derwowusste
Goto Top

SmartCard - Keine Warnung bei Zertifikatsablauf

Moin Kollegen.

Eine SmartCard tanzt hier aus der Reihe und ich versuche zu verstehen, was da vor sich geht, ehe es auch bei mehreren akut wird.

Und zwar: wir melden uns an Windows mit SmartCards an. Die Zertifikate werden nach der Anmeldung durch Windows automatisch kopiert nach
%appdata%\Microsoft\SystemCertificates\My\Certificates
Wenige Sekunden nach der Anmeldung macht Windows eine Prüfung der Gültigkeitsdauer der dortigen Zertifikate und informiert den Nutzer per Popup ggf., wenn er eines in den nächsten 6 Wochen verlängern muss.

Was mit dieser Karte klappt: das Zertifikat wird dorthin kopiert
Was nicht klappt: es kommt keine Warnung, dass es binnen 6 Wochen abläuft.

Ich habe analysiert, dass die Inhalte von %appdata%\Microsoft\SystemCertificates\My\Certificates den Nutzern normalerweise auch unter certmgr.msc im eigenen Zertifikatsspeicher gezeigt werden. Bei dieser SmartCard jedoch nicht, das bald ablaufende ist schlicht nicht zu sehen.

Kennt jemand die Ursache (eh ich atomar mit procmon einsteige, frage ich hier)?

Content-Key: 63000323661

Url: https://administrator.de/contentid/63000323661

Printed on: May 21, 2024 at 20:05 o'clock

Member: lcer00
lcer00 Sep 13, 2023 at 09:54:25 (UTC)
Goto Top
Hallo,

keine Ahnung. Aber an der Smartcard dürfte es eigentlich nicht liegen, sonst würde ja die Anmeldung scheitern.
Du kannst höchstens mal schauen, ob auf der Smartcard noch andere Zertifikate gespeichert sind. Vielleicht erfolgt die Anmeldung ja gar nicht über das beabsichtigte Zertifikat, sondern über ein anderes auf der Smartcard gespeichertes.

Ich hatte mal mit Yubikey Probleme. Zum Schluss habe ich alle mit dem YubiKey Manager alle Zertifikate auf der Karte manuell gelöscht und dann das gewünschte neu erstellt.

Grüße

lcer
Member: DerWoWusste
DerWoWusste Sep 13, 2023 at 09:59:23 (UTC)
Goto Top
Vielleicht erfolgt die Anmeldung ja gar nicht über das beabsichtigte Zertifikat, sondern über ein anderes auf der Smartcard gespeichertes.
Moin. Das spielt keine Geige. Es werden immer alle Zertifikate kopiert und in der mmc angezeigt, da sie ja alle an die selbe PIN gebunden sind. Aber gut: ja, es sind zwei drauf und beide werden nicht angezeigt. Aber genau das funktioniert bei anderen.
Member: lcer00
lcer00 Sep 13, 2023 at 10:22:05 (UTC)
Goto Top
Vielleicht hilft das:

https://learn.microsoft.com/de-de/windows/security/identity-protection/s ...

Properties of the certificate propagation service include:

CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES adds certificates to a user's Personal store.  

If the certificate has the CERT_ENROLLMENT_PROP_ID property (as defined by wincrypt.h), it filters empty requests and places them in the current user's request store, but it does not propagate them to the user's Personal store.  

The service does not propagate any computer certificates to a user's Personal store or propagate user certificates to a computer store.  

The service propagates certificates according to Group Policy options that are set, which may include:

Turn on certificate propagation from the smart card specifies whether a user's certificate should be propagated.  

Turn on root certificate propagation from smart card specifies whether root certificates should be propagated.

Configure root certificate cleanup specifies how root certificates are removed.


Ich würde mir jedenfalls die Zertifikate ansehen.

Grüße

lcer
Mitglied: 7907292512
7907292512 Sep 13, 2023 updated at 10:30:02 (UTC)
Goto Top
Bringt ein in die Konsole abgesetztes certutil -user -pulse die Benachrichtigung hoch?
Richtiges AD Template für die Ausstellung des Zertifikates verwendet?

Gruß sid
Member: user217
user217 Sep 13, 2023 at 11:24:07 (UTC)
Goto Top
Es gab auch mal ein problem im windows cert store dass wenn zu viele cert drinnen sind die abfrage schlicht übersprungen wird bzw. nicht mehr funktioniert.
Member: C.R.S.
C.R.S. Sep 13, 2023 at 11:41:46 (UTC)
Goto Top
Hallo,

eventl. wurden zwei Smartcards auf dem Rechner benutzt, die falsch bespielt wurden. Dann auf Seiten der Smartcard eine neue CHUID generieren. Oder, wenn es ein Windows-Fehler ist, die Werte unter
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\PIV Device ATR Cache" und
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Cache" löschen.

Grüße
Richard
Member: DerWoWusste
DerWoWusste Sep 13, 2023 at 11:48:35 (UTC)
Goto Top
@lcer00
Die Zerts wurden allesamt mit der selben Vorlage erstellt, da ist nichts anders als bei anderen.
@7907292512
Gute Idee. Werde ich testen, wenn ich die Karte wieder in die Finger bekomme - leider braucht der User sie ja stetig.
Member: DerWoWusste
DerWoWusste Sep 13, 2023 at 11:53:28 (UTC)
Goto Top
@user217
da sind nur 2 Zerts drin.
@c.r.s.
eventl. wurden zwei Smartcards auf dem Rechner benutzt, die falsch bespielt wurden.
Wie bespielt man eine SmartCard falsch? Das war hier alles "Schema f", alles gleich.
Das Löschen der Caches kann ich testen.
Oder ich geb dem Nutzer gleich ein neues Zertifikat und fertig - vielleicht nur ein EInzelfall.

Mir geht es primär darum, den Hintergrund zu verstehen, warum certmgr.msc nichts anzeigt, wo doch die Dateien kopiert werden wie bei anderen auch.
Member: user217
user217 Sep 13, 2023 at 11:58:26 (UTC)
Goto Top
berechtigungen
Member: C.R.S.
C.R.S. Sep 13, 2023 at 12:39:49 (UTC)
Goto Top
Zitat von @DerWoWusste:

@c.r.s.
eventl. wurden zwei Smartcards auf dem Rechner benutzt, die falsch bespielt wurden.
Wie bespielt man eine SmartCard falsch? Das war hier alles "Schema f", alles gleich.

Das kommt auf die verwendeten Tools bzw. Karten an, und unter welchen Bedingungen sie die CHUID ggf. implizit erneuern. Bei YubiKeys ist es ein manueller Schritt (zumindest per CLI).
Wenn das Caching des Minidrivers das Problem ist, würde ein neues Zertifikat gerade nicht helfen, bzw. es würde nicht mehr in den User-Store gemappt. Das scheint derzeit nicht ganz dein Problem, da Du das Zertifikat ja siehst.
Wenn Du allerdings z.B. dasselbe Zertifikat auf zwei YubiKeys geschrieben hättest, ohne jeweils die CHUID zu erneuern, dann würde natürlich beim Einstecken der ersten Karte das Zertifikat gemappt. Bei der zweiten würde es nicht gemappt, aber das "richtige" Zertifikat ist weiterhin sichtbar, sodass das Problem nicht offensichtlich ist.
Member: DerWoWusste
DerWoWusste Sep 19, 2023 at 12:01:40 (UTC)
Goto Top
Bringt ein in die Konsole abgesetztes certutil -user -pulse die Benachrichtigung hoch?
Nein.
Richtiges AD Template für die Ausstellung des Zertifikates verwendet?
Ja.

Oder, wenn es ein Windows-Fehler ist, die Werte unter
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\PIV Device ATR Cache" und
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Cache" löschen.
Gemacht, keine Änderung.

Ich habe nun eine Ausnahme gemacht und es bei diesem Nutzer manuell neu ausgestellt. Es wird evtl. ein Geheimnis bleiben, was bei diesem PC los war.