Kingstone 10 Geschrieben 6. Mai 2011 Melden Teilen Geschrieben 6. Mai 2011 Hallo Board, wir betreiben eine Windows Server 2003 Domäne mit eigener CA. Unsere Kunden fordern Benutzerzertifikate über die CA-Webseite an. Für die Kunden existiert ein Domänen-Konto, aber kein Computerkonto. Die Anforderung des Zertifikates erfolgt über reines http. Bei den Zertifikaten ist die Archivierung des privaten Schlüssels im Template konfiguriert. Die Zertifikate werden von unseren Admins ausgestellt, die Kunden installieren sich die Zertifikate wieder über die CA-Webseite. Im Notfall werden die Zertifikate auf Anforderung recovert. Das alles läuft jeztz schon drei Jahre problemlos mit Win XP Clients. Win 7 Clients bekommen nun auf der Anforderungsseite folgende Meldung: Beim Erstellen der Zertifikatanforderung ist ein Fehler aufgetreten. Vergewissern Sie sich, dass der Kryptografiedienstabieter Ihre Einstellungen unterstützt, und dass Ihre Eingabe gültige Werte enthält. Mögliche Ursache: Kein Vorschlag. Fehler: 0x800B0112 - (unbekannt) Win 7 Rechner innerhalb der Domäne (als mit Computerkonto) können das Zertifikat problemlos anfordern. Entferne ich das Key-Archival vom Template können auch die externen Win 7 -Clients Anforderungen duchführen. Ist aber ja nicht das, was ich will. Kennt jemand eine Lösung für das Problem? Schöne Grüße Frank Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 6. Mai 2011 Melden Teilen Geschrieben 6. Mai 2011 Hi, durch veränderte Enrollment-DLLs hat sich einiges von XP zu W7 verändert, siehe dazu auch: AD CS: Web Enrollment Ggf. könntest Du Dir für "nicht-Domänenclients" die AD CS Web Services anschauen: What's New in Active Directory Certificate Services (AD CS) in Windows Server 2008 R2 Viele Grüße olc Zitieren Link zu diesem Kommentar
Kingstone 10 Geschrieben 11. Mai 2011 Autor Melden Teilen Geschrieben 11. Mai 2011 Hallo olc, vielen Dank für die Info. Root-ca und Aussteller-ca basieren bei uns auf Windows Server 2003. Für diese Serverreihe hat MS ein Patch bereit gestellt, damit Clients ab VISTA überhaupt in der Lage sind Zertifikateanforderungen durch zu führen. Da das ganze ja auch ohne key archival funktioniert und innherhalb der Domäne auch, vermute ich mittlerweile eher, dass es an Einstellungen innherhalb der Win7 Sicherheitsrichtlinien liegt. Da bin ich aber noch nicht weiter gekommen.... Schöne Grüße Kingstone Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. Mai 2011 Melden Teilen Geschrieben 11. Mai 2011 Hi, wie ich schon schrieb ;), sind einige Dinge schlichtweg nicht mehr unter WIndows 7 verfügbar. Das Update für die 2003er CA rüstet zwar die Grundfunktionalität nach, jedoch nicht jedwede Funktionalität. Ich weiß nicht, ob die Archivierung ebenso darunter fällt, ich würde es anhand Deiner Angaben jedoch vermuten. Versuch einmal den Zugriff vom W7 Client auf die CA mittels MMC anstatt der Webseite. Funktioniert es damit? Viele Grüße olc Zitieren Link zu diesem Kommentar
Kingstone 10 Geschrieben 12. Mai 2011 Autor Melden Teilen Geschrieben 12. Mai 2011 Hi olc, Problem gelöst: mein Kollege hat die Lösung für das Problem in einem Artikel von Joson Zhou gefunden: Certificate issuing Windows 2003 Server - Vista SP1 Problem Mann muss also ab Windows VISTA Root- und Ausstellerzertifikate mittels certutil.exe im System registrieren, um Zertifikate mit Schlüsselwiederherstellung von einer Windows Server 2003 CA beantragen zu können. Wird ein System zu einer Domäne hinzugefügt, wird diese Aktion automatisch durchgeführt. Daher bestand das Problem bei Computern innerhalb der Domäne nicht. Schöne Grüße Frank Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Hi Frank, ok, danke für die Rückmeldung. Das hat Sinn und ist gut zu wissen. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.