartet?

Ich kann das hier  aktuell nicht Test...

Share this post


Link to post
Share on other sites

Hier gibts diese Probleme nicht. Weder mit dem Computerzertifikat für DirectAccess noch mit dem für RDP. Also würde ich nicht von einem grundsätzlichem Problem/Bug ausgehen.

Share this post


Link to post
Share on other sites

@NorbertFe

Läuft deine Windows CA unter 2012R2 oder höher ?

Ich habe mir schon die Zertifikatsvorlagen angeschaut, aber nichts gefunden, warum diese nicht akzeptiert wird. Auch die Standard Computervorlage geht nicht unter dem neuen Build 1803.

 

 

Share this post


Link to post
Share on other sites

Gleiches hier. Hab das Problem auch schon mit 1709 gehabt. Einige Clients werfen zum Geier die PKI CA raus oder akzeptieren die GPO mit dem Zertifikat nicht. Dadurch wird der PKI nicht vertraut. Dadurch keine Computer/Benutzerzertifikate. Dadurch kein WLAN. Rattenschwanz.

 

Auffällig waren insbesondere Clients die mit Win10 RTM oder Win 7 ursprünglich gestartet sind und aktualisiert wurden.

 

 

Share this post


Link to post
Share on other sites

Ist das eine Enterprise CA? Da sollte man das Root CA per Default doch nicht verteilen müssen, da es übers AD doch eh verteilt wird. Insgesamt ist mir persönlich das Problem aber noch nicht untergekommen. Hast du denn mehr Infos gesammelt?

Share this post


Link to post
Share on other sites

@Pfuscher

Also bei uns vertrauen die Win10 Build 1803 Clients (egal ob neu oder geupdatet) unserer CA. Ich kann problemlos Nutzerzertifikate anfordern. Habe auch getestet, ob möglicherweise GPOs die Probleme verursachen könnten. Aber auch das kann ich soweit ausschließen.

Unsere PKI arbeitet mit einer SubCA in der Windows Domäne und die RootCA ist Standalone.  RootCA Zertifikat wird per GPO verteilt, welches ja klappt. Das SubCA Zertifikat wird intern über das AD verteilt. Das klappt ganz normal.

 

@NorbertFe

Läuft deine CA unter 2012R2 oder Server 2016 ?  Wurden deine Zertifikatsvorlagen verändert ?

 

@zahni

Leider findet man nix in den Eventlogs. Es treten ja eigentlich keine Fehler auf...

Share this post


Link to post
Share on other sites
vor 2 Minuten schrieb edv-freak:

Läuft deine CA unter 2012R2 oder Server 2016 ?  Wurden deine Zertifikatsvorlagen verändert ?

Im Moment 2012R2. Natürlich wurden meine Zertifikatsvorlagen geändert. Wer verwendet denn bitteschön freiwillig die Default Templates (evtl. mal von den Domaincontroller Vorlagen abgesehen)? ;)

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...