Jump to content
Sign in to follow this  
Vinc211

Stammzertifikate in Windows Server 2012 R2 nicht vollständig.

Recommended Posts

Guten Tag,

 

bei einem unserer Windows Server 2012 R2 ist es vorgekommen das ich ein Programm nicht updaten konnte, da sich das Programm die entsprechenden Datein die es noch benötigt nicht per https ziehen konnte, da ein Root Zertfikat gefehlt hat.

Nachdem ich dann das entsprechende Zertfikat in die Vertrauenswürdigen Stammzertifikate importiert hatte ging alles wie geschmiert.

Ich habe dann bei MS nachgeschaut und das "Microsoft Trusted Root Certificate Program" gefunden und gesehen, dass das Zertifikat mit in den Participants steht. Generell ist die liste sehr lang: https://social.technet.microsoft.com/wiki/contents/articles/51151.microsoft-trusted-root-certificate-program-participants-as-of-january-30-2018.aspx

Doch sind bei weitem nicht alle drin. Sollte sowas nicht über Windows Update aktuell gehalten werden? Oder ist es normal das nicht alle Root Zertifikate die in der Liste aufgeführt sind in meinen Vertrauenswürdigen Stammzertifikaten zu finden sind?

 

Auch bei einem frischen Windows Server 2016 oder einem Windows 10 1709 finde ich das Zertifikat nicht obwohl es in der MS Liste steht. (Amazon Root CA 1)

Edited by Vinc211

Share this post


Link to post
Share on other sites
vor 14 Stunden schrieb zahni:

Hat das Gerät Interzugang? Windows lädt diese Root-Zertifikate automatisch herunter.

Internetzugang ist vorhanden, aber die Verbindung zu den Windows Diensten wird untersagt (GPO WSUS).

Werden diese Zertifikate also nur bei Bedarf runtergeladen?

Share this post


Link to post
Share on other sites

Die Stammzertifikate werde schon seit Windows XP  automatisch  aktualisiert. Dort gab  es einen extra Dienst dafür. Bei Windows 10 kann man den nicht mehr abschalten (ich wüsste nicht wie). Abschalten per GPO geht aber sicher weiterhin. Das hat aber mit den WSUS-GPOs nichts zu tun. Wenn Zertifikate automatisch aktualisiert werden, wird ein Event der Quelle  CAPI2 protokolliert.

 

Share this post


Link to post
Share on other sites
vor 2 Minuten schrieb zahni:

Die Stammzertifikate werde schon seit Windows XP  automatisch  aktualisiert. Dort gab  es einen extra Dienst dafür. Bei Windows 10 kann man den nicht mehr abschalten (ich wüsste nicht wie). Abschalten per GPO geht aber sicher weiterhin. Das hat aber mit den WSUS-GPOs nichts zu tun. Wenn Zertifikate automatisch aktualisiert werden, wird ein Event der Quelle  CAPI2 protokolliert.

 

Naja hat schon mit der GPO zu tun, wenn ich den Servern und Clients im Netz untersage mit den Microsoft Diensten zu kommunizieren oder? Der Store etc. geht ja dann auch nicht.

Ansonsten ist nämlich ein Problem vorhanden, dass ich nicht erklären kann. Das wäre schlecht.

Share this post


Link to post
Share on other sites

Aber nicht mit den WSUS-GPOs, so wie  Du  geschrieben hast. Die automatische Zertifikatsaktualisierung konfiguriert man in den Sicherheitseinstellungen. Was die  andere  GPO  bewirkt, weis ich aus dem Kopf nicht.

Kann gut sein, dass die veraltet ist und bei Windows 10 nichts  bewirkt. 

Share this post


Link to post
Share on other sites

Früher gab es mal Offline CA-Updates. Heute ist mir nur die Online-Version bekannt.

Warum darf Windows die CA-Updates nicht dort abrufen?

 

P.S. Der Zugriff auf crl.microsoft.com sollte auch erlaubt sein.

 

Edited by zahni

Share this post


Link to post
Share on other sites
Gerade eben schrieb NorbertFe:

Klar. Root Certificates per GPO an alle verteilen. :P Ist eben manuell.

Ja aber ich habe die Zertifikate ja gar nicht =D Kann ich die "Sammlung" irgendwo runterladen.

Verteilen wäre kein Problem.

Share this post


Link to post
Share on other sites

Ja solche Netzwerke gibt es, die sowas begrenzen und evtl. will man ja auch nicht einfach jedes RootUpdate zulassen. Dann bleibt eben nur der "manuelle" Weg, herauszufinden, welche Root-Zerts man tatsächlich benötigt und diese dann entsprechend an seine Clients zu verteilen. Eine "Wasch mich aber mach nicht naß" Policy gibts an der Stelle eben tatsächlich nicht. :)

vor 1 Minute schrieb Vinc211:

Ja aber ich habe die Zertifikate ja gar nicht =D Kann ich die "Sammlung" irgendwo runterladen.

Verteilen wäre kein Problem.

Nein das Offline Paket gibts afaik nicht mehr. Und wenn du sowieso "pauschal" alles was MS zuläßt an der Stelle zuläßt, dann kannst du auch den Zertifikatsagent die Root-Zerts laden lassen. :neutral2:

Share this post


Link to post
Share on other sites

Du kannst Sie doch von einem "normalen" PC exportieren. beachte aber, dass Du "böse"  CAs selber überwachen  musst.

Share this post


Link to post
Share on other sites

Eben ;) Und wenn man die dann eh "ungesehen" übernimmt, dann kann mans auch gleich automatisch regeln. Vorteil bei GPO Verteilung ist, dass die Dinger auch verschwinden vom PC, wenn man sie aus dem GPO entfernt. :)

Share this post


Link to post
Share on other sites

Okay, hät ja sein können das MS so nett ist und die als Offline Paket bereitstellt. Wenn Sie schon sagen welche Root Certs sie aktuell im "Programm" haben, wäre ein offline updater ja ein einfaches gewesen, aber auch entgegen der MS Politik (always online und so =)

Danke soweit. Thema ist für mich gelöst.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...