Fehlerhaftes Code Signing Zertifikat wird weiterhin verteilt

[AleMueAC 0]

Hallo zusammen,

 

ich wurde vor folgendes Problem gestellt und finde bisher einfach keine Lösung, leider noch nicht mal einen ersten Anhaltspunkt. 

Im Unternehmen wurde eine Zertifikatsverteilung für ein selbst geschriebenes Programm vorbereitet. Leider ist es hierbei passiert, das das Zertifikat veröffentlicht wurde, bevor es richtig fertig war. 
Daraufhin wurde das Zertifikat sofort gelöscht und ein neues Erstellt. Dieses wurde dann nur an den PCs installiert, auf denen es auch benötigt wird (von Hand).

Seit dem kommt bei jedem allerdings die Meldung aus dem Screenshot. 
Wer verteilt dieses Zertifikat immer noch? In den Gruppenrichtlinien habe ich schon geschaut, dort gibt es keine Richtlinie die an diesem Tag erstellt oder angepasst wurde, die dieses Zertifikat verteilt. 
Auch PCs die zu dem Zeitpunkt noch gar nicht existierten, bekommen diese Meldung. 

Ich brauche jetzt so langsam mal einen Anhaltspunkt wo ich weiter suchen soll bzw. kann. 

Danke schon mal. 

Gruß

Alexander

[NorbertFe 2.050]

vor 2 Minuten schrieb AleMueAC:

Ich brauche jetzt so langsam mal einen Anhaltspunkt wo ich weiter suchen soll bzw. kann. 

Hat die Vorlage automatisches Enrollment aktiviert?

[AleMueAC 0]

Das kann der Kollege nicht ausschließen. Das ganze ist im April diesen Jahres passiert. Er kann sich nicht mehr genau erinnern. 

[NorbertFe 2.050]

Na dann schau doch mal rein in die Vorlage. 

[AleMueAC 0]

Die alte Vorlage wurde ja daraufhin gelöscht und eine neue erstellt. Die aktuelle hat es definitiv nicht.

 

[cj_berlin 1.323]

Gerade eben schrieb AleMueAC:

Das kann der Kollege nicht ausschließen. Das ganze ist im April diesen Jahres passiert. Er kann sich nicht mehr genau erinnern. 

Nachschauen?  

Moin,

bist Du sicher, dass das der richtige Screenshot ist? Beliebige Benutzer, an diversen PCs angemeldet, erhalten quasi "out of the blue" die Aufforderung, ein Zertifikat anzufordern?

[NorbertFe 2.050]

vor 10 Minuten schrieb AleMueAC:

Das kann der Kollege nicht ausschließen. Das ganze ist im April diesen Jahres passiert. Er kann sich nicht mehr genau erinnern. 

Welche Vorlage wird denn in der Fehlermeldung angezeigt? Die alte oder die neue?

[AleMueAC 0]

Gerade eben schrieb NorbertFe:

Welche Vorlage wird denn in der Fehlermeldung angezeigt? Die alte oder die neue?

Ich gehe davon aus, das es die alte ist. Der Kollege hat damals die alte Vorlage gelöscht und eine neue mit identischem Namen erstellt. 
Bei der neuen hat er aber alles richtig eingetragen und das neue Zertifikat funktioniert auch bei den PCs die es brauchen. Auf den anderen ist scheinbar immer noch das alte, das nach weiteren Informationen fragt. 
Ich finde das Zertifikat aber auch auf den PCs nicht. 
Zudem finde ich nicht, von wo das verteilt wird. Ich kam auch als erstes auf irgendeine GPO in der das eingetragen worden ist oder automatisch eingetragen wurde. 

[NorbertFe 2.050]

Gerade eben schrieb AleMueAC:

Ich finde das Zertifikat aber auch auf den PCs nicht. 

Es ist ja auch keins da. Die PCs sind für das autoenrollment konfiguriert. Das sagt dir auch die Meldung, da fehlt irgendwas bei der automatischen Zertifikatsregistrierung. ;)

[AleMueAC 0]

vor 8 Minuten schrieb NorbertFe:

Es ist ja auch keins da. Die PCs sind für das autoenrollment konfiguriert. Das sagt dir auch die Meldung, da fehlt irgendwas bei der automatischen Zertifikatsregistrierung. ;)

OK, da bin ich dann schon mal ein Problem los.

Aber wer verteilt dann hier? Ist das eine Gruppenrichtlinie die das ganze macht oder läuft das über das AD? Irgendwo muss doch dieses alte Zertifikat noch liegen auf das er sich beim verteilen bezieht.

[NorbertFe 2.050]

Liest du Antworten auch? Es wird kein altes Zertifikat irgendwo liegen. Der PC ist für das automatische Enrollment konfiguriert und die einzige Vorlage die er da hat, der fehlt was. Also wird irgendwas noch nicht so ganz stimmen oder eure PCs sind hinsichtlich des automatischen Enrollments nicht korrekt konfiguriert. Das kann man aber nur mit den paar Infos jetzt nicht rausfinden im Forum

[AleMueAC 0]

Ich konnte das Problem beheben. 
Ich habe im ADSI Editor das Template gefunden. Dort war auch das Datum von damals angegeben. 
In den Einstellungen waren dann die beiden Haken bei "Enroll" und "Auto Enrollment" aktiviert. 
Die beiden Haken habe ich entfernt und ein GPUpdate auf dem Server durchgeführt. 
Nach einem Neustart meines PCs kam die Aufforderung nicht mehr.  

 

Gruß

Alexander

[NorbertFe 2.050]

Wenn das Template noch da war, dann wars ja nicht gelöscht sondern wurde nur nicht mehr ausgestellt. ;)

[AleMueAC 0]

Ich kann in dem Fall leider nur sagen, was der Kollege mir gesagt hat. Bin erst seit Montag im Unternehmen und habe gestern diese Aufgabe bekommen. 
Ich bin jetzt nur froh das es geklappt zu haben scheint und ich das Thema vom Tisch habe.