Jump to content

Unterschiedliches Verhalten eines Zertifikats

Dabinam

Von Dabinam
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Dabinam Fellow

Dabinam   1

Geschrieben
Geschrieben

Hallo,

ich verteile per Gruppenrichtlinien ein Proxy Zertifikat an alle Clients (Win10).

Das Zertifikat ist auch an der richtigen Stelle (Vertrauenswürdige Stammzertifizierungsstellen) in der MMC unter dem Computerkonto zu finden. Mache ich im Browser eine Webseite (https) auf, ist alles ok. Das Zertifikat für meinen Proxy (wegen HTTPS-Scan) beanstandet nichts.
Öffne ich aber eine  Link zur selben Webseite, welcher z.B. in einem Word Dokument hinterlegt ist, erschein eine Sicherheitswarnung „Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie nicht als Vertrauenswürdig eingestuft haben. …“

Lösche ich nun das Zertifikat über die MMC aus dem Speicher Vertrauenswürdige Stammzertifizierungsstellen und importiere (über MMC) das gleiche Zertifikat manuell, erscheint beim Öffnen (über Link in z.B. Word) einer HTTPS-Seite keine Fehlermeldung.

Kurz zusammengefasst: Das gleiche Zertifikat über GPO verteilt verhält sich anders, als wenn ich es manuell über die MMC importiere.

Hat jemand eine Idee woran das liegen könnte?

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.968

Geschrieben
Geschrieben

Moin,

 

ein Zertifikat "verhält" sich nicht, weil es kein aktiver Code ist. 

 

Typischerweise liegen solche Phänomene daran, dass der automatische Import des Zertifikats nicht korrekt war. Du sprichst davon, dass du es als Stammzertifikat importierst. Ist es wirklich ein solches oder ist es ein abgeleitetes Zertifikat? Beim manuellen Import ist es oft so, dass man "stillschweigend" die ganze Zertifikatskette importiert, was beim GPO-Import so nicht der Fall ist.

 

Gruß, Nils

 

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.968

Geschrieben
Geschrieben

Moin,

 

nein, Office dürfte an der Stelle nicht zu den Sonderfällen gehören. Gemeint ist hier sowas wie Firefox oder Thunderbird, die nicht den Zertifikats-Store des Betriebssystems verwenden. Dann würde es aber weder per GPO noch "manuell" gehen, sondern man müsste das Zertifikat eben innerhalb der Applikation einbinden.

 

Auf die Schnelle kann ich auch grad nicht sagen, woran es scheitert. Nur ein Detail noch: Ein Zertifikat wird nicht dadurch ein Root-Zertifikat, dass es im Store an einer bestimmten Stelle liegt. Ein Root-Zertifikat ist von selbst ein solches, weil es von keinem anderen Zertifikat abgeleitet ist. Das kannst du dir in den Eigenschaften des Zertifikats im Register "Zertifizierungspfad" ansehen.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...