Jump to content
Melde dich an, um diesem Inhalt zu folgen  
agilolfinger

CyberJack SSL-Client-Certificat Password-Change

Empfohlene Beiträge

Liebe Forumsteilnehmer,

wir betreiben mehere Windows7-PCs, die in einer AD-Domaene integriert sind.
An einigen dieser PCs sind Chipkartenleser istalliert (CyberJack e-com fuer online-Banking), die ansich problemlos funktionieren.
Die Treiber/Basiskomponenten sind aktuell.

Zudem sind auf den PCs SSL-Client-Zertifikate im Windows-Zertifikatsstore "My" (eigene Zertifikate) installiert, um damit auf eine
geschuetzte Webseite mit MS-IExplorer zugreifen zu koennen.

Problem: Immer wenn die Benutzer ihr Windows-Passwort (Domaenenkennwort)
aendern ist der Private-Key der Client-Zertifikate nicht mehr nutzbar und das Zertifikat muss neu installiert werden.


Dieser Fehler tritt nur auf den PCs auf, an denen ein *Chipkartenleser* instaliert ist.
An den anderen PCs (ohne Chipkartenlser) ist die Passwortaenderung ohne Weiteres moeglich.

 

Versucht man, ein beschaedigtes Zertifikat mittels
certutil -user -repairstore
zu reparieren, erscheint eine Meldung, die dazu auffordert, eine Chipkarte in den Leser einzustecken.
Diese Meldung erscheint, obwohl das fragliche Client-Zertifikat auf der Festplatte gespeichert ist und nicht von einer Karte kommt.

Ueber Hinweise auf die Fehlerursache wuerde ich mich freuen.

Wenn ich weitere Infos oder logs etc. beisteuern kann, bitte ich um Mitteilung,

Ich habe auch eine Vermutung: Bei der Passwortaenderung sollen die private-keys der Zertifikate neu verschluesselt werden. Dieser Vorgang schlaegt fehl, da es zu einem Konfikt zwischen der Zertifikatsverwaltung und den Basiskomounenten des Kartenlesers kommt.

Herzliche Gruesse,

Florian Baier

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ergaenzung:

Es hat den Anschein, als wuerden MS-DPAPI und der Treiber des Kartenlesers beim PW-Wechsel durcheinander geraten.

https://msdn.microsoft.com/en-us/library/ms995355.aspx

Damit scheitert dann die Wieder-Verschluesselung aller private-Keys im lokalen Keystore, wodurch sie ab diesem Zeitpunkt nicht mehr nutzbar sind.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Melde dich an, um diesem Inhalt zu folgen  

×
×
  • Neu erstellen...