Jump to content

Update für SHA256 Zertifikate?

kleiner-romeo

Von kleiner-romeo
in Windows 7 Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

kleiner-romeo Enthusiast

kleiner-romeo   10

Geschrieben
Geschrieben
Hallo zusammen,

vielleicht kann mir hier jemand Helfen. Ich bin auf der suche nach einem Windows 7 Update das SHA256 Zertifikate erkennt.

Hintergrund bzw Problem:

Wir haben einen neuen Citrix Netscaler von unserem Dienstleister installiert bekommen und passend zu der neuen URL ein neues SSL Zertifikat bestellt (Telesec also T-Systems, Telekom).
Das war natürlich ein SHA256, gibt wohl nichts anderes mehr. Auf der alten URL wo der alte Netscaler läuft ist aber noch ein SHA1 Zertifikat installiert.

Jetzt haben wir das Problem das bei einigen Windows 7 Clients die Verbindung mit dem XenDesktop nicht funktioniert, SSL Error 61.

Citrix und unser Dienstleister sagen "Ja installiert halt das Zertifikat auf den Betroffenen Clients in die Zwischenzertifizerungsstellen"

Haben wir gemacht, ich hab sogar das Telesec Zertifikat im default domain GPO unter Intermediate CA hinterlegt. Das Problem besteht aber immer noch! 
Komischer weise nicht auf allen PC´s. Mein Gefühl sagt mir das ein Windows Update da mitmischt da neuere Clients kein Problem damit haben. 
Ich hatte zuerst KB3033929 gegoogelt aber das ist aber auch auf dem Test Laptop der das Zertifikat nicht frisst drauf.


Hat jemand von euch noch ideen?

Vielen Dank!
Lukas
 
Link zu diesem Kommentar
kleiner-romeo Enthusiast

kleiner-romeo   10

Geschrieben
  • Autor
Geschrieben

Das ist eher nicht Dein Problem. SHA256 funktioniert mit Windows 7.

Fehlerbeschreibung: http://support.citrix.com/article/CTX101990

 

Prüfe, ob die Root-CAs aktuell sind. Wenn es nicht per GPO abgeschaltet ist, wird nicht normalerweise automatisch aktualisiert, wenn man eine SSL-Seite im Internet aufruft.

 

Auch in der Root CA hab ich das Telesec Zertifikat. Auf einem Test Client von Hand hinzugefügt. Will immer noch nicht. Da der Client aber schon ne weile offline in der ecke stand sind nicht alle Windows Updates drauf. Während ich einen anderen Client bis zum "ich will jetzt aber Windows 10" geupdatet hab, da gehts.

Von daher hab ich halt Windows update im Verdacht.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.027

Geschrieben
Geschrieben

Du sollst ja auch nicht das Serverzertifikat dort einfügen, sondern die jeweiligen Root Zertifikate (in Root) und die Intermediate Zertifikate (so vorhanden) in die Vertrauenswürdigen Zwischenzertifizierungsstellen. Immer dieses "ich kopier alles überall hin und wunder mich dann" ;)

 

Lies mal hier: http://support.citrix.com/article/CTX101990 es kann also auch an der Key Usage liegen.

 

Bye

Norbert

Link zu diesem Kommentar
blub Grand Master

blub   115

Geschrieben
Geschrieben

Ich habe mir mal ein Skript geschrieben, um auf Rechnern SHA1 Zertifikate zu finden, bzw. ein Skript von Microsoft etwas erweitert.

https://gallery.technet.microsoft.com/SHA1-Certificate-Signature-22c94da9

 

Du kannst die main.ps1 einfach starten, dann exportiert er alle Zertifikate des Clients und gibt die wichtigen Daten (z.b. Signature Algorithm) in einer Textdatei aus.

 

Vielleicht kannst du es brauchen

 

blub

 

 

 

04-Sha1Check.zip

Link zu diesem Kommentar
kleiner-romeo Enthusiast

kleiner-romeo   10

Geschrieben
  • Autor
Geschrieben

Ich habe mir mal ein Skript geschrieben, um auf Rechnern SHA1 Zertifikate zu finden, bzw. ein Skript von Microsoft etwas erweitert.

https://gallery.technet.microsoft.com/SHA1-Certificate-Signature-22c94da9

 

Du kannst die main.ps1 einfach starten, dann exportiert er alle Zertifikate des Clients und gibt die wichtigen Daten (z.b. Signature Algorithm) in einer Textdatei aus.

 

Vielleicht kannst du es brauchen

 

blub

 

Ich kann da script leider nicht ausführen. Und ich weis auch nicht wie mir das erkennen von SHA1 Zertifikaten bei dem Problem helfen soll. Es geht ja drum das Windows 7 das SHA256 erkennt.

Link zu diesem Kommentar
kleiner-romeo Enthusiast

kleiner-romeo   10

Geschrieben
  • Autor
Geschrieben

Unser Windows 7  tut es. Du  suchst an der falschen Stelle.

Wie gesagt: Du musst die passenden Root-Zertifikate installiert haben:

 

https://www.telesec.de/de/public-key-infrastruktur/support/root-zertifikate

 

Siehe meine 1. Antwort.

 

Wie anfangs gesagt es gibt Windows 7 Clients da geht es und welche da gehts nicht.

Und die Chain scheint ok zu sein:

4f4e68-1464783844.jpg

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...