Jump to content

Stammzertifikate in Windows Server 2012 R2 nicht vollständig.

Vinc211

Von Vinc211
in Windows Server Forum

Direkt zur Lösung Gelöst von NorbertFe,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Vinc211 Rising Star

Vinc211   1

Geschrieben
Geschrieben (bearbeitet)

Guten Tag,

 

bei einem unserer Windows Server 2012 R2 ist es vorgekommen das ich ein Programm nicht updaten konnte, da sich das Programm die entsprechenden Datein die es noch benötigt nicht per https ziehen konnte, da ein Root Zertfikat gefehlt hat.

Nachdem ich dann das entsprechende Zertfikat in die Vertrauenswürdigen Stammzertifikate importiert hatte ging alles wie geschmiert.

Ich habe dann bei MS nachgeschaut und das "Microsoft Trusted Root Certificate Program" gefunden und gesehen, dass das Zertifikat mit in den Participants steht. Generell ist die liste sehr lang: https://social.technet.microsoft.com/wiki/contents/articles/51151.microsoft-trusted-root-certificate-program-participants-as-of-january-30-2018.aspx

Doch sind bei weitem nicht alle drin. Sollte sowas nicht über Windows Update aktuell gehalten werden? Oder ist es normal das nicht alle Root Zertifikate die in der Liste aufgeführt sind in meinen Vertrauenswürdigen Stammzertifikaten zu finden sind?

 

Auch bei einem frischen Windows Server 2016 oder einem Windows 10 1709 finde ich das Zertifikat nicht obwohl es in der MS Liste steht. (Amazon Root CA 1)

bearbeitet von Vinc211
Vinc211 Rising Star

Vinc211   1

Geschrieben
  • Autor
Geschrieben
vor 14 Stunden schrieb zahni:

Hat das Gerät Interzugang? Windows lädt diese Root-Zertifikate automatisch herunter.

Internetzugang ist vorhanden, aber die Verbindung zu den Windows Diensten wird untersagt (GPO WSUS).

Werden diese Zertifikate also nur bei Bedarf runtergeladen?

zahni Grand Master

zahni   569

Geschrieben
Geschrieben

Die Stammzertifikate werde schon seit Windows XP  automatisch  aktualisiert. Dort gab  es einen extra Dienst dafür. Bei Windows 10 kann man den nicht mehr abschalten (ich wüsste nicht wie). Abschalten per GPO geht aber sicher weiterhin. Das hat aber mit den WSUS-GPOs nichts zu tun. Wenn Zertifikate automatisch aktualisiert werden, wird ein Event der Quelle  CAPI2 protokolliert.

 

Vinc211 Rising Star

Vinc211   1

Geschrieben
  • Autor
Geschrieben
vor 2 Minuten schrieb zahni:

Die Stammzertifikate werde schon seit Windows XP  automatisch  aktualisiert. Dort gab  es einen extra Dienst dafür. Bei Windows 10 kann man den nicht mehr abschalten (ich wüsste nicht wie). Abschalten per GPO geht aber sicher weiterhin. Das hat aber mit den WSUS-GPOs nichts zu tun. Wenn Zertifikate automatisch aktualisiert werden, wird ein Event der Quelle  CAPI2 protokolliert.

 

Naja hat schon mit der GPO zu tun, wenn ich den Servern und Clients im Netz untersage mit den Microsoft Diensten zu kommunizieren oder? Der Store etc. geht ja dann auch nicht.

Ansonsten ist nämlich ein Problem vorhanden, dass ich nicht erklären kann. Das wäre schlecht.

zahni Grand Master

zahni   569

Geschrieben
Geschrieben

Aber nicht mit den WSUS-GPOs, so wie  Du  geschrieben hast. Die automatische Zertifikatsaktualisierung konfiguriert man in den Sicherheitseinstellungen. Was die  andere  GPO  bewirkt, weis ich aus dem Kopf nicht.

Kann gut sein, dass die veraltet ist und bei Windows 10 nichts  bewirkt. 

zahni Grand Master

zahni   569

Geschrieben
Geschrieben (bearbeitet)

Früher gab es mal Offline CA-Updates. Heute ist mir nur die Online-Version bekannt.

Warum darf Windows die CA-Updates nicht dort abrufen?

 

P.S. Der Zugriff auf crl.microsoft.com sollte auch erlaubt sein.

 

bearbeitet von zahni
  • Beste Lösung
NorbertFe Grand Master

NorbertFe   2.157

Geschrieben
  • Beste Lösung
Geschrieben

Ja solche Netzwerke gibt es, die sowas begrenzen und evtl. will man ja auch nicht einfach jedes RootUpdate zulassen. Dann bleibt eben nur der "manuelle" Weg, herauszufinden, welche Root-Zerts man tatsächlich benötigt und diese dann entsprechend an seine Clients zu verteilen. Eine "Wasch mich aber mach nicht naß" Policy gibts an der Stelle eben tatsächlich nicht. :)

vor 1 Minute schrieb Vinc211:

Ja aber ich habe die Zertifikate ja gar nicht =D Kann ich die "Sammlung" irgendwo runterladen.

Verteilen wäre kein Problem.

Nein das Offline Paket gibts afaik nicht mehr. Und wenn du sowieso "pauschal" alles was MS zuläßt an der Stelle zuläßt, dann kannst du auch den Zertifikatsagent die Root-Zerts laden lassen. :neutral2:

Vinc211 Rising Star

Vinc211   1

Geschrieben
  • Autor
Geschrieben

Okay, hät ja sein können das MS so nett ist und die als Offline Paket bereitstellt. Wenn Sie schon sagen welche Root Certs sie aktuell im "Programm" haben, wäre ein offline updater ja ein einfaches gewesen, aber auch entgegen der MS Politik (always online und so =)

Danke soweit. Thema ist für mich gelöst.

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...