Jump to content
edv-freak

W10 Build1803 im AD Problem mit Zertifikaten

Empfohlene Beiträge

Hallo in die Runde,

 

ich habe in der Firma das Problem, das Rechner mit dem neuen Windows 10 Update 1803 keine Computerzertifikate von der internen Windows Zertifizierungsstelle (2012 R2) anfordern können.

Bzw. es sind keine Zertifikatstypen verfügbar. Grund: die Berechtigungen auf die Zertifikatsvorlage lassen es nicht zu das sich der aktuelle Benutzer für diesen Zertifikatstyp einschreibt.

 

Das muss ein Bug sein, da der "Domänencomputer" das Recht zum registrieren hat ? Und andere Windows 10 Rechner mit älteren Build können problemlos Computerzertifikat anfordern..

 

Kann das bitte jemand prüfen, der gleiche oder ähnliche Konstellation hat ?

 

Vielen Dank

 

Frank

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Was möchtest Du denn für Zertifikate  abrufen bzw. wo kann sich  "der aktuelle  Benutzer" nicht  reinschreiben? Wie  willst Du die Zertifikate abrufen?

Computerzertifikate können, wie der Name  schon  sagt, nur  von Computern und nicht  von Benutzern abgerufen werden.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich habe mich vielleicht ungünstig ausgedrückt.  Alle Windows 10  Rechner mit Build 1803 (egal ob neu installiert oder geupdatet) können keine Computerzertifikate anfordern. Es wird nicht angeboten.

Der Computer soll/muss es ja auch anfordern können. Und das geht halt bei den neuen Win10 nicht.

 

Bei allen anderen Domänen Rechnern (Win7, Win8.1, Win10  mit alten Build) geht's ja auch.

Wir benötigen die Zertifikate für WLAN (802.1X WPA2 Ent) und VPN.

keineAuswahl.jpg

bearbeitet von edv-freak

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du willst sie also manuell als Benutzer abrufen? ist die CA schon auf SHA256 umgestellt? 

Kann gut sein, dass 1803 keine SHA1-Zertifikate mag.

bearbeitet von zahni

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ja, im Moment manuell als Nutzer. Wollte aber auch zukünftig auf automatisch Registrieren umstellen. Das mache ich aber erst wenn das manuelle wieder klappt :)

Ja die CA habe ich schon im letzten Jahr auf SHA256 umgestellt.

Es betrifft nur die Computerzertifikate, Benutzerzertifikate lassen sich anfordern bzw. werden angeboten (nicht weiter getestet).

Es wäre mal wichtig zu wissen ob jemand anders dieses Problem auch hat.

Oder ob ich was an der CA ändern muss, immerhin habe ich diese seit Server 2008R2. Jetzt ist sie unter 2012R2. Habe auch schon in der Zertifikatsvorlage die Kompatibilitätseinstellungen auf Win8.1 probiert, leider ohne Erfolg.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hats Du denn das Zertifikate-Plugin  mit dem "Lokalen Computer" verbunden und die MMC  als  "Administrator" gestartet?

Ich kann das hier  aktuell nicht Test...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hier gibts diese Probleme nicht. Weder mit dem Computerzertifikat für DirectAccess noch mit dem für RDP. Also würde ich nicht von einem grundsätzlichem Problem/Bug ausgehen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@NorbertFe

Läuft deine Windows CA unter 2012R2 oder höher ?

Ich habe mir schon die Zertifikatsvorlagen angeschaut, aber nichts gefunden, warum diese nicht akzeptiert wird. Auch die Standard Computervorlage geht nicht unter dem neuen Build 1803.

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Gleiches hier. Hab das Problem auch schon mit 1709 gehabt. Einige Clients werfen zum Geier die PKI CA raus oder akzeptieren die GPO mit dem Zertifikat nicht. Dadurch wird der PKI nicht vertraut. Dadurch keine Computer/Benutzerzertifikate. Dadurch kein WLAN. Rattenschwanz.

 

Auffällig waren insbesondere Clients die mit Win10 RTM oder Win 7 ursprünglich gestartet sind und aktualisiert wurden.

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ist das eine Enterprise CA? Da sollte man das Root CA per Default doch nicht verteilen müssen, da es übers AD doch eh verteilt wird. Insgesamt ist mir persönlich das Problem aber noch nicht untergekommen. Hast du denn mehr Infos gesammelt?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Pfuscher

Also bei uns vertrauen die Win10 Build 1803 Clients (egal ob neu oder geupdatet) unserer CA. Ich kann problemlos Nutzerzertifikate anfordern. Habe auch getestet, ob möglicherweise GPOs die Probleme verursachen könnten. Aber auch das kann ich soweit ausschließen.

Unsere PKI arbeitet mit einer SubCA in der Windows Domäne und die RootCA ist Standalone.  RootCA Zertifikat wird per GPO verteilt, welches ja klappt. Das SubCA Zertifikat wird intern über das AD verteilt. Das klappt ganz normal.

 

@NorbertFe

Läuft deine CA unter 2012R2 oder Server 2016 ?  Wurden deine Zertifikatsvorlagen verändert ?

 

@zahni

Leider findet man nix in den Eventlogs. Es treten ja eigentlich keine Fehler auf...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Minuten schrieb edv-freak:

Läuft deine CA unter 2012R2 oder Server 2016 ?  Wurden deine Zertifikatsvorlagen verändert ?

Im Moment 2012R2. Natürlich wurden meine Zertifikatsvorlagen geändert. Wer verwendet denn bitteschön freiwillig die Default Templates (evtl. mal von den Domaincontroller Vorlagen abgesehen)? ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×