Probleme mit der Zertifikatsüberprüfung in einem geschlossenen Netzwerk

345
DFarland

Ich verwalte eine Active Directory-Domäne mit etwa hundert Windows 7-Clients, auf denen IE9 ausgeführt wird. Das Netzwerk hat keinen Zugriff auf das Internet, kann jedoch auf eine Hersteller-Webanwendung zugreifen. Die Web-App verwendet HTTPS und die Zertifikate des Herstellers stammen von Entrust. Ich versuche herauszufinden, wie Sie die Zertifikate zu Active Directory hinzufügen, damit alle Clients die Zertifikate erhalten und die Warnung beenden oder den Zugriff auf die Anwendung blockieren. Nichts, was ich versucht habe, hat funktioniert.

  1. Das Akzeptieren der Zertifikate über das rote Schild des Browsers in der Adressleiste hat nicht funktioniert. Wenn ich mir das Zertifikat und den Pfad ansehe, heißt es zwar, dass es gültig ist, warnt aber immer noch bei einigen Clients und blockiert bei anderen.

  2. Ich habe versucht, die Zertifikate in den Browser zu importieren, indem Sie auf Tools-Options-Content-Certificates gehen, aber das hat auch nichts geholfen. Ich kann die aktuellen Zertifikate installiert sehen, aber das Verhalten des Browsers bleibt unverändert.

  3. Zu guter Letzt habe ich die Zertifikate der Domänengruppenrichtlinie unter Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Richtlinien für öffentliche Schlüssel - Vertrauenswürdige Stammzertifizierungsstellen hinzugefügt.

Ich verliere bei diesem Thema den Verstand. Ich weiß, dass die Zertifikate gut sind, weil ich sie problemlos in den Browsern unserer Linux-Workstations installiert habe. Nur die Windows-Hosts scheinen sie nicht zu akzeptieren. Ich frage mich, ob das Problem möglicherweise damit zusammenhängt, dass die PCs die Zertifikate nicht mehr über das Internet überprüfen können. Ich möchte einfach, dass alle Domänen-PCs die von der Domäne bereitgestellten Zertifikate akzeptieren und dabei belassen. Ich möchte die Zertifikatsüberprüfung nicht vollständig deaktivieren, komme aber näher.

Würde auch die Einrichtung einer Zertifizierungsstelle im LAN helfen oder nur unnötige Komplexität hinzufügen?

1
Haben Sie [this] (https://technet.microsoft.com/de-de/library/cc772393 (v = ws.10) .aspx) zufällig gelesen? Ramhound vor 9 Jahren 0
Sie haben also Zugang zum Internet, aber Sie blockieren es, außer dieser Web-App? Oder läuft die Web-App auf einer lokalen Installation? Was genau sagt die Warnung? Ich kann die Vertrauenskette nicht überprüfen? Ivan Viktorovic vor 9 Jahren 0
Ja, wir haben einen Internetzugang, aber der Zugriff auf die Client-Systeme ist gesperrt. Es ist eine Laborumgebung und sie möchten, dass die Kunden so isoliert wie möglich sind. Die Hersteller-App und ein oder zwei andere Dienste bilden die Ausnahme. Ich denke, das Problem lag bei der Kette, aber ich habe nie eine spezifische Fehlermeldung gesehen, die so viel angibt. Ich bin kein Windows-Administrator, daher habe ich ihn wahrscheinlich nur vermisst. Ich habe mein Problem einigermaßen gelöst und werde es veröffentlichen. DFarland vor 9 Jahren 0

1 Antwort auf die Frage

0
DFarland

Die zugrunde liegende Ursache meines Problems war, dass Stammzertifikate für Entrust, die vom Anbieter verwendete Zertifizierungsstelle, nicht im Speicher der vertrauenswürdigen Stammzertifizierungsstellen waren. Ich habe gerade zufällig bemerkt, dass sie vermisst wurden, nachdem ich zum hundertsten Mal die TRCA gescannt hatte. Ich glaube, die Unfähigkeit des Kunden, auf das Internet zuzugreifen und die Zertifikate direkt mit Entrust zu überprüfen, war das eigentliche Problem. Nachdem Sie die Stammzertifikate von Entrust heruntergeladen und dem Speicher hinzugefügt haben, ist das Problem behoben.