11
SmartCard - Keine Warnung bei Zertifikatsablauf
Moin Kollegen.
Eine SmartCard tanzt hier aus der Reihe und ich versuche zu verstehen, was da vor sich geht, ehe es auch bei mehreren akut wird.
Und zwar: wir melden uns an Windows mit SmartCards an. Die Zertifikate werden nach der Anmeldung durch Windows automatisch kopiert nach
%appdata%\Microsoft\SystemCertificates\My\Certificates
Wenige Sekunden nach der Anmeldung macht Windows eine Prüfung der Gültigkeitsdauer der dortigen Zertifikate und informiert den Nutzer per Popup ggf., wenn er eines in den nächsten 6 Wochen verlängern muss.
Was mit dieser Karte klappt: das Zertifikat wird dorthin kopiert
Was nicht klappt: es kommt keine Warnung, dass es binnen 6 Wochen abläuft.
Ich habe analysiert, dass die Inhalte von %appdata%\Microsoft\SystemCertificates\My\Certificates den Nutzern normalerweise auch unter certmgr.msc im eigenen Zertifikatsspeicher gezeigt werden. Bei dieser SmartCard jedoch nicht, das bald ablaufende ist schlicht nicht zu sehen.
Kennt jemand die Ursache (eh ich atomar mit procmon einsteige, frage ich hier)?
Eine SmartCard tanzt hier aus der Reihe und ich versuche zu verstehen, was da vor sich geht, ehe es auch bei mehreren akut wird.
Und zwar: wir melden uns an Windows mit SmartCards an. Die Zertifikate werden nach der Anmeldung durch Windows automatisch kopiert nach
%appdata%\Microsoft\SystemCertificates\My\Certificates
Wenige Sekunden nach der Anmeldung macht Windows eine Prüfung der Gültigkeitsdauer der dortigen Zertifikate und informiert den Nutzer per Popup ggf., wenn er eines in den nächsten 6 Wochen verlängern muss.
Was mit dieser Karte klappt: das Zertifikat wird dorthin kopiert
Was nicht klappt: es kommt keine Warnung, dass es binnen 6 Wochen abläuft.
Ich habe analysiert, dass die Inhalte von %appdata%\Microsoft\SystemCertificates\My\Certificates den Nutzern normalerweise auch unter certmgr.msc im eigenen Zertifikatsspeicher gezeigt werden. Bei dieser SmartCard jedoch nicht, das bald ablaufende ist schlicht nicht zu sehen.
Kennt jemand die Ursache (eh ich atomar mit procmon einsteige, frage ich hier)?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 63000323661
Url: https://administrator.de/contentid/63000323661
Printed on: April 27, 2024 at 06:04 o'clock
11 Comments
Latest comment
Hallo,
keine Ahnung. Aber an der Smartcard dürfte es eigentlich nicht liegen, sonst würde ja die Anmeldung scheitern.
Du kannst höchstens mal schauen, ob auf der Smartcard noch andere Zertifikate gespeichert sind. Vielleicht erfolgt die Anmeldung ja gar nicht über das beabsichtigte Zertifikat, sondern über ein anderes auf der Smartcard gespeichertes.
Ich hatte mal mit Yubikey Probleme. Zum Schluss habe ich alle mit dem YubiKey Manager alle Zertifikate auf der Karte manuell gelöscht und dann das gewünschte neu erstellt.
Grüße
lcer
keine Ahnung. Aber an der Smartcard dürfte es eigentlich nicht liegen, sonst würde ja die Anmeldung scheitern.
Du kannst höchstens mal schauen, ob auf der Smartcard noch andere Zertifikate gespeichert sind. Vielleicht erfolgt die Anmeldung ja gar nicht über das beabsichtigte Zertifikat, sondern über ein anderes auf der Smartcard gespeichertes.
Ich hatte mal mit Yubikey Probleme. Zum Schluss habe ich alle mit dem YubiKey Manager alle Zertifikate auf der Karte manuell gelöscht und dann das gewünschte neu erstellt.
Grüße
lcer
Vielleicht erfolgt die Anmeldung ja gar nicht über das beabsichtigte Zertifikat, sondern über ein anderes auf der Smartcard gespeichertes.
Moin. Das spielt keine Geige. Es werden immer alle Zertifikate kopiert und in der mmc angezeigt, da sie ja alle an die selbe PIN gebunden sind. Aber gut: ja, es sind zwei drauf und beide werden nicht angezeigt. Aber genau das funktioniert bei anderen.
Vielleicht hilft das:
https://learn.microsoft.com/de-de/windows/security/identity-protection/s ...
Ich würde mir jedenfalls die Zertifikate ansehen.
Grüße
lcer
https://learn.microsoft.com/de-de/windows/security/identity-protection/s ...
Properties of the certificate propagation service include:
CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES adds certificates to a user's Personal store.
If the certificate has the CERT_ENROLLMENT_PROP_ID property (as defined by wincrypt.h), it filters empty requests and places them in the current user's request store, but it does not propagate them to the user's Personal store.
The service does not propagate any computer certificates to a user's Personal store or propagate user certificates to a computer store.
The service propagates certificates according to Group Policy options that are set, which may include:
Turn on certificate propagation from the smart card specifies whether a user's certificate should be propagated.
Turn on root certificate propagation from smart card specifies whether root certificates should be propagated.
Configure root certificate cleanup specifies how root certificates are removed.Ich würde mir jedenfalls die Zertifikate ansehen.
Grüße
lcer
Bringt ein in die Konsole abgesetztes
Richtiges AD Template für die Ausstellung des Zertifikates verwendet?
Gruß sid
certutil -user -pulse die Benachrichtigung hoch?Richtiges AD Template für die Ausstellung des Zertifikates verwendet?
Gruß sid
Es gab auch mal ein problem im windows cert store dass wenn zu viele cert drinnen sind die abfrage schlicht übersprungen wird bzw. nicht mehr funktioniert.
Hallo,
eventl. wurden zwei Smartcards auf dem Rechner benutzt, die falsch bespielt wurden. Dann auf Seiten der Smartcard eine neue CHUID generieren. Oder, wenn es ein Windows-Fehler ist, die Werte unter
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\PIV Device ATR Cache" und
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Cache" löschen.
Grüße
Richard
eventl. wurden zwei Smartcards auf dem Rechner benutzt, die falsch bespielt wurden. Dann auf Seiten der Smartcard eine neue CHUID generieren. Oder, wenn es ein Windows-Fehler ist, die Werte unter
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\PIV Device ATR Cache" und
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Cache" löschen.
Grüße
Richard
@lcer00
Die Zerts wurden allesamt mit der selben Vorlage erstellt, da ist nichts anders als bei anderen.
@7907292512
Gute Idee. Werde ich testen, wenn ich die Karte wieder in die Finger bekomme - leider braucht der User sie ja stetig.
Die Zerts wurden allesamt mit der selben Vorlage erstellt, da ist nichts anders als bei anderen.
@7907292512
Gute Idee. Werde ich testen, wenn ich die Karte wieder in die Finger bekomme - leider braucht der User sie ja stetig.
@user217
da sind nur 2 Zerts drin.
@c.r.s.
Das Löschen der Caches kann ich testen.
Oder ich geb dem Nutzer gleich ein neues Zertifikat und fertig - vielleicht nur ein EInzelfall.
Mir geht es primär darum, den Hintergrund zu verstehen, warum certmgr.msc nichts anzeigt, wo doch die Dateien kopiert werden wie bei anderen auch.
da sind nur 2 Zerts drin.
@c.r.s.
eventl. wurden zwei Smartcards auf dem Rechner benutzt, die falsch bespielt wurden.
Wie bespielt man eine SmartCard falsch? Das war hier alles "Schema f", alles gleich.Das Löschen der Caches kann ich testen.
Oder ich geb dem Nutzer gleich ein neues Zertifikat und fertig - vielleicht nur ein EInzelfall.
Mir geht es primär darum, den Hintergrund zu verstehen, warum certmgr.msc nichts anzeigt, wo doch die Dateien kopiert werden wie bei anderen auch.
berechtigungen
Zitat von @DerWoWusste:
@c.r.s.
@c.r.s.
eventl. wurden zwei Smartcards auf dem Rechner benutzt, die falsch bespielt wurden.
Wie bespielt man eine SmartCard falsch? Das war hier alles "Schema f", alles gleich.Das kommt auf die verwendeten Tools bzw. Karten an, und unter welchen Bedingungen sie die CHUID ggf. implizit erneuern. Bei YubiKeys ist es ein manueller Schritt (zumindest per CLI).
Wenn das Caching des Minidrivers das Problem ist, würde ein neues Zertifikat gerade nicht helfen, bzw. es würde nicht mehr in den User-Store gemappt. Das scheint derzeit nicht ganz dein Problem, da Du das Zertifikat ja siehst.
Wenn Du allerdings z.B. dasselbe Zertifikat auf zwei YubiKeys geschrieben hättest, ohne jeweils die CHUID zu erneuern, dann würde natürlich beim Einstecken der ersten Karte das Zertifikat gemappt. Bei der zweiten würde es nicht gemappt, aber das "richtige" Zertifikat ist weiterhin sichtbar, sodass das Problem nicht offensichtlich ist.
Bringt ein in die Konsole abgesetztes certutil -user -pulse die Benachrichtigung hoch?
Nein.Richtiges AD Template für die Ausstellung des Zertifikates verwendet?
Ja.Oder, wenn es ein Windows-Fehler ist, die Werte unter
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\PIV Device ATR Cache" und
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Cache" löschen.
Gemacht, keine Änderung."HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\PIV Device ATR Cache" und
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Cache" löschen.
Ich habe nun eine Ausnahme gemacht und es bei diesem Nutzer manuell neu ausgestellt. Es wird evtl. ein Geheimnis bleiben, was bei diesem PC los war.