Jump to content

Stammzertifikate in Windows Server 2012 R2 nicht vollständig.


Direkt zur Lösung Gelöst von NorbertFe,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Tag,

 

bei einem unserer Windows Server 2012 R2 ist es vorgekommen das ich ein Programm nicht updaten konnte, da sich das Programm die entsprechenden Datein die es noch benötigt nicht per https ziehen konnte, da ein Root Zertfikat gefehlt hat.

Nachdem ich dann das entsprechende Zertfikat in die Vertrauenswürdigen Stammzertifikate importiert hatte ging alles wie geschmiert.

Ich habe dann bei MS nachgeschaut und das "Microsoft Trusted Root Certificate Program" gefunden und gesehen, dass das Zertifikat mit in den Participants steht. Generell ist die liste sehr lang: https://social.technet.microsoft.com/wiki/contents/articles/51151.microsoft-trusted-root-certificate-program-participants-as-of-january-30-2018.aspx

Doch sind bei weitem nicht alle drin. Sollte sowas nicht über Windows Update aktuell gehalten werden? Oder ist es normal das nicht alle Root Zertifikate die in der Liste aufgeführt sind in meinen Vertrauenswürdigen Stammzertifikaten zu finden sind?

 

Auch bei einem frischen Windows Server 2016 oder einem Windows 10 1709 finde ich das Zertifikat nicht obwohl es in der MS Liste steht. (Amazon Root CA 1)

bearbeitet von Vinc211
Link zu diesem Kommentar

Die Stammzertifikate werde schon seit Windows XP  automatisch  aktualisiert. Dort gab  es einen extra Dienst dafür. Bei Windows 10 kann man den nicht mehr abschalten (ich wüsste nicht wie). Abschalten per GPO geht aber sicher weiterhin. Das hat aber mit den WSUS-GPOs nichts zu tun. Wenn Zertifikate automatisch aktualisiert werden, wird ein Event der Quelle  CAPI2 protokolliert.

 

Link zu diesem Kommentar
vor 2 Minuten schrieb zahni:

Die Stammzertifikate werde schon seit Windows XP  automatisch  aktualisiert. Dort gab  es einen extra Dienst dafür. Bei Windows 10 kann man den nicht mehr abschalten (ich wüsste nicht wie). Abschalten per GPO geht aber sicher weiterhin. Das hat aber mit den WSUS-GPOs nichts zu tun. Wenn Zertifikate automatisch aktualisiert werden, wird ein Event der Quelle  CAPI2 protokolliert.

 

Naja hat schon mit der GPO zu tun, wenn ich den Servern und Clients im Netz untersage mit den Microsoft Diensten zu kommunizieren oder? Der Store etc. geht ja dann auch nicht.

Ansonsten ist nämlich ein Problem vorhanden, dass ich nicht erklären kann. Das wäre schlecht.

Link zu diesem Kommentar
  • Beste Lösung

Ja solche Netzwerke gibt es, die sowas begrenzen und evtl. will man ja auch nicht einfach jedes RootUpdate zulassen. Dann bleibt eben nur der "manuelle" Weg, herauszufinden, welche Root-Zerts man tatsächlich benötigt und diese dann entsprechend an seine Clients zu verteilen. Eine "Wasch mich aber mach nicht naß" Policy gibts an der Stelle eben tatsächlich nicht. :)

vor 1 Minute schrieb Vinc211:

Ja aber ich habe die Zertifikate ja gar nicht =D Kann ich die "Sammlung" irgendwo runterladen.

Verteilen wäre kein Problem.

Nein das Offline Paket gibts afaik nicht mehr. Und wenn du sowieso "pauschal" alles was MS zuläßt an der Stelle zuläßt, dann kannst du auch den Zertifikatsagent die Root-Zerts laden lassen. :neutral2:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...