kleiner-romeo 10 Geschrieben 1. Juni 2016 Melden Teilen Geschrieben 1. Juni 2016 Hallo zusammen,vielleicht kann mir hier jemand Helfen. Ich bin auf der suche nach einem Windows 7 Update das SHA256 Zertifikate erkennt.Hintergrund bzw Problem:Wir haben einen neuen Citrix Netscaler von unserem Dienstleister installiert bekommen und passend zu der neuen URL ein neues SSL Zertifikat bestellt (Telesec also T-Systems, Telekom).Das war natürlich ein SHA256, gibt wohl nichts anderes mehr. Auf der alten URL wo der alte Netscaler läuft ist aber noch ein SHA1 Zertifikat installiert.Jetzt haben wir das Problem das bei einigen Windows 7 Clients die Verbindung mit dem XenDesktop nicht funktioniert, SSL Error 61.Citrix und unser Dienstleister sagen "Ja installiert halt das Zertifikat auf den Betroffenen Clients in die Zwischenzertifizerungsstellen"Haben wir gemacht, ich hab sogar das Telesec Zertifikat im default domain GPO unter Intermediate CA hinterlegt. Das Problem besteht aber immer noch! Komischer weise nicht auf allen PC´s. Mein Gefühl sagt mir das ein Windows Update da mitmischt da neuere Clients kein Problem damit haben. Ich hatte zuerst KB3033929 gegoogelt aber das ist aber auch auf dem Test Laptop der das Zertifikat nicht frisst drauf.Hat jemand von euch noch ideen?Vielen Dank!Lukas Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 1. Juni 2016 Melden Teilen Geschrieben 1. Juni 2016 Das ist eher nicht Dein Problem. SHA256 funktioniert mit Windows 7. Fehlerbeschreibung: http://support.citrix.com/article/CTX101990 Prüfe, ob die Root-CAs aktuell sind. Wenn es nicht per GPO abgeschaltet ist, wird nicht normalerweise automatisch aktualisiert, wenn man eine SSL-Seite im Internet aufruft. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 1. Juni 2016 Melden Teilen Geschrieben 1. Juni 2016 Da ist ein "nicht" Zuviel. ;) Zitieren Link zu diesem Kommentar
kleiner-romeo 10 Geschrieben 1. Juni 2016 Autor Melden Teilen Geschrieben 1. Juni 2016 Das ist eher nicht Dein Problem. SHA256 funktioniert mit Windows 7. Fehlerbeschreibung: http://support.citrix.com/article/CTX101990 Prüfe, ob die Root-CAs aktuell sind. Wenn es nicht per GPO abgeschaltet ist, wird nicht normalerweise automatisch aktualisiert, wenn man eine SSL-Seite im Internet aufruft. Auch in der Root CA hab ich das Telesec Zertifikat. Auf einem Test Client von Hand hinzugefügt. Will immer noch nicht. Da der Client aber schon ne weile offline in der ecke stand sind nicht alle Windows Updates drauf. Während ich einen anderen Client bis zum "ich will jetzt aber Windows 10" geupdatet hab, da gehts. Von daher hab ich halt Windows update im Verdacht. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 1. Juni 2016 Melden Teilen Geschrieben 1. Juni 2016 Du sollst ja auch nicht das Serverzertifikat dort einfügen, sondern die jeweiligen Root Zertifikate (in Root) und die Intermediate Zertifikate (so vorhanden) in die Vertrauenswürdigen Zwischenzertifizierungsstellen. Immer dieses "ich kopier alles überall hin und wunder mich dann" ;) Lies mal hier: http://support.citrix.com/article/CTX101990 es kann also auch an der Key Usage liegen. Bye Norbert Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 1. Juni 2016 Melden Teilen Geschrieben 1. Juni 2016 Ich habe mir mal ein Skript geschrieben, um auf Rechnern SHA1 Zertifikate zu finden, bzw. ein Skript von Microsoft etwas erweitert. https://gallery.technet.microsoft.com/SHA1-Certificate-Signature-22c94da9 Du kannst die main.ps1 einfach starten, dann exportiert er alle Zertifikate des Clients und gibt die wichtigen Daten (z.b. Signature Algorithm) in einer Textdatei aus. Vielleicht kannst du es brauchen blub 04-Sha1Check.zip Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 1. Juni 2016 Melden Teilen Geschrieben 1. Juni 2016 Da ist ein "nicht" Zuviel. Das war bestimmt die Autokorrektur... ;) Zitieren Link zu diesem Kommentar
kleiner-romeo 10 Geschrieben 1. Juni 2016 Autor Melden Teilen Geschrieben 1. Juni 2016 Ich habe mir mal ein Skript geschrieben, um auf Rechnern SHA1 Zertifikate zu finden, bzw. ein Skript von Microsoft etwas erweitert. https://gallery.technet.microsoft.com/SHA1-Certificate-Signature-22c94da9 Du kannst die main.ps1 einfach starten, dann exportiert er alle Zertifikate des Clients und gibt die wichtigen Daten (z.b. Signature Algorithm) in einer Textdatei aus. Vielleicht kannst du es brauchen blub Ich kann da script leider nicht ausführen. Und ich weis auch nicht wie mir das erkennen von SHA1 Zertifikaten bei dem Problem helfen soll. Es geht ja drum das Windows 7 das SHA256 erkennt. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 1. Juni 2016 Melden Teilen Geschrieben 1. Juni 2016 Unser Windows 7 tut es. Du suchst an der falschen Stelle. Wie gesagt: Du musst die passenden Root-Zertifikate installiert haben: https://www.telesec.de/de/public-key-infrastruktur/support/root-zertifikate Siehe meine 1. Antwort. Zitieren Link zu diesem Kommentar
kleiner-romeo 10 Geschrieben 1. Juni 2016 Autor Melden Teilen Geschrieben 1. Juni 2016 Unser Windows 7 tut es. Du suchst an der falschen Stelle. Wie gesagt: Du musst die passenden Root-Zertifikate installiert haben: https://www.telesec.de/de/public-key-infrastruktur/support/root-zertifikate Siehe meine 1. Antwort. Wie anfangs gesagt es gibt Windows 7 Clients da geht es und welche da gehts nicht. Und die Chain scheint ok zu sein: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.