Jump to content
CCID Bug in MAC 10.14.1 Weiterlesen... ×
Melde dich an, um diesem Inhalt zu folgen  
agilolfinger

CyberJack SSL-Client-Certificat Password-Change

Empfohlene Beiträge

Liebe Forumsteilnehmer,

wir betreiben mehere Windows7-PCs, die in einer AD-Domaene integriert sind.
An einigen dieser PCs sind Chipkartenleser istalliert (CyberJack e-com fuer online-Banking), die ansich problemlos funktionieren.
Die Treiber/Basiskomponenten sind aktuell.

Zudem sind auf den PCs SSL-Client-Zertifikate im Windows-Zertifikatsstore "My" (eigene Zertifikate) installiert, um damit auf eine
geschuetzte Webseite mit MS-IExplorer zugreifen zu koennen.

Problem: Immer wenn die Benutzer ihr Windows-Passwort (Domaenenkennwort)
aendern ist der Private-Key der Client-Zertifikate nicht mehr nutzbar und das Zertifikat muss neu installiert werden.


Dieser Fehler tritt nur auf den PCs auf, an denen ein *Chipkartenleser* instaliert ist.
An den anderen PCs (ohne Chipkartenlser) ist die Passwortaenderung ohne Weiteres moeglich.

 

Versucht man, ein beschaedigtes Zertifikat mittels
certutil -user -repairstore
zu reparieren, erscheint eine Meldung, die dazu auffordert, eine Chipkarte in den Leser einzustecken.
Diese Meldung erscheint, obwohl das fragliche Client-Zertifikat auf der Festplatte gespeichert ist und nicht von einer Karte kommt.

Ueber Hinweise auf die Fehlerursache wuerde ich mich freuen.

Wenn ich weitere Infos oder logs etc. beisteuern kann, bitte ich um Mitteilung,

Ich habe auch eine Vermutung: Bei der Passwortaenderung sollen die private-keys der Zertifikate neu verschluesselt werden. Dieser Vorgang schlaegt fehl, da es zu einem Konfikt zwischen der Zertifikatsverwaltung und den Basiskomounenten des Kartenlesers kommt.

Herzliche Gruesse,

Florian Baier

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ergaenzung:

Es hat den Anschein, als wuerden MS-DPAPI und der Treiber des Kartenlesers beim PW-Wechsel durcheinander geraten.

https://msdn.microsoft.com/en-us/library/ms995355.aspx

Damit scheitert dann die Wieder-Verschluesselung aller private-Keys im lokalen Keystore, wodurch sie ab diesem Zeitpunkt nicht mehr nutzbar sind.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesem Inhalt zu folgen  

×