Jump to content
Abschaltung der Forum zum 03.01.2024 ×

CyberJack SSL-Client-Certificat Password-Change


Empfohlene Beiträge

Liebe Forumsteilnehmer,

wir betreiben mehere Windows7-PCs, die in einer AD-Domaene integriert sind.
An einigen dieser PCs sind Chipkartenleser istalliert (CyberJack e-com fuer online-Banking), die ansich problemlos funktionieren.
Die Treiber/Basiskomponenten sind aktuell.

Zudem sind auf den PCs SSL-Client-Zertifikate im Windows-Zertifikatsstore "My" (eigene Zertifikate) installiert, um damit auf eine
geschuetzte Webseite mit MS-IExplorer zugreifen zu koennen.

Problem: Immer wenn die Benutzer ihr Windows-Passwort (Domaenenkennwort)
aendern ist der Private-Key der Client-Zertifikate nicht mehr nutzbar und das Zertifikat muss neu installiert werden.


Dieser Fehler tritt nur auf den PCs auf, an denen ein *Chipkartenleser* instaliert ist.
An den anderen PCs (ohne Chipkartenlser) ist die Passwortaenderung ohne Weiteres moeglich.

 

Versucht man, ein beschaedigtes Zertifikat mittels
certutil -user -repairstore
zu reparieren, erscheint eine Meldung, die dazu auffordert, eine Chipkarte in den Leser einzustecken.
Diese Meldung erscheint, obwohl das fragliche Client-Zertifikat auf der Festplatte gespeichert ist und nicht von einer Karte kommt.

Ueber Hinweise auf die Fehlerursache wuerde ich mich freuen.

Wenn ich weitere Infos oder logs etc. beisteuern kann, bitte ich um Mitteilung,

Ich habe auch eine Vermutung: Bei der Passwortaenderung sollen die private-keys der Zertifikate neu verschluesselt werden. Dieser Vorgang schlaegt fehl, da es zu einem Konfikt zwischen der Zertifikatsverwaltung und den Basiskomounenten des Kartenlesers kommt.

Herzliche Gruesse,

Florian Baier

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 weeks later...

Ergaenzung:

Es hat den Anschein, als wuerden MS-DPAPI und der Treiber des Kartenlesers beim PW-Wechsel durcheinander geraten.

https://msdn.microsoft.com/en-us/library/ms995355.aspx

Damit scheitert dann die Wieder-Verschluesselung aller private-Keys im lokalen Keystore, wodurch sie ab diesem Zeitpunkt nicht mehr nutzbar sind.

Link zu diesem Kommentar
Auf anderen Seiten teilen

×
×
  • Neu erstellen...

Wichtige Information

Diese Website verwendet Cookies – nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung am Ende der Seite. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können.