Win 10 LTSC 2019 - LE Root CA fehlt

philipp711
Goto Top
Hallo Leute,

mir ist heute aufgefallen, dass sämtliche Client-Systeme in unserer Infrastruktur, die mit Windows 10 Enterprise LTSC 2019 (Feature-Stand 1809) laufen das ISRG Root X1 Zertifikat nicht in ihrem Trust-Store installiert haben. Somit fliegen uns sämtliche Verbindungen um die Ohren, die mit LE-Zertifikaten abgesichert sind. Bei den Win 10 Clients im SAC gibt es das Zertifikat im Trust-Store. Mittels GPO habe ich das Zertifikat auf die Clients verteilt...Problem gelöst...

Dennoch meine Frage: Könnt ihr die Erfahrung teilen oder sind wir die einzigen die dieses Problem hatten?

Danke!

Content-Key: 1342211972

Url: https://administrator.de/contentid/1342211972

Ausgedruckt am: 11.08.2022 um 05:08 Uhr

Mitglied: tech-flare
tech-flare 04.10.2021 um 11:45:23 Uhr
Goto Top
Hallo,

Haben die Clients eine Verbindung zum Internet ?
Mitglied: Philipp711
Philipp711 04.10.2021 aktualisiert um 11:55:39 Uhr
Goto Top
Über einen Proxy haben die Clients Zugriff auf das Internet, ja.

Updates werden per WSUS verteilt. Das September-Update ist ebenfalls bei sämtlichen Clients angekommen...daher kann ich mir das irgendwie nicht so recht erklären...
Mitglied: canlot
canlot 04.10.2021 um 12:11:38 Uhr
Goto Top
Guck mal ob das Zertifikat unter Drittanbieter-Stammzertifizierungsstellen existiert.
Mitglied: Dani
Dani 04.10.2021 um 12:58:44 Uhr
Goto Top
Moin,
Über einen Proxy haben die Clients Zugriff auf das Internet, ja.
Ist das ein Proxy auf Benutzerebene oder Systemebene? Letzterers wäre erforderlich, damit Windows regelmäßig die Liste abrufen kann. Ansonsten bliebt dir nur der Weg über die Offlinebereitstellung. Das ist aber ein doch komplexes Vorhaben, bis das funktioniert.


Gruß,
Dani
Mitglied: Philipp711
Philipp711 06.10.2021 aktualisiert um 13:53:42 Uhr
Goto Top
Zitat von @canlot:

Guck mal ob das Zertifikat unter Drittanbieter-Stammzertifizierungsstellen existiert.

Nope, da ist's auch nicht drin gewesen. Habe auch mal Testweise eine VM mit dem "nackten" LTSC 2019 hochgezogen - ebenfalls Fehlanzeige.

Zitat von @Dani:

Moin,
Über einen Proxy haben die Clients Zugriff auf das Internet, ja.
Ist das ein Proxy auf Benutzerebene oder Systemebene? Letzterers wäre erforderlich, damit Windows regelmäßig die Liste abrufen kann. Ansonsten bliebt dir nur der Weg über die Offlinebereitstellung. Das ist aber ein doch komplexes Vorhaben, bis das funktioniert.


Es ist nur der Proxy auf Benutzerebene. Also nicht der den man z.B. über "netsh winhttp xyz" setzt, sondern der aus den "Internetoptionen". Allerdings dachte ich immer, dass der Trust-Store über die klassischen Windows Updates aktualisiert wird...war mir nicht bewusst, dass Windows auch so zwischendurch mal die CA's gegencheckt.
Mitglied: Dani
Dani 06.10.2021 um 20:53:55 Uhr
Goto Top
Moin,
Allerdings dachte ich immer, dass der Trust-Store über die klassischen Windows Updates aktualisiert wird...war mir nicht bewusst, dass Windows auch so zwischendurch mal die CA's gegencheckt.
Es gibt dafür auch eine Mechanismus - aber nicht über Windows Updates. Configure Trusted Roots and Disallowed Certificates


Gruß,
Dani