babylonia
Goto Top

Erneuern eines Zertifikats mit demselben Schlüssel!!?

Hi,

ich habe versucht ein abgelaufenes Zertifikat zu erneuern. Kommt diese Fehlermeldung:

4c4373b2ea7a0eff154ae931b09332f5


Danke

Content-ID: 293807

Url: https://administrator.de/forum/erneuern-eines-zertifikats-mit-demselben-schluessel-293807.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

122990
122990 21.01.2016 aktualisiert um 17:40:21 Uhr
Goto Top
Moin,
ich habe ein Auto ohne Räder, wie komme ich jetzt auf die Autobahn ??

https://social.technet.microsoft.com/Forums/en-US/f906cc60-a9b7-4092-aee ...

Mal ehrlich, ein bisschen mehr Informationen zur Umgebung, um was für ein Zertifikat es sich handelt, über welche Methode man sein Zertifikat verlängert, ob es sich um eine standalone oder Unternehmens CA handelt etc. pp. sollte man seinem Post schon gönnen, vor allem wenn man hier vernünftige Hilfe bekommen möchte. face-sad

Hier fehlen einfach die grundlegendste Infos die eigentlich in jeden Post gehören:
Wie Du eine Frage richtig stellst

Danke!

Gruß grexit
Snowman25
Snowman25 21.01.2016 um 17:38:00 Uhr
Goto Top
Schonmal den Link in dem Fenster angeklickt?
babylonia
babylonia 21.01.2016 um 20:44:55 Uhr
Goto Top
Hi grexit,

danke für deine Antwort.

Umgebung: Windows 2012 R2 mit remote desktop diensten.

Die clients greifen auf Anwendungen über WEBRDP zu.

Seit gestern kommt die Meldung ""Zertifikat abgelaufen""!!

383716f7fed812a54e53b3fd32931f8f

401741ac6bb4b3bc2a7ee5ebbeb5e30a

Über AdminKonsole habe ich versucht das Zertifikat mit demselben Schlüsselzu erneuern. Leider ohne Erfolg (Siehe erstes Bild)
Dani
Dani 21.01.2016 um 22:37:15 Uhr
Goto Top
Moin,
ich hätte große Lust den Beitrag in die Tonne zu treten. Aber Kollege @122990 hat bereits geantwortet...und seine Mühe will ich nicht entlohnen.
Ich würde sagen du liest morgenfrüh nach dem Kaffee nochmals seine Kommentar samt Links und ergänzt die fehleden Informationen.


Gruß,
Dani
Winary
Winary 22.01.2016 aktualisiert um 09:05:39 Uhr
Goto Top
Hallo,

ich finde auch, dass es sich um sehr dürftige Informationen handelt, daher kann man nur raten, falls man das möchte.

Also aufgrund des zweiten Bildes vermute ich, dass deinem Zertifikat selbst zwar alles in Ordnung ist, aber es ungültig ist, da die Zertifikatskette unvollständig gültig ergo ungültig ist. Dein Root-Zertifikat bzw. das Zertifikat der auszustellenden Zertifizierungsstelle ist wohl abgelaufen oder deren Name hat sich verändert. Du musst das Zertifizierungsstellenzertifikat der Zertifizierungsstelle erneuern und es überall verteilen. Dann kannst du auch wieder gültige Zertifikate ausstellen. Hast du es gekauft, musst du dir ein neues Zertifikat kaufen.

http://www.hanrath.de/windows-pki-root-ca-zertifikat-und-issuing-ca-zer ...
Hier gibt es zu bedenken, dass du nur eine einstufige PKI hast.

Grüße Winary
babylonia
babylonia 22.01.2016 um 10:29:22 Uhr
Goto Top
Hi Winary,
danke für deine Antwort.

Das Zertifikat wurde selbst erstellt.
Genau dieses vorgelagerte Zertifikat kann ich nicht erneuern oder verlängern!? Da kommt ein Registrierungsfehler!!
122990
122990 22.01.2016 aktualisiert um 10:58:49 Uhr
Goto Top
Genau dieses vorgelagerte Zertifikat kann ich nicht erneuern oder verlängern!? Da kommt ein Registrierungsfehler!!
Du machst das aber schon auf dem Server wo die CA installiert ist in der Certificate Authority MMC, oder ?
http://www.hanrath.de/windows-pki-root-ca-zertifikat-und-issuing-ca-zer ...
Winary
Winary 22.01.2016 aktualisiert um 11:00:43 Uhr
Goto Top
Wie hast du es erstellt? Mit einer eigenen PKI/Windows-CA? Mit makecert.exe? Mit einem Texteditor und Taschenrechner? Da musst du schon genauer sein.

Den Link hab ich doch schon darüber genannt. face-smile

Grüße
babylonia
babylonia 23.01.2016 um 15:26:30 Uhr
Goto Top
Ich habe ein neues Zertifikat in IIS Manager erstellt (selbstsigniertes Zertifikat)

Ich wollte alle Zwecke für das neue Zertifikat aktivieren. Ging aber nicht!? Button ist grau!

04f9ee0cfb99c9c4055f4365ed5760b1

Die Eigenschaften von dem abgelaufenem Zertifikat sah so aus

3f5306dc5b02ff7d4864d8b42fcb92ef

Danke für eueren Geduld face-smile
122990
122990 23.01.2016 aktualisiert um 15:43:05 Uhr
Goto Top
Zitat von @babylonia:
Ich habe ein neues Zertifikat in IIS Manager erstellt (selbstsigniertes Zertifikat)
OK das ist aber was völlig anderes als das erneuern eines CA Zertifikates !
Ich wollte alle Zwecke für das neue Zertifikat aktivieren. Ging aber nicht!? Button ist grau!
Verständlich...ein CA Zertifikat wird wie oben in den Links beschrieben erneuert, nicht über die Eigenschaften des Certs ...

Die Eigenschaften von dem abgelaufenem Zertifikat sah so aus
Du siehst darin u.a. "Microsoft-Vertrauenslistensignatur" welches nur ein CA Zertifikat machen darf und nicht ein stinknormales Webserver Zertifikat !
Danke für eueren Geduld face-smile
Hier fehlen wohl leider noch die Grundlagen zu Zertifikaten und zu einer PKI.

Deshalb würde ich mal empfehlen sich zu aller erst mal die Grundlagen zum Betrieb einer PKI durchzulesen:
http://openbook.rheinwerk-verlag.de/windows_server_2012r2/12_002.html

Bildchen schön und gut, aber etwas mehr Text was du exakt vorhast würde hier mehr bringen ...

Gruß grexit
122990
122990 23.01.2016 aktualisiert um 15:42:08 Uhr
Goto Top
Zitat von @Winary:
Den Link hab ich doch schon darüber genannt. face-smile
Sorry übersehen, aber doppelt hält besser, gerade bei solchen Link-Lese-Verweigerern wie die/der TO eine(r) zu sein scheint face-wink
Winary
Winary 23.01.2016 um 15:53:19 Uhr
Goto Top
Dein altes Zertifikat war offenbar ein Zertifizierungsstellenzertifikat. Dieses hält sämtliche Zwecke inne, da aufgrund dieser seiner Zertififizierungsstellen-Zertifikatvorlage andere Zertifikatsvorlagen erstellt werden mit jeweils ausgewählten Zwecken. Ich kann also das Zertifizierungsstellenzertifikat für alles Mögliche benutzen, sollte man aber aus Sicherheitsgründen nicht tun; du hast es getan. Es schränkt also die Zwecke der ausstellenden Zertifikate ein, das soll auch so sein. 

Dein selbstsigniertes Zertifikat aus dem IIS heraus hat nur den Zweck der Serverauthentifizierung, da es nicht mehr braucht um HTTPS für deine Website/Webseite etablieren zu können.

Du hast also vermutlich eine zweistufige Certificate Authority (CA), dessen Root-Zertifikat (das erste in der Kette) abgelaufen. Das Zertifikat der Zwischenzertifizierungsstelle (Issuing-CA) ist noch bis 2040 gültig. Merkwürdig, da das Root-Zertifikat immer länger gültig sein muss als das der Issuing-CA.

Wenn du eine CA hast solltest du besser keine selbstsignierten Zertifikate nutzen. Schau dir deine Root-CA mal an.
Winary
Winary 23.01.2016 aktualisiert um 20:42:35 Uhr
Goto Top
Zitat von @122990:
Sorry übersehen, aber doppelt hält besser, gerade bei solchen Link-Lese-Verweigerern wie die/der TO eine(r) zu sein scheint face-wink

Habe ich jetzt erst lesen können. Kein Problem; witzig dass wir denselben Link genannt haben. face-big-smile Das Openbook fand ich so gut, dass ich es mir sogar habe schenken lassen. face-wink Erst dadurch habe ich unter anderem das Thema Zertifikat erst richtig verstanden. Blöd nur dass manche Sachen Wort für Wort aus dem 2008er Buch übernommen wurden. face-smile

Vielleicht beglückt uns der/die TO ja noch mit weiteren Detail-Krümeln face-smile
babylonia
babylonia 25.01.2016 um 10:42:08 Uhr
Goto Top
die Grundlagen zur Windows Server-Zertifizierung werde ich mir holen face-smile

Danke nochmal
babylonia
babylonia 25.01.2016 um 11:00:35 Uhr
Goto Top
nur noch eine Frage:

es sieht so aus als wurde mal auf dem Terminial-Server eine Zertifizierungsstelle installiert und mit der ein Zertifikat erstellt.
Diese Dienst ist nicht mehr auf dem Server installiert.
Kann ich das nochmal installieren um ein ähnliches Zertifikat zu erstellen und dann die Zertifizierungsstelle wieder entfernen?!
Dürfen zwei Zertifizierungsstellen in einer Domäne laufen?
122990
122990 25.01.2016 um 11:54:00 Uhr
Goto Top
Zitat von @babylonia:
es sieht so aus als wurde mal auf dem Terminial-Server eine Zertifizierungsstelle installiert und mit der ein Zertifikat erstellt.
OMG wer macht denn sowas?? face-big-smile
Diese Dienst ist nicht mehr auf dem Server installiert.
Kann ich das nochmal installieren um ein ähnliches Zertifikat zu erstellen und dann die Zertifizierungsstelle wieder entfernen?!
Besser nicht, mach das sauber auf einem separaten System.
Dürfen zwei Zertifizierungsstellen in einer Domäne laufen?
Ja, aber bevor du das tust les dich doch bitte erst mal grundlegend in die Materie ein und übe das in einer virtuellen Umgebung, sonst ist das zum Scheitern verurteilt.
Winary
Lösung Winary 25.01.2016, aktualisiert am 02.03.2016 um 09:49:54 Uhr
Goto Top
Zitat von @122990:
Dürfen zwei Zertifizierungsstellen in einer Domäne laufen?
Ja, aber bevor du das tust les dich doch bitte erst mal grundlegend in die Materie ein und übe das in einer virtuellen Umgebung, sonst ist das zum Scheitern verurteilt.
Mehrere Zwischen-Zertifizierungsstellen ja, aber nur eine PKI. Da du aber offenbar keine Root-CA mehr hast, solltest du besser alle Spuren der gesamten alten PKI entfernen und wieder eine neue erstellen.

Wer installiert denn eine zweistufige PKI nur um ein Zwischenzertifizierungsstellenzertifikat zu erstellen, das universell "missbraucht" wird, und deinstalliert die Root-CA wieder? Das war doch abzusehen, dass das Zertifikat irgendwann erneuert werden muss, was nur dieselbe Zertifizierungsstelle tun kann. Richtige Helden. face-smile

Schau mal im Active Directory Standorte und Dienste unter "Services" (du musst erst oben unter Ansicht "Dienstknoten anzeigen" aktivieren). Dort schaust du unter AIA und CDP ob dort Einträge sind. Wenn du tatsächlich eine hattest, sollten dort Einträge sein. Wenn du dir sicher bist, dass die Zertifizierungsstelle wirklich wirklich WIRKLICH nicht mehr vorhanden ist und auch sonst keine Zertifikate und Sperrlisten darauf zugreifen, kannst du alle Ordner unter dem Ordner "Public Key Services" löschen.

Danach kannst du dir wieder eine Zertifizierungsstelle aufbauen. Diese Anleitung bestehend aus drei Teilen vermittelt das ziemlich gut.
Winary
Winary 28.01.2016 um 16:05:24 Uhr
Goto Top
Was ist nun daraus geworden? Geht es nun?
babylonia
babylonia 04.02.2016 um 16:29:06 Uhr
Goto Top
Hi,

ich habe ein neues Zertifikat erstellt und an die Clients verteilt.
Und so geht es wieder.

Danke
Winary
Winary 04.02.2016 um 16:56:00 Uhr
Goto Top
Hallo,

mit einer CA ausgestellt? Oder selbst signiert?
Wenn du eine Lösung gefunden hast, bitte die Frage als gelöst markieren und die Antwort, falls vorhanden, welche dir geholfen hat auch.