Ich verwalte eine Active Directory-Domäne mit etwa hundert Windows 7-Clients, auf denen IE9 läuft. Das Netzwerk hat keinen Internetzugang, kann aber auf eine Webanwendung eines Anbieters zugreifen. Die Webanwendung verwendet HTTPS und die Zertifikate des Anbieters stammen von Entrust. Ich versuche herauszufinden, wie ich die Zertifikate zu Active Directory hinzufügen kann, damit alle Clients die Zertifikate erhalten und keine Warnungen oder gar Sperren des Zugriffs auf die Anwendung mehr ausgegeben werden. Nichts von dem, was ich versucht habe, hat funktioniert.
Das Akzeptieren der Zertifikate über das rote Schild in der Adressleiste des Browsers hat nicht funktioniert. Wenn ich mir das Zertifikat ansehe und den Pfad anschaue, wird zwar angezeigt, dass es gültig ist, aber auf einigen Clients wird trotzdem gewarnt und auf anderen blockiert.
Ich habe versucht, die Zertifikate in den Browser zu importieren, indem ich auf Extras-Optionen-Inhalt-Zertifikate gegangen bin, aber das hat auch nicht geholfen. Ich kann die aktuell installierten Zertifikate sehen, aber das Browserverhalten ist unverändert.
Zu guter Letzt habe ich die Zertifikate zur Domänengruppenrichtlinie unter Computerkonfiguration – Richtlinien – Windows-Einstellungen – Sicherheitseinstellungen – Richtlinien für öffentliche Schlüssel – Vertrauenswürdige Stammzertifizierungsstellen hinzugefügt.
Ich verliere bei diesem Thema den Verstand. Ich weiß, dass die Zertifikate gut sind, weil ich sie ohne Probleme in den Browsern unserer Linux-Workstations installiert habe. Nur die Windows-Hosts scheinen sie nicht zu akzeptieren. Ich frage mich, ob das Problem damit zu tun haben könnte, dass die PCs die Zertifikate nicht über das Internet überprüfen können. Ich möchte einfach, dass alle Domänen-PCs die von der Domäne bereitgestellten Zertifikate akzeptieren und es dabei belassen. Ich möchte die Zertifikatsprüfung nicht vollständig deaktivieren, aber ich bin nah dran.
Wäre außerdem die Einrichtung einer Zertifizierungsstelle im LAN hilfreich oder würde sie nur unnötige Komplexität verursachen?
Antwort1
Die eigentliche Ursache meines Problems war, dass die Stammzertifikate für Entrust, die vom Anbieter verwendete Zertifizierungsstelle, nicht im Speicher der vertrauenswürdigen Stammzertifizierungsstellen vorhanden waren. Ich bemerkte zufällig, dass sie fehlten, nachdem ich den TRCA zum hundertsten Mal durchsucht hatte. Ich glaube, das eigentliche Problem war die Unfähigkeit des Clients, auf das Internet zuzugreifen und die Zertifikate direkt bei Entrust zu überprüfen. Nachdem ich die Stammzertifikate von Entrust heruntergeladen und zum Speicher hinzugefügt hatte, war das Problem behoben.