SmartCard - Keine Warnung bei Zertifikatsablauf
Moin Kollegen.
Eine SmartCard tanzt hier aus der Reihe und ich versuche zu verstehen, was da vor sich geht, ehe es auch bei mehreren akut wird.
Und zwar: wir melden uns an Windows mit SmartCards an. Die Zertifikate werden nach der Anmeldung durch Windows automatisch kopiert nach
%appdata%\Microsoft\SystemCertificates\My\Certificates
Wenige Sekunden nach der Anmeldung macht Windows eine Prüfung der Gültigkeitsdauer der dortigen Zertifikate und informiert den Nutzer per Popup ggf., wenn er eines in den nächsten 6 Wochen verlängern muss.
Was mit dieser Karte klappt: das Zertifikat wird dorthin kopiert
Was nicht klappt: es kommt keine Warnung, dass es binnen 6 Wochen abläuft.
Ich habe analysiert, dass die Inhalte von %appdata%\Microsoft\SystemCertificates\My\Certificates den Nutzern normalerweise auch unter certmgr.msc im eigenen Zertifikatsspeicher gezeigt werden. Bei dieser SmartCard jedoch nicht, das bald ablaufende ist schlicht nicht zu sehen.
Kennt jemand die Ursache (eh ich atomar mit procmon einsteige, frage ich hier)?
Eine SmartCard tanzt hier aus der Reihe und ich versuche zu verstehen, was da vor sich geht, ehe es auch bei mehreren akut wird.
Und zwar: wir melden uns an Windows mit SmartCards an. Die Zertifikate werden nach der Anmeldung durch Windows automatisch kopiert nach
%appdata%\Microsoft\SystemCertificates\My\Certificates
Wenige Sekunden nach der Anmeldung macht Windows eine Prüfung der Gültigkeitsdauer der dortigen Zertifikate und informiert den Nutzer per Popup ggf., wenn er eines in den nächsten 6 Wochen verlängern muss.
Was mit dieser Karte klappt: das Zertifikat wird dorthin kopiert
Was nicht klappt: es kommt keine Warnung, dass es binnen 6 Wochen abläuft.
Ich habe analysiert, dass die Inhalte von %appdata%\Microsoft\SystemCertificates\My\Certificates den Nutzern normalerweise auch unter certmgr.msc im eigenen Zertifikatsspeicher gezeigt werden. Bei dieser SmartCard jedoch nicht, das bald ablaufende ist schlicht nicht zu sehen.
Kennt jemand die Ursache (eh ich atomar mit procmon einsteige, frage ich hier)?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63000323661
Url: https://administrator.de/forum/smartcard-keine-warnung-bei-zertifikatsablauf-63000323661.html
Ausgedruckt am: 18.03.2025 um 17:03 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
keine Ahnung. Aber an der Smartcard dürfte es eigentlich nicht liegen, sonst würde ja die Anmeldung scheitern.
Du kannst höchstens mal schauen, ob auf der Smartcard noch andere Zertifikate gespeichert sind. Vielleicht erfolgt die Anmeldung ja gar nicht über das beabsichtigte Zertifikat, sondern über ein anderes auf der Smartcard gespeichertes.
Ich hatte mal mit Yubikey Probleme. Zum Schluss habe ich alle mit dem YubiKey Manager alle Zertifikate auf der Karte manuell gelöscht und dann das gewünschte neu erstellt.
Grüße
lcer
keine Ahnung. Aber an der Smartcard dürfte es eigentlich nicht liegen, sonst würde ja die Anmeldung scheitern.
Du kannst höchstens mal schauen, ob auf der Smartcard noch andere Zertifikate gespeichert sind. Vielleicht erfolgt die Anmeldung ja gar nicht über das beabsichtigte Zertifikat, sondern über ein anderes auf der Smartcard gespeichertes.
Ich hatte mal mit Yubikey Probleme. Zum Schluss habe ich alle mit dem YubiKey Manager alle Zertifikate auf der Karte manuell gelöscht und dann das gewünschte neu erstellt.
Grüße
lcer
Vielleicht hilft das:
https://learn.microsoft.com/de-de/windows/security/identity-protection/s ...
Ich würde mir jedenfalls die Zertifikate ansehen.
Grüße
lcer
https://learn.microsoft.com/de-de/windows/security/identity-protection/s ...
Properties of the certificate propagation service include:
CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES adds certificates to a user's Personal store.
If the certificate has the CERT_ENROLLMENT_PROP_ID property (as defined by wincrypt.h), it filters empty requests and places them in the current user's request store, but it does not propagate them to the user's Personal store.
The service does not propagate any computer certificates to a user's Personal store or propagate user certificates to a computer store.
The service propagates certificates according to Group Policy options that are set, which may include:
Turn on certificate propagation from the smart card specifies whether a user's certificate should be propagated.
Turn on root certificate propagation from smart card specifies whether root certificates should be propagated.
Configure root certificate cleanup specifies how root certificates are removed.
Ich würde mir jedenfalls die Zertifikate ansehen.
Grüße
lcer

Bringt ein in die Konsole abgesetztes
Richtiges AD Template für die Ausstellung des Zertifikates verwendet?
Gruß sid
certutil -user -pulse
die Benachrichtigung hoch?Richtiges AD Template für die Ausstellung des Zertifikates verwendet?
Gruß sid
Hallo,
eventl. wurden zwei Smartcards auf dem Rechner benutzt, die falsch bespielt wurden. Dann auf Seiten der Smartcard eine neue CHUID generieren. Oder, wenn es ein Windows-Fehler ist, die Werte unter
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\PIV Device ATR Cache" und
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Cache" löschen.
Grüße
Richard
eventl. wurden zwei Smartcards auf dem Rechner benutzt, die falsch bespielt wurden. Dann auf Seiten der Smartcard eine neue CHUID generieren. Oder, wenn es ein Windows-Fehler ist, die Werte unter
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\PIV Device ATR Cache" und
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Cache" löschen.
Grüße
Richard
Zitat von @DerWoWusste:
@c.r.s.
@c.r.s.
eventl. wurden zwei Smartcards auf dem Rechner benutzt, die falsch bespielt wurden.
Wie bespielt man eine SmartCard falsch? Das war hier alles "Schema f", alles gleich.Das kommt auf die verwendeten Tools bzw. Karten an, und unter welchen Bedingungen sie die CHUID ggf. implizit erneuern. Bei YubiKeys ist es ein manueller Schritt (zumindest per CLI).
Wenn das Caching des Minidrivers das Problem ist, würde ein neues Zertifikat gerade nicht helfen, bzw. es würde nicht mehr in den User-Store gemappt. Das scheint derzeit nicht ganz dein Problem, da Du das Zertifikat ja siehst.
Wenn Du allerdings z.B. dasselbe Zertifikat auf zwei YubiKeys geschrieben hättest, ohne jeweils die CHUID zu erneuern, dann würde natürlich beim Einstecken der ersten Karte das Zertifikat gemappt. Bei der zweiten würde es nicht gemappt, aber das "richtige" Zertifikat ist weiterhin sichtbar, sodass das Problem nicht offensichtlich ist.