Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel biedt een tijdelijke oplossing voor een probleem waarbij geldige basis-CA-certificaten die worden gedistribueerd met behulp van GPO worden weergegeven als niet-vertrouwd.
Oorspronkelijk KB-nummer: 4560600
Symptomen
Belangrijk
Niet-vertrouwde ca-certificaatproblemen (root Certificate Authority) kunnen worden veroorzaakt door talloze PKI-configuratieproblemen. Dit artikel illustreert slechts een van de mogelijke oorzaken van een niet-vertrouwd basis-CA-certificaat.
Verschillende toepassingen die gebruikmaken van certificaten en PKI (Public Key Infrastructure) kunnen onregelmatige problemen ondervinden, zoals connectiviteitsfouten, één of twee keer per dag/week. Deze problemen treden op vanwege mislukte verificatie van het eindentiteitscertificaat. Betrokken toepassingen kunnen verschillende connectiviteitsfouten retourneren, maar ze hebben allemaal veelvoorkomende fouten met niet-vertrouwde basiscertificaten. Hieronder ziet u een voorbeeld van een dergelijke fout:
| Hex | Decimal | Symbolisch | Tekstversie |
|---|---|---|---|
| 0x800b0109 | -2146762487 | (CERT_E_UNTRUSTEDROOT) | Een certificaatketen verwerkt, maar beëindigd in een basiscertificaat |
Elke PKI-toepassing die gebruikmaakt van CryptoAPI-systeemarchitectuur kan worden beïnvloed door een onregelmatig verlies van connectiviteit of een fout in de afhankelijke functionaliteit van PKI/Certificaat. Vanaf april 2020 omvat de lijst met toepassingen waarvan bekend is dat dit probleem van invloed is, maar zijn waarschijnlijk niet beperkt tot:
- Citrix
- Extern bureaublad-service (RDS)
- Skype
- Webbrowsers
Beheerders kunnen problemen met niet-vertrouwde basis-CA-certificaten identificeren en oplossen door het CAPI2-logboek te inspecteren.
Richt uw inspanningen op het oplossen van problemen met Build Chain/Verify Chain Policy in het CAPI2-logboek met de volgende handtekeningen. Bijvoorbeeld:
Fout <DateTime> CAPI2 11 Build Chain
Fout <DateTime> CAPI2 30 Verify Chain PolicyResultaat: een certificaatketen is verwerkt, maar beëindigd in een basiscertificaat dat niet wordt vertrouwd door de vertrouwensprovider.
[waarde] 800b0109
Oorzaak
Problemen met niet-vertrouwde basis-CA-certificaten kunnen optreden als het basis-CA-certificaat wordt gedistribueerd met behulp van het volgende groepsbeleid (GP):
Beveiligingsinstellingen voor windows-instellingen>>voor computerconfiguratie>openbare sleutelbeleid>vertrouwde basiscertificeringsinstanties
Details van hoofdoorzaak
Wanneer u het basis-CA-certificaat distribueert met GPO, wordt de inhoud verwijderd HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates en opnieuw geschreven. Deze verwijdering is standaard, omdat de GP registerwijzigingen toepast.
Wijzigingen in het gebied van het Windows-register dat is gereserveerd voor basis-CA-certificaten, stellen het Crypto API-onderdeel van de clienttoepassing op de hoogte. En de toepassing wordt gesynchroniseerd met de registerwijzigingen. De synchronisatie is hoe de toepassingen up-to-date worden gehouden en op de hoogte worden gesteld van de meest recente lijst met geldige basis-CA-certificaten.
In sommige scenario's duurt de verwerking van groepsbeleid langer. Veel basis-CA-certificaten worden bijvoorbeeld gedistribueerd via GPO (vergelijkbaar met veel firewalls of Applocker beleidsregels). In deze scenario's ontvangt de toepassing mogelijk niet de volledige lijst met vertrouwde basis-CA-certificaten.
Daarom worden eindentiteitscertificaten die gekoppeld zijn aan de ontbrekende basis-CA-certificaten weergegeven als niet-vertrouwd. En er treden verschillende certificaatgerelateerde problemen op. Dit probleem is onregelmatig en kan tijdelijk worden opgelost door GPO-verwerking opnieuw af te dwingen of opnieuw op te starten.
Als het basis-CA-certificaat wordt gepubliceerd met behulp van alternatieve methoden, treden de problemen mogelijk niet op vanwege de hierboven genoemde situatie.
Tijdelijke oplossing
Microsoft is op de hoogte van dit probleem en werkt eraan om het certificaat en de crypto-API-ervaring in een toekomstige versie van Windows te verbeteren.
U kunt dit probleem oplossen door te voorkomen dat u het basis-CA-certificaat distribueert met behulp van GPO. Het kan bijvoorbeeld gaan om de registerlocatie (zoals HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates) om het basis-CA-certificaat aan de client te leveren.
Wanneer u een basis-CA-certificaat opslaat in een ander, fysiek, basis-CA-certificaatarchief, moet het probleem worden opgelost.
Voorbeelden van alternatieve methoden voor het publiceren van basis-CA-certificaten
Methode 1: Gebruik het opdrachtregelprogramma certutil en root het CA-certificaat dat is opgeslagen in het bestand rootca.cer:
certutil -addstore root c:\tmp\rootca.cer
Notitie
Deze opdracht kan alleen worden uitgevoerd door lokale beheerders en heeft alleen invloed op één computer.
Methode 2: Start certlm.msc (de beheerconsole voor certificaten voor lokale computer) en importeer het basis-CA-certificaat in het fysieke registerarchief.
Notitie
De certlm.msc-console kan alleen worden gestart door lokale beheerders. De import is ook alleen van invloed op één computer.
Methode 3: GPO-voorkeuren gebruiken om het basis-CA-certificaat te publiceren zoals beschreven in voorkeuren voor groepsbeleid
Voer de volgende stappen uit om het basis-CA-certificaat te publiceren:
Importeer het basiscertificaat handmatig op een computer met behulp van de
certutil -addstore root c:\tmp\rootca.ceropdracht (zie methode 1).Open GPMC.msc op de computer waarop u het basiscertificaat hebt geïmporteerd.
Bewerk het groepsbeleidsobject dat u wilt gebruiken om de registerinstellingen op de volgende manier te implementeren:
- Bewerk het windows-instellingenregisterpad voor windows-instellingen > voor computerconfiguratiegroepsbeleid > naar het basiscertificaat.> >
- Voeg het basiscertificaat toe aan het groepsbeleidsobject, zoals wordt weergegeven in de volgende schermopname.
Implementeer het nieuwe groepsbeleidsobject op de computers waarop het basiscertificaat moet worden gepubliceerd.
Elke andere methode, tool of clientbeheeroplossing die basis-CA-certificaten distribueert door ze naar de locatie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates te schrijven, werkt.