ZertifikatsUpdate März - Probleme mit San Zertifikat

[PowerShellAdmin 169]

Moin,

wir haben hier mit dem aktuellen Zertifikatsupdate eine Reihe an Problemen bekommen.

Betroffen ist konkret unser SAN-Zertifikat, dass wir für den Exchange-CAS/Frontend verwenden.

Abhängigkeiten des Internetexplorers  wie z.B. Outlook geben ebenfalls Zertifikatswarnunungen aus, der Firefox hingegen funktioniert z.B. einwandfrei (OWA z.B.).

 

Das San-Zertifikat ist ohne Identität und von der PSW-Group erworben. Als Hauptzertifizierungstelle ist Entrust.Net (Usertrust Netwoork) angegeben.

Andere Zertifikate (keine SAN) machen aber scheinbar keine Probleme. Die Verschlüsselung ist auf 2k gesetzt.

 

Gibts hier eine Sperre des Anbieters ?

 

Ich habe den Verdacht, dass die Zertifizierungsstelle von der vertrauenswürdigen Liste entfernt wurde  - habt ihr hier Tipps ?

 

VG Admin

[Dukel 451]

Ich habe den Verdacht, dass die Zertifizierungsstelle von der vertrauenswürdigen Liste entfernt wurde  - habt ihr hier Tipps ?

 

Nachschauen?

[PowerShellAdmin 169]

Da konnte ich nichts finden, auf den betroffenden Client wird mir das Zertifikat auch gültig angezeigt (Zertifikat testweise mal rüberkopiert -Zertifizierungspfad ist ok), außerdem funktioniert es ja auch im Firefox.

Ich bin mir nicht sicher, aber gab es eine Anpassung an die Sicherheitsrichlinien für SAN-Zertifikate beim IE ?

Es handelt sich um ein Zertifikat ohne Identät und verwendet eine zwischen Zertifizierungsstelle, neben der Stammzertifizierungsstelle.

 

Das Zertifikat gibt nur dort und in Outlook Fehler aus, eine konkrete Fehlermeldung die hilfreich ist, habe ich bis jetzt noch nicht.

 

Anbei die Browser-Fehlermeldung - Rechnerzeit, Gültigkeit des Zertifikats, C-Name => alles korrekt :/

 

 

 

  Es besteht ein Problem mit dem Sicherheitszertifikat der Website.        

Das Sicherheitszertifikat dieser Website ist nicht sicher.

Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.   Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.   Klicken Sie hier, um diese Webseite zu schließen.   Laden dieser Website fortsetzen (nicht empfohlen).     Weitere Informationen

• Wenn Sie zu dieser durch einen Link weitergeleitet wurden, dann überprüfen Sie die Websiteadresse in der Adressleiste, um sicherzustellen, dass dies die erwartete Adresse ist.
• Wenn Sie zu Websites wie https://example.com wechseln, versuchen Sie "www" zu der Adresse hinzuzufügen (https://www.example.com).

Weitere Informationen erhalten Sie unter "Zertifikatfehler" in der Internet Explorer-Hilfe.

bearbeitet 12. März 2014 von PowerShellAdmin

[Sunny61 805]

In http://support.microsoft.com/kb/931125/de wird auf das Problem eingegangen, zwar nur für Server, aber ich hab den FixIt http://support.microsoft.com/kb/2801679 manuell auf einem Testsystem ausgeführt, keine Zertifikatsfehlermeldung mehr.

 

Das aktuelle http://support.microsoft.com/kb/931125/de hab ich auf dem WSUS erst mal zum entfernen genehmigt.

bearbeitet 12. März 2014 von Sunny61

[PowerShellAdmin 169]

Ich habe eben Rückmeldung vom Anbieter bekommoen.

Scheinbar war ein ein übergeordnetes Zertifikat lediglich 1024 Bits verschlüsselt,  anstatt 2048.

https://support.comodo.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=1427&nav=0,128,96,1,29

 

Mir wurde gerade das Zwischenzertifikat auszutauschen - das habe ich ersetzt. Auf dem Client treten aber weiterhin die Probleme auf, auf dem Server hatte ich per MMC das neue Zwischenzertifikat hinzugefügt und das alte gelöscht :/

 

EDIT: Nach einem Neustart funktioniert es scheinbar nun doch wieder ;)

bearbeitet 12. März 2014 von PowerShellAdmin