chaser21a
Goto Top

Windows PKI root Zertifikate werden nicht aktualisiert

Hallo Community,

wir haben eine eigene Unternehmens PKI im Einsatz.

Aktuell gibt es das Problem, dass mehrere ROOT- und Intermediate Zertifikate auf einzelnen Servern in der Domäne nicht korrekt aktualisiert werden.

Konkret betrifft es unser eingesetztes AV-Produkt. Dieses verweigert die Installation eines Patches (vermutlich aufgrund der fehlenden Zertifikate.)

Wir haben einen AV-Server in der DMZ stehen, dort werden die ROOT- und Intermediate Zertifikate korrekt installiert.
Dort ist bei der Patchinstallation keine Fehlermeldung aufgetreten.

Ich möchte nicht jedes ROOT- und Intermediate Zertifikat manuell installieren.

Woran könnte es liegen, dass der Server in der DMZ die Zertifikate automatisch lädt und der Server intern sie von der PKI nicht erhält??

Content-ID: 380395

Url: https://administrator.de/forum/windows-pki-root-zertifikate-werden-nicht-aktualisiert-380395.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

dodo30
dodo30 16.07.2018 um 08:45:39 Uhr
Goto Top
Hallo,

wie werden die Root und Int Zertifikate denn verteilt? per GPO?
Evtl mal die GPO prüfen und schauen das auch alle Server in der Richtigen OU sind oer wie auch imemr Ihr das Organisiert habt


gruß
dominik
emeriks
emeriks 16.07.2018 aktualisiert um 09:16:47 Uhr
Goto Top
Hi,
bevor wir hier nur vermuten:
Weißt Du sicher, dass auf den betreffendem Servern das aktuelle Zertifikat der Root CA nicht im HKLM-Speicher "vertrauenswürdige Zertifizierungsstellen" oder "vertrauenswürdige Zwiwchenzertifizierungsstellen" ist? Hast Du da nachgeschaut?

vermutlich aufgrund der fehlenden Zertifikate.
Weißt Du sicher, dass es daran liegt? Logfiles o.ä.?

aktualisiert
Das Zertifikat wurde ersetzt? Wie lange ist das her?

E.
Chaser21a
Chaser21a 16.07.2018 um 09:16:45 Uhr
Goto Top
Beim Server im LAN ist hatte ich seit einiger Zeit einen Fehlermeldung beim Update einer Konponente erhalten.
Daraufhin habe ich die betreffenden ROOT-Zertifikate "Thatwe Time Stamping CA" und "Geo Trust Global CA" , manuell nachinstalliert.
Danach ist das Update wieder gelaufen.
Der Server in der DMZ hatte diese Update automatisch erhalten.
Die Zertifikate von "Geo Trust" und "Thatwe" habe ich ca. am 29.06. manuell nachinstalliert.

Es sind aktuell aber noch einige weitere Zertifikate, welche beim Server im LAN fehlen. Ich möchte nicht, sobald die Zertifikate aktualisiert werden das gleiche Spiel beginnen.
emeriks
emeriks 16.07.2018 aktualisiert um 09:20:51 Uhr
Goto Top
Ja nee is klar ....
Sag mal, wie gehören diese Dinge für Dich zusammen? Willst Du uns beschäftigen?
Überschrift
Windows PKI

Text
wir haben eine eigene Unternehmens PKI im Einsatz.
Aktuell gibt es das Problem, dass mehrere ROOT- und Intermediate Zertifikate auf einzelnen Servern in der Domäne nicht korrekt aktualisiert werden.
die betreffenden ROOT-Zertifikate "Thatwe Time Stamping CA" und "Geo Trust Global CA"

Also die Frage von @dodo30:
Verteilst Du diese Zertifikate via GPO?
dodo30
dodo30 16.07.2018 um 09:20:01 Uhr
Goto Top
was hat das mit deiner eigenen PKI zutun und was ist eig deine Frage?
Chaser21a
Chaser21a 16.07.2018 um 10:42:12 Uhr
Goto Top
Die Zertifikte werden über GPO verteilt.
Chaser21a
Chaser21a 16.07.2018 um 10:47:13 Uhr
Goto Top
Da beide Server, der im LAN und der in der DMZ identisch konfiguriert sind, hat es mich gewundert, dass beim Server in der DMZ das Update ohne Probleme durchlief und bei dem im LAN nicht.
Die Zertifikatsverteilung (LAN=über GPO von PKI / DMZ direkter download von Microsoft) erscheint mir die plausibelste Erklärung dafür warum ich im LAN die Probleme habe und in der DMZ nicht.
emeriks
emeriks 16.07.2018 aktualisiert um 16:04:07 Uhr
Goto Top
Also halten wir fest: Ihr habt zwar eine eigene, interne Windows PKI im Einsatz, aber diese hat mit diesem Problem erstmal nichts zu tun.

Die Zertifikte werden über GPO verteilt.
Jetzt musst Du also nur noch dafür sorgen, dass diese GPO auch für Server in der DMZ gilt und dort auch angewendet wird.
UnbekannterNR1
UnbekannterNR1 16.07.2018 um 13:44:24 Uhr
Goto Top
Deine Clients haben keinen direkten Internet Anschluss ?

Dann hilft Dir vielleicht das hier, Link
Chaser21a
Chaser21a 16.07.2018 um 14:30:24 Uhr
Goto Top
Dankeschön. Das werde ich versuchen.