Kingstone

Hi olc, Problem gelöst: mein Kollege hat die Lösung für das Problem in einem Artikel von Joson Zhou gefunden: Certificate issuing Windows 2003 Server - Vista SP1 Problem Mann muss also ab Windows VISTA Root- und Ausstellerzertifikate mittels certutil.exe im System registrieren, um Zertifikate mit Schlüsselwiederherstellung von einer Windows Server 2003 CA beantragen zu können. Wird ein System zu einer Domäne hinzugefügt, wird diese Aktion automatisch durchgeführt. Daher bestand das Problem bei Computern innerhalb der Domäne nicht. Schöne Grüße Frank

Hallo olc, vielen Dank für die Info. Root-ca und Aussteller-ca basieren bei uns auf Windows Server 2003. Für diese Serverreihe hat MS ein Patch bereit gestellt, damit Clients ab VISTA überhaupt in der Lage sind Zertifikateanforderungen durch zu führen. Da das ganze ja auch ohne key archival funktioniert und innherhalb der Domäne auch, vermute ich mittlerweile eher, dass es an Einstellungen innherhalb der Win7 Sicherheitsrichtlinien liegt. Da bin ich aber noch nicht weiter gekommen.... Schöne Grüße Kingstone

Hallo Board, wir betreiben eine Windows Server 2003 Domäne mit eigener CA. Unsere Kunden fordern Benutzerzertifikate über die CA-Webseite an. Für die Kunden existiert ein Domänen-Konto, aber kein Computerkonto. Die Anforderung des Zertifikates erfolgt über reines http. Bei den Zertifikaten ist die Archivierung des privaten Schlüssels im Template konfiguriert. Die Zertifikate werden von unseren Admins ausgestellt, die Kunden installieren sich die Zertifikate wieder über die CA-Webseite. Im Notfall werden die Zertifikate auf Anforderung recovert. Das alles läuft jeztz schon drei Jahre problemlos mit Win XP Clients. Win 7 Clients bekommen nun auf der Anforderungsseite folgende Meldung: Beim Erstellen der Zertifikatanforderung ist ein Fehler aufgetreten. Vergewissern Sie sich, dass der Kryptografiedienstabieter Ihre Einstellungen unterstützt, und dass Ihre Eingabe gültige Werte enthält. Mögliche Ursache: Kein Vorschlag. Fehler: 0x800B0112 - (unbekannt) Win 7 Rechner innerhalb der Domäne (als mit Computerkonto) können das Zertifikat problemlos anfordern. Entferne ich das Key-Archival vom Template können auch die externen Win 7 -Clients Anforderungen duchführen. Ist aber ja nicht das, was ich will. Kennt jemand eine Lösung für das Problem? Schöne Grüße Frank