Adobe Reader meckert Zertifikat an

Mitglied: emeriks
Hi,
bei uns meckert der Adobe Reader neuerdings unsere Zertifikate an, wenn wir damit in Dokumenten unterschreiben wollen. Angeblich wären diese ungültig.
Entweder bin ich unfähig oder ich finde wirklich keine passenden Hinweise im Web, wenn ich nach der im Screenshot gekennzeichneten Meldung suche.

Adobe Reader DC Version 2020.009.20063

Kann jemand helfen?

E.

Edit:
Die Zertifikate der Stamm- und Zwischenzertifizierungsstellen sind am Client importiert. Windows zeigt die Zertifikate als gültig an.
2021-03-18 17_15_12-zertifikatanzeige

Content-Key: 664425

Url: https://administrator.de/contentid/664425

Ausgedruckt am: 25.07.2021 um 10:07 Uhr

Mitglied: 147669
147669 18.03.2021 aktualisiert um 17:37:13 Uhr
Goto Top
Zeig mal den Reiter "Richtlinien" und die Zertifikats-Details (OIDs etc), die Meldung sagt normalerweise aus das die Policy diesen Vorgang einschränkt
Previously valid signing certificate shows invalid policy constraint in DC 2019

Gruß SK
Mitglied: DerWoWusste
DerWoWusste 18.03.2021 aktualisiert um 22:11:29 Uhr
Goto Top
Nebenbei: die Readerversion ist aktuell ca. 5 Updates weiter. Vielleicht ein Bug in Verbindung mit der Windows-Version. 20H1/H2 verhalten sich beim digitalen Signieren im DC etwas anders als Vorgänger.
Mitglied: ukulele-7
ukulele-7 19.03.2021 um 08:13:18 Uhr
Goto Top
Aktualisiere mal die Trust-Listen im Adobe Reader, z.B.:
Bearbeiten => Einstellungen... => Berechtigungen => Automatische Updates für European Union Trusted Lists (EUTL) => Jetzt aktualisieren
Mitglied: emeriks
emeriks 19.03.2021 um 10:21:43 Uhr
Goto Top
Zitat von @147669:
Zeig mal den Reiter "Richtlinien" und die Zertifikats-Details (OIDs etc)
2021-03-19 10_20_11-window
2021-03-19 10_20_49-window
Mitglied: emeriks
emeriks 19.03.2021 um 10:26:13 Uhr
Goto Top
Zitat von @ukulele-7:
Aktualisiere mal die Trust-Listen im Adobe Reader, z.B.:

2021-03-19 10_24_03-window

Was heißt das jetzt?
Sollte der Reader nicht auch den Zertifikatsspeicher von Windows verwenden?
Mitglied: emeriks
emeriks 19.03.2021 um 10:28:11 Uhr
Goto Top
Zitat von @ukulele-7:
Aktualisiere mal die Trust-Listen im Adobe Reader, z.B.:
Bearbeiten => Einstellungen... => Berechtigungen => Automatische Updates für European Union Trusted Lists (EUTL) => Jetzt aktualisieren

An einem anderen Client hat das funktioniert, aber nichts geändert.
Mitglied: emeriks
emeriks 19.03.2021 um 10:40:14 Uhr
Goto Top
Zitat von @DerWoWusste:
Nebenbei: die Readerversion ist aktuell ca. 5 Updates weiter. Vielleicht ein Bug in Verbindung mit der Windows-Version. 20H1/H2 verhalten sich beim digitalen Signieren im DC etwas anders als Vorgänger.
Das hat leider auch nichts gebracht. Ich habe soeben auf die aktuellste Version (2021.001.20145) aktualisiert - selbes Ergebnis.
Mitglied: emeriks
emeriks 19.03.2021 aktualisiert um 10:45:16 Uhr
Goto Top
Update:
Es muss irgendwie doch am Zertifikat liegen.
Habe soeben mit einem Zertifikat aus unserer internen Windows CA getestet. Da meckert er nichts an.

Ich habe gestern irgendwo einen Hinweis gelesen, dass der Reader auch die Sperrliste laden können müsse. Bei unsere internen Zertifikaten ist das kein Problem, weil alles intern.
Bei dem o.g. Zertifikat von DigiCert müsste er das über Internet laden. Der Client kommt aber nur über Proxy ins Internet. Könnte das das Problem sein?
Mitglied: 147669
147669 19.03.2021 aktualisiert um 11:32:44 Uhr
Goto Top
Ich habe gestern irgendwo einen Hinweis gelesen, dass der Reader auch die Sperrliste laden können müsse.
Das sollte man generell sicherstellen, wenn Sperrlisten in Zertifikaten vorhanden sind.
Bei dem o.g. Zertifikat von DigiCert müsste er das über Internet laden. Der Client kommt aber nur über Proxy ins Internet. Könnte das das Problem sein?
Möglich.
Mitglied: ukulele-7
ukulele-7 19.03.2021 aktualisiert um 11:51:14 Uhr
Goto Top
Also Zetifikate sind mir auch ein Grauß aber ich musste neulich das ganze wegen Signaturpads nachvollziehen. Es wird auf jeden Fall das CA-Zertifikat geprüft und für Adobe ist das nur (so richtig) vertrauenswürdig wenn das auf der AATL oder der EUTL steht. Wenn nicht dann kann Windows dem Zertifikat vertrauen wie es will, Adobe tut das nicht weil der Aussteller ja unbekannt ist.

Hast du auch die AATL aktualisiert? Steht deine CA auf einer dieser Listen?
Mitglied: DerWoWusste
DerWoWusste 19.03.2021 um 13:02:08 Uhr
Goto Top
Hast Du nach dem Update des Readers auch getestet, nun mit dem selben Digicert Zert. neu zu unterschreiben, oder hast Du lediglich das bereits Signierte erneut geöffnet? Wir hatten das Problem auch und die mit der alten Version unterschriebenen blieben ungültig, neu signierte wurden hingegen anerkannt (Zerts von D-Trust sowohl als auch interne).
Mitglied: emeriks
emeriks 19.03.2021 um 13:16:41 Uhr
Goto Top
Zitat von @DerWoWusste:
Hast Du nach dem Update des Readers auch getestet, nun mit dem selben Digicert Zert. neu zu unterschreiben,
Ja, Test mit einem neuen Dokument.
Mitglied: emeriks
emeriks 19.03.2021 um 13:18:17 Uhr
Goto Top
Zitat von @ukulele-7:
für Adobe ist das nur (so richtig) vertrauenswürdig wenn das auf der AATL oder der EUTL steht. Wenn nicht dann kann Windows dem Zertifikat vertrauen wie es will, Adobe tut das nicht weil der Aussteller ja unbekannt ist.
Sowas in dieser Richtung vermute ich auch. Wir haben erst vor Kurzem den Anbieter gewechselt und mit den neuen Zertifikaten ist es dann das erste Mal aufgefallen.
Mitglied: ukulele-7
ukulele-7 19.03.2021 um 14:59:12 Uhr
Goto Top
Ich hatte das Problem das mir verschiedene Anbieter sehr verschiedene Preise und Dinge erzählt haben, Bei unserem Lieferanten (für Signaturpads) war von "Hardware-Zertifikat" die Rede, aber die sagen selbst das das kein feststehender Begriff ist. Die Geräte laufen aber nur mit solchen die auf der AATL oder EUTL stehen (also mit ihrem Root Zertifikat).
Heiß diskutierte Beiträge
question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 1 TagFrageBenchmarks46 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit17 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

question
Listet Microsoft Default ACLs von Windows?DerWoWussteVor 1 TagFrageSicherheit18 Kommentare

Moin Kollegen. Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt ...

question
Erfahrungen mit CodeTwo Exchange Migration von 2016-2019dlohnierVor 1 TagFrageExchange Server18 Kommentare

Hallo, ich möchte unseren Exchange Server 2016 der noch auf WIndows 2016 läuft auf einen Server 2019 mit Exchange 2019 migrieren. Habe das Tool "CodeTwo ...

question
Doppelte A-Records in DNSBPeterVor 1 TagFrageWindows Server10 Kommentare

Hallo, unsere Windows Notebooks registrieren sich im DNS mit ihrer Lan- und Wlan Adresse. D.h. es gibt 2 gleiche Namen mit 2 unterschiedlichen IP-Adressen. Wie ...

question
2U Home-Server Frage zur HardwaremossoxVor 22 StundenFrageServer-Hardware10 Kommentare

Hallo zusammen, ich habe in den letzten Jahren auf die Systeme von Synology gesetzt. Im Wesentlichen ging es immer nur um simple CIFS Dienste, nichts ...

question
Powershell Ordner löschen die älter als x Tage sindsascha46Vor 19 StundenFrageEntwicklung6 Kommentare

Hallo Ich würde gerne in einem Verzeichnis alle Ordner die älter als X Tage sind löschen. Aber irgendwie bekomme ich das nicht hin. Bisher habe ...

question
Antivirus auf Synology sinnvoll?CoreknabeVor 1 TagFrageSAN, NAS, DAS3 Kommentare

Moin, nachdem Antivirus Essentials auf unserem Synology-NAS wieder einmal lustige Kapriolen fabriziert (Installationsdatei für MS Office ist hochgefährlich), stelle ich mir die Frage, ob es ...