10
Windows PKI root Zertifikate werden nicht aktualisiert
Hallo Community,
wir haben eine eigene Unternehmens PKI im Einsatz.
Aktuell gibt es das Problem, dass mehrere ROOT- und Intermediate Zertifikate auf einzelnen Servern in der Domäne nicht korrekt aktualisiert werden.
Konkret betrifft es unser eingesetztes AV-Produkt. Dieses verweigert die Installation eines Patches (vermutlich aufgrund der fehlenden Zertifikate.)
Wir haben einen AV-Server in der DMZ stehen, dort werden die ROOT- und Intermediate Zertifikate korrekt installiert.
Dort ist bei der Patchinstallation keine Fehlermeldung aufgetreten.
Ich möchte nicht jedes ROOT- und Intermediate Zertifikat manuell installieren.
Woran könnte es liegen, dass der Server in der DMZ die Zertifikate automatisch lädt und der Server intern sie von der PKI nicht erhält??
wir haben eine eigene Unternehmens PKI im Einsatz.
Aktuell gibt es das Problem, dass mehrere ROOT- und Intermediate Zertifikate auf einzelnen Servern in der Domäne nicht korrekt aktualisiert werden.
Konkret betrifft es unser eingesetztes AV-Produkt. Dieses verweigert die Installation eines Patches (vermutlich aufgrund der fehlenden Zertifikate.)
Wir haben einen AV-Server in der DMZ stehen, dort werden die ROOT- und Intermediate Zertifikate korrekt installiert.
Dort ist bei der Patchinstallation keine Fehlermeldung aufgetreten.
Ich möchte nicht jedes ROOT- und Intermediate Zertifikat manuell installieren.
Woran könnte es liegen, dass der Server in der DMZ die Zertifikate automatisch lädt und der Server intern sie von der PKI nicht erhält??
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 380395
Url: https://administrator.de/contentid/380395
Ausgedruckt am: 23.11.2024 um 04:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
wie werden die Root und Int Zertifikate denn verteilt? per GPO?
Evtl mal die GPO prüfen und schauen das auch alle Server in der Richtigen OU sind oer wie auch imemr Ihr das Organisiert habt
gruß
dominik
wie werden die Root und Int Zertifikate denn verteilt? per GPO?
Evtl mal die GPO prüfen und schauen das auch alle Server in der Richtigen OU sind oer wie auch imemr Ihr das Organisiert habt
gruß
dominik
Hi,
bevor wir hier nur vermuten:
Weißt Du sicher, dass auf den betreffendem Servern das aktuelle Zertifikat der Root CA nicht im HKLM-Speicher "vertrauenswürdige Zertifizierungsstellen" oder "vertrauenswürdige Zwiwchenzertifizierungsstellen" ist? Hast Du da nachgeschaut?
E.
bevor wir hier nur vermuten:
Weißt Du sicher, dass auf den betreffendem Servern das aktuelle Zertifikat der Root CA nicht im HKLM-Speicher "vertrauenswürdige Zertifizierungsstellen" oder "vertrauenswürdige Zwiwchenzertifizierungsstellen" ist? Hast Du da nachgeschaut?
vermutlich aufgrund der fehlenden Zertifikate.
Weißt Du sicher, dass es daran liegt? Logfiles o.ä.?aktualisiert
Das Zertifikat wurde ersetzt? Wie lange ist das her?E.
Beim Server im LAN ist hatte ich seit einiger Zeit einen Fehlermeldung beim Update einer Konponente erhalten.
Daraufhin habe ich die betreffenden ROOT-Zertifikate "Thatwe Time Stamping CA" und "Geo Trust Global CA" , manuell nachinstalliert.
Danach ist das Update wieder gelaufen.
Der Server in der DMZ hatte diese Update automatisch erhalten.
Die Zertifikate von "Geo Trust" und "Thatwe" habe ich ca. am 29.06. manuell nachinstalliert.
Es sind aktuell aber noch einige weitere Zertifikate, welche beim Server im LAN fehlen. Ich möchte nicht, sobald die Zertifikate aktualisiert werden das gleiche Spiel beginnen.
Daraufhin habe ich die betreffenden ROOT-Zertifikate "Thatwe Time Stamping CA" und "Geo Trust Global CA" , manuell nachinstalliert.
Danach ist das Update wieder gelaufen.
Der Server in der DMZ hatte diese Update automatisch erhalten.
Die Zertifikate von "Geo Trust" und "Thatwe" habe ich ca. am 29.06. manuell nachinstalliert.
Es sind aktuell aber noch einige weitere Zertifikate, welche beim Server im LAN fehlen. Ich möchte nicht, sobald die Zertifikate aktualisiert werden das gleiche Spiel beginnen.
Ja nee is klar ....
Sag mal, wie gehören diese Dinge für Dich zusammen? Willst Du uns beschäftigen?
Überschrift
Text
Also die Frage von @dodo30:
Verteilst Du diese Zertifikate via GPO?
Sag mal, wie gehören diese Dinge für Dich zusammen? Willst Du uns beschäftigen?
Überschrift
Windows PKI
Text
wir haben eine eigene Unternehmens PKI im Einsatz.
Aktuell gibt es das Problem, dass mehrere ROOT- und Intermediate Zertifikate auf einzelnen Servern in der Domäne nicht korrekt aktualisiert werden.
die betreffenden ROOT-Zertifikate "Thatwe Time Stamping CA" und "Geo Trust Global CA"
Aktuell gibt es das Problem, dass mehrere ROOT- und Intermediate Zertifikate auf einzelnen Servern in der Domäne nicht korrekt aktualisiert werden.
die betreffenden ROOT-Zertifikate "Thatwe Time Stamping CA" und "Geo Trust Global CA"
Also die Frage von @dodo30:
Verteilst Du diese Zertifikate via GPO?
was hat das mit deiner eigenen PKI zutun und was ist eig deine Frage?
Die Zertifikte werden über GPO verteilt.
Da beide Server, der im LAN und der in der DMZ identisch konfiguriert sind, hat es mich gewundert, dass beim Server in der DMZ das Update ohne Probleme durchlief und bei dem im LAN nicht.
Die Zertifikatsverteilung (LAN=über GPO von PKI / DMZ direkter download von Microsoft) erscheint mir die plausibelste Erklärung dafür warum ich im LAN die Probleme habe und in der DMZ nicht.
Die Zertifikatsverteilung (LAN=über GPO von PKI / DMZ direkter download von Microsoft) erscheint mir die plausibelste Erklärung dafür warum ich im LAN die Probleme habe und in der DMZ nicht.
Also halten wir fest: Ihr habt zwar eine eigene, interne Windows PKI im Einsatz, aber diese hat mit diesem Problem erstmal nichts zu tun.
Die Zertifikte werden über GPO verteilt.
Jetzt musst Du also nur noch dafür sorgen, dass diese GPO auch für Server in der DMZ gilt und dort auch angewendet wird.
Dankeschön. Das werde ich versuchen.
