boesi-6zeichen
Goto Top

Windows 10 vergisst Stammzertifierungsstellen

Moin,

ich habe ein Netzwerk mit einem SBS 2011. Auf den Clients mit Windows 10 wird
die Liste der Vertrauenswürdigen Stammzertifizierungsstellen immer kürzer. Auf
einem virtuellen Rechner mit der Version 1511 umfasst die Liste jetzt noch 16
Einträge und davon sind 2 vom SBS. 2 frisch eingerichtete Notebooks mit der
Version 1703 haben das Problem nach 3 Wochen aber auch. Auf dem Server und
den Clients mit Windows 7 und 8.1 ist die Liste erheblich länger.

Wenn ich die Zertifikate auf den Windows 10 Rechnern manuell importiere,
funktionieren sie wie erwartet - aber das kann ja nicht die Lösung sein.

Kann das Problem damit zusammenhängen, dass der WSUS aktuell noch auf dem
SBS 2011 läuft und deshalb die Feature Upgrades für Windows 10 nicht verteilt
werden? Andere Updates werden aber installiert.

Vielen Dank schon mal für eure Hilfe.

Content-Key: 340803

Url: https://administrator.de/contentid/340803

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: Dani
Dani 16.06.2017 um 17:45:17 Uhr
Goto Top
Moin,
sowas ähnliches habe ich gerade bei einer Neuinstallation von Windows 7 Enterprise festgestellt. Über das Tool rootsupd.exe kannst du die Liste aktualisieren.


Gruß,
Dani
Mitglied: boesi-6Zeichen
boesi-6Zeichen 17.06.2017 um 13:58:17 Uhr
Goto Top
Moin,

wo finde ich denn rootsupd.exe für Windows 10? Alles was ich gefunden habe, bezieht sich auf ältere Betriebssysteme. Außerdem soll das über Windows Updates verteilt werden. Ich glaube ich habe irgendwas noch nicht richtig verstanden.

Viele Grüße,
boesi
Mitglied: Dani
Dani 17.06.2017 um 14:07:39 Uhr
Goto Top
Moin,
Alles was ich gefunden habe, bezieht sich auf ältere Betriebssysteme
ich habe einfach einen der ersten Treffer in Google genommen und die Datei vom dortigen Microsoft-Link heruntergeladen.

Außerdem soll das über Windows Updates verteilt werden.
Ein Schritt nach dem anderen.


Gruß,
Dani
Mitglied: boesi-6Zeichen
boesi-6Zeichen 19.06.2017 um 06:14:38 Uhr
Goto Top
ich habe einfach einen der ersten Treffer in Google genommen und die Datei vom dortigen Microsoft-Link heruntergeladen.
Dann bin ich zu blöd dazu. Den einzigen noch funktionierenden Link, den ich gefunden hab, ist der hier, aber ein Update für Windows 2000 aus dem Jahr 2006? Das hier ist von diesem Jahr, aber auch der dort enthaltene Link funktioniert nicht. Hier steht immerhin, dass man die "root certificates" automatisch und manuell updaten kann. Aber auch dort gibt es keinen direkten Link zu diesem "self-extracting IEXPRESS package" und es wird wieder nur auf das Microsoft Download Center verwiesen.

Zu Windows 10 hab ich in diesem Zusammenhang gar nichts gefunden...

Außerdem soll das über Windows Updates verteilt werden.
Ein Schritt nach dem anderen.
Das bezog sich darauf, was ich als Antwort im Netz gefunden hab.

Viele etwas frustriert genervte Grüße
boesi
Mitglied: Dani
Dani 22.06.2017 um 14:50:23 Uhr
Goto Top
Moin,
Aber auch dort gibt es keinen direkten Link zu diesem "self-extracting IEXPRESS package" und es wird wieder nur auf das Microsoft Download Center verwiesen.
das war mal... IEXPRESS gibt es seit mindesten 5 Jahren nicht mehr.

Dann bin ich zu blöd dazu.
Nein, bist du nicht. Seltsamerweise sind alle Microsoft-Links zu dem Tool tot. Seltsam... ich kann es dir als Mirror anbieten, wenn du möchtest. Alles weitere per PN.


Gruß,
Dani
Mitglied: emeriks
emeriks 12.11.2017 aktualisiert um 12:28:19 Uhr
Goto Top
Hi,
ich habe keine Antwort auf die Frage an sich. Aber einen ganz einfachen Workaround.

SBS 2010 - d.h. Du hast auch Active Directory?
Dann kannst Du die gewünschten Root CA auch per GPO an die Clients verteilen. Selbst wenn da irgendein Update-Mechanismus irgendwelche Zertifikate deinstallieren sollte, so würde doch der GPO-Client diese immer wieder beim nächsten Update der GPO's wieder installieren.

Deploy Certificates by Using Group Policy
Dabei geht es zwar primär um "vertrauenswürdige Herausgeber" aber das geht analog für die "vertrauenswürdigen Stammzertifizierungsstellen".

E.