agilolfinger

Ergaenzung: Es hat den Anschein, als wuerden MS-DPAPI und der Treiber des Kartenlesers beim PW-Wechsel durcheinander geraten. https://msdn.microsoft.com/en-us/library/ms995355.aspx Damit scheitert dann die Wieder-Verschluesselung aller private-Keys im lokalen Keystore, wodurch sie ab diesem Zeitpunkt nicht mehr nutzbar sind.

Liebe Forumsteilnehmer, wir betreiben mehere Windows7-PCs, die in einer AD-Domaene integriert sind. An einigen dieser PCs sind Chipkartenleser istalliert (CyberJack e-com fuer online-Banking), die ansich problemlos funktionieren. Die Treiber/Basiskomponenten sind aktuell. Zudem sind auf den PCs SSL-Client-Zertifikate im Windows-Zertifikatsstore "My" (eigene Zertifikate) installiert, um damit auf eine geschuetzte Webseite mit MS-IExplorer zugreifen zu koennen. Problem: Immer wenn die Benutzer ihr Windows-Passwort (Domaenenkennwort) aendern ist der Private-Key der Client-Zertifikate nicht mehr nutzbar und das Zertifikat muss neu installiert werden. Dieser Fehler tritt nur auf den PCs auf, an denen ein *Chipkartenleser* instaliert ist. An den anderen PCs (ohne Chipkartenlser) ist die Passwortaenderung ohne Weiteres moeglich. Versucht man, ein beschaedigtes Zertifikat mittels certutil -user -repairstore zu reparieren, erscheint eine Meldung, die dazu auffordert, eine Chipkarte in den Leser einzustecken. Diese Meldung erscheint, obwohl das fragliche Client-Zertifikat auf der Festplatte gespeichert ist und nicht von einer Karte kommt. Ueber Hinweise auf die Fehlerursache wuerde ich mich freuen. Wenn ich weitere Infos oder logs etc. beisteuern kann, bitte ich um Mitteilung, Ich habe auch eine Vermutung: Bei der Passwortaenderung sollen die private-keys der Zertifikate neu verschluesselt werden. Dieser Vorgang schlaegt fehl, da es zu einem Konfikt zwischen der Zertifikatsverwaltung und den Basiskomounenten des Kartenlesers kommt. Herzliche Gruesse, Florian Baier