Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Smartcard logon mit third party ca

Mitglied: grice82

grice82 (Level 1) - Jetzt verbinden

11.04.2008, aktualisiert 04.06.2008, 6401 Aufrufe, 1 Kommentar

Hallo,
ich sitzt hier und bin am verzweifeln.
Ich versuche vergeblich eine Windows 2003 Active Directory umgebund mit XP Cients so zu konfigurieren, dass Smartcard logon mit third party Zertifikaten Funktioniert.

Also unser Domäne läuft seit 2 Jahren, ich hatte hier auch Testweise mal eine Windows PKI Umgebung am laufen womit dies alles tadellos funktionierte.
Jedoch hat sich mein Chef entschieden die Zertifikate vom DFN zu nehmen.
Ich habe nun die Windows PKI Umgebung entfernt (wie in Technet beschrieben) und auch alles Zertifikate fachgerecht entfernt.

Nun habe ich DomainController Zertifikate mit den geforderten Spezifikationen (DomainController Extension, GUID) ausgestellt und auf den DC's installiert.
Die Zertifikate der Stammzertifizierungstelle wurden auch im NTAuth Speicher veröffentlicht und sind auf allen Clients verteilt.
Das Benutzerzertifikat wurde auch nach den erforderlichen Spezifikationen (UPN, Extension etc) ausgestellt und mit den Stammzertifikaten auf der Smartcard gepackt.

"certutil -scinfo" behauptet das mit dem Smartcardzertifikat alles OK ist, das Zertifikat wurde auch unter Namenszuordnung im AD dem Benutzer zugeordnet und wird auch als gültig angezeigt, jedoch wenn ich mich versuche anzumelden tauch im Eventlog die Meldung auf "Dieses Ereignis gibt an, dass ein Versuch unternommen wurde die Smartcard-Anmeldung zu verwenden, aber das KDC kann das PKINIT-Protokoll nicht laden, weil ein geeignetes Zertifikat fehlt.".
Jetzt weiß ich nicht weiter, also die Zusammenfassung:
- Domaincontroller Zertifikate da
- Benutzerzertifikat da
- Stammzertifizierung im NTAuth Speicher
- Stammzertifikate in der GPO unter Vertrauenswürde Stammzertifizierung
- Namenszuordnung enthält Benutzerzertifikat
- Namesnzurordnung Kerboros stimmt mit UPN überein und ohne Smartcard kann der User sich auch einloggen mit dem Prinzipal
- Zertifikate vom Benutzer und Stammzertifizierung sind auch im Lokalen Speicher des Benutzers

Wo ist der Fehler? Muss bei einer third party ca trotzdem eine Windows ca in der Domäne sein um Clientzertifikate auszustellen oder mag mich Windows nicht?

Ich hoffe ein Profi kann mir Amateur den rechten Weg weisen
Mitglied: engst03
04.06.2008 um 23:06 Uhr
1. Ist die CRL verfuegbar? Bzw. haben die Client Zertifikate einen CRL Eintrag? (MUSS SEIN)
2. Der Domain Controller braucht auch ein Zert! Sonst geht es eh nicht......

Wie bekommt man denn Zertifikate vom DFN?
Bitte warten ..
Ähnliche Inhalte
Windows 10
BitLocker mit Smartcard??
gelöst Frage von trallerWindows 1012 Kommentare

Hallo, ist folgendes unter Windows 10 mit BitLocker möglich? Entsperren einer BitLocker Systemlaufwerksverschlüsselung mit SmartCard Wenn SmartCard drin, soll ...

Windows 10

Windows 10 Smartcard Login ohne Domäne?

gelöst Frage von anteNopeWindows 102 Kommentare

Hallo zusammen, ich habe hier folgendes Szenario: 2 lokale Rechner Windows 10 Pro x64 Kein Mitglied einer Domäne (es ...

Windows 10

Windows 10 Powershell Logon Script

Frage von derhoeppiWindows 109 Kommentare

Hallo, ich habe ein einfaches Powershell Script das ich via GPO oder Scheduled Task ausführen möchte. In dem Script ...

C und C++

Allgmeiner FunctionWrapper für 3rd Party Funktionan

gelöst Frage von 14116C und C++4 Kommentare

Hallo, wir bekommen hier von einer externen Firma, .c und .h Files zur Verwendung. Diese Dateien werden regelmäßig von ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...

Windows Server
NTFS Berechtigungen Ordnerstruktur
Frage von hukahu23489Windows Server11 Kommentare

Hallo, ich bin seit kurzem in einer neuen IT-Abteilung und bin über das Berechtigungskonzept des Unternehmens sehr schockiert. Ich ...