tomahawk88
Goto Top

WSUS Zertifikat plötzlich ungültig. Das Zertifikat hat eine ungültige digitale Signatur.

Hallo Leute, stehe hier vor einem Mysterium.
Habe einen WSUS + LUP auf einem W2K3 R2 Server installiert und verteile damit nicht nur Windows Udpates auf die 350 Clients, sondern auch Java, Adobe- und Autodesk Updates / Service Packs. Zertifikate werden über GruRiLi verteilt. Funktionierte bis vor ein paar Tagen alles super.

Plötzlich ist jedoch das Zertifikat "WSUS Publishers Self-signed" ungültig. Erst nach genauem Hinschauen in die Logs fiel es mit auf. Zuerst hat der LUP immer gejammert dass er neue Update-Pakete nicht verifizieren kann. Klickt man auf das Zertifikat im Zertifikate-Manager, dann sieht man auf dem Startbild unter Zertifikatsinformationen: "Die Integrität dieses Zertifikates kann nicht garantiert werden. Das Zertifikat ist eventuell beschädigt oder wurde geändert."
Unter Zerifizierungspfad steht: "Das Zertifikat hat eine ungültige digitale Signatur."

Nun zu dem Mysterium:
Öffne ich das Zertifikat von einer anderen Domäne (dort steht ein WSUS Depotserver), die eine Vertrauensstellung zu unserer hat, ist das exakt gleiche Zertifikat gültig. Wir haben keine Zertifizierungsstelle bei uns.
Jetzt habe ich nur noch Fragezeichen über dem Kopp! Ich kann mir vorstellen dass die Ursache nur ein kleiner Schalter ist.

Content-ID: 193106

Url: https://administrator.de/forum/wsus-zertifikat-ploetzlich-ungueltig-das-zertifikat-hat-eine-ungueltige-digitale-signatur-193106.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

AndiEoh
AndiEoh 22.10.2012 um 13:10:52 Uhr
Goto Top
Hallo

vor kurzem hat MS mit KB2661254 die minimale RSA Schlüssellänge auf 1024 Bit festgelegt. Ich kenne zwar "LUP" nicht aber ich nehme an das wird die Baustelle sein.

http://thwack.solarwinds.com/community/application-and-server_tht/patch ...

Gruß

Andi
Tomahawk88
Tomahawk88 22.10.2012 aktualisiert um 17:49:00 Uhr
Goto Top
Hallo AndiEoh,

stimmt, das Update habe ich ohne mir über die Konsequenzen im Klaren zu sein, freigegeben. Ohje! D.h. erst einmal wieder runter damit zumal der Nutzen durch dieses optionale Update bei uns (vom Internet abgeschottet) nicht gegeben ist. LUP, der Local Update Publisher, muss die 3rd-party Updates auch mit dem WSUS eigenen Zertifikat signieren. Somit ist er genauso davon betroffen.

LÖSUNG:

Die Ursache war das Update KB2661254. Es wurde nach dem Eklat mit dem kompromitierten Windows Update - Zertifikat entwickelt und veröffentlicht. Installiert man dieses Update werden von Windows nur noch Zertifikate für Signaturen / Verschlüsselungen akzeptiert, die mit einem Schlüssel verschlüsselt wurden, der mind. 1024 Bits lang ist. Das "WSUS Publisher Self-signed" - Zertifikat war bei uns nur mit einem SHA(512) - Schlüssel versehen.

Vielen Dank für den nützlichen Hinweis.