A política de grupo remove o certificado do armazenamento pessoal

Question

A política de grupo remove o certificado do armazenamento pessoal

#1 resposta do (0 votos)

1

Temos um certificado de assinatura de código que é emitido pela nossa empresa CA.
Estamos usando uma política de grupo para implantar esse certificado no armazenamento Editores Confiáveis em nossos computadores de domínio.

Funciona como deveria: O certificado raiz é adicionado a Autoridades de Certificação Raiz Confiáveis e o certificado de assinatura de código é adicionado a Editores Confiáveis .

Em nossos computadores de desenvolvimento, precisamos que esse certificado (incluindo sua chave privada) esteja no armazenamento pessoal do desenvolvedor também. A importação manual do arquivo * .pfx funciona conforme o esperado.

No entanto, após executar gpupdate /force , o certificado é removido do armazenamento pessoal.
Eu não sei porque isso acontece?

Capturas de tela das configurações do GPO:

Atualizar :
Como o CryptoGuy sugeriu nos comentários, eu corri certutil -verify -urlfetch certtoverify.cer . (Eu fiz algumas informações pessoais, e a saída é em alemão, mas espero que você possa obter a informação que você precisa):

Aussteller:
    CN=XXXX
    DC=XXXX
    DC=XXXX
Antragsteller:
    CN=XXXX
    OU=XXXX
    OU=XXXX
    OU=XXXX
    DC=XXXX
    DC=XXXX
Zertifikatseriennummer: 3f3e6f53000100000079

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwRevocationFreshnessTime: 21 Hours, 30 Minutes, 24 Seconds

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 21 Hours, 30 Minutes, 24 Seconds

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
  Issuer: CN=XXXX, DC=XXXX, DC=XXXX
  NotBefore: 01.09.2014 10:18
  NotAfter: 01.09.2015 10:18
  Subject: CN=XXXX, OU=XXXX, OU=XXXX, OU=XXXX, DC=XXXX, DC=XXXX
  Serial: 3f3e6f53000100000079
  SubjectAltName: Anderer Name:[email protected]
  Template: CodeSigning
  07 6c 8c ea d7 42 8e 63 95 12 c3 36 47 de f1 77 a4 a6 56 b9
  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
  ----------------  Zertifikat abrufen  ----------------
  Falscher Aussteller "Zertifikat (0)" Zeit: 0
    [0.0] ldap:///CN=XXXX,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=XXXX,DC=XX?cACertificate?base?objectClass=certificationAuthority

  Abgelaufen "Zertifikat (1)" Zeit: 0
    [0.1] ldap:///CN=XXXX,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=XXXX,DC=XX?cACertificate?base?objectClass=certificationAuthority

  Überprüft "Zertifikat (2)" Zeit: 0
    [0.2] ldap:///CN=XXXX,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=XXXX,DC=XX?cACertificate?base?objectClass=certificationAuthority

  Überprüft "Zertifikat (2)" Zeit: 0
    [1.0] http://svr-XXXX.XXXX.XX/CertEnroll/svr-XXXX.XXXX.XX_XXXX(1).crt

  ----------------  Zertifikat abrufen  ----------------
  Überprüft "Basissperrliste (085e)" Zeit: 0
    [0.0] ldap:///CN=XXXX,CN=svr-XXXX,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=XXXX,DC=XX?certificateRevocationList?base?objectClass=cRLDistributionPoint

  Überprüft "Deltasperrliste (085e)" Zeit: 0
    [0.0.0] ldap:///CN=XXXX,CN=svr-XXXX,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=XXXX,DC=XX?deltaRevocationList?base?objectClass=cRLDistributionPoint

  Überprüft "Deltasperrliste (085e)" Zeit: 0
    [0.0.1] http://svr-XXXX.XXXX.XX/CertEnroll/XXXX+.crl

  Überprüft "Basissperrliste (085e)" Zeit: 0
    [1.0] http://svr-XXXX.XXXX.XX/CertEnroll/XXXX.crl

  Überprüft "Deltasperrliste (085e)" Zeit: 0
    [1.0.0] ldap:///CN=XXXX,CN=svr-XXXX,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=XXXX,DC=XX?deltaRevocationList?base?objectClass=cRLDistributionPoint

  Überprüft "Deltasperrliste (085e)" Zeit: 0
    [1.0.1] http://svr-XXXX.XXXX.XX/CertEnroll/XXXX+.crl

  ----------------  Basissperrliste veraltet  ----------------
  OK "Deltasperrliste (085f)" Zeit: 0
    [0.0] ldap:///CN=XXXX,CN=svr-XXXX,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=XXXX,DC=XX?deltaRevocationList?base?objectClass=cRLDistributionPoint

  OK "Deltasperrliste (085f)" Zeit: 0
    [1.0] http://svr-XXXX.XXXX.XX/CertEnroll/XXXX+.crl

  ----------------  Zertifikat-OCSP  ----------------
  Keine URLs "Keine" Zeit: 0
  --------------------------------
    CRL 085e:
    Issuer: CN=XXXX, DC=XXXX, DC=XX
    6d 8c da 8f 04 15 d8 27 56 aa bb 96 fc 61 5a 80 6f 5b 5a e9
    Delta CRL 085f:
    Issuer: CN=XXXX, DC=XXXX, DC=XX
    e7 7e a4 34 b8 35 77 93 d2 96 0a af d3 ff c2 a0 57 51 36 99
  Application[0] = 1.3.6.1.5.5.7.3.3 Codesignatur

CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
  Issuer: CN=XXXX, DC=XXXX, DC=XX
  NotBefore: 11.09.2009 13:22
  NotAfter: 01.09.2019 10:11
  Subject: CN=XXXX, DC=XXXX, DC=XX
  Serial: 4a94f0d7dac38da64c2ae9076c54ae87
  Template: CA
  6b 5d fd 05 60 c5 25 c4 0a 66 58 5b 77 4a 84 ce 07 f0 46 54
  Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
  Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
  ----------------  Zertifikat abrufen  ----------------
  Keine URLs "Keine" Zeit: 0
  ----------------  Zertifikat abrufen  ----------------
  Abgelaufen "Basissperrliste (03cd)" Zeit: 0
    [0.0] ldap:///CN=XXXX,CN=svr-YY01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=XXXX,DC=XX?certificateRevocationList?base?objectClass=cRLDistributionPoint

  Abgelaufen "Deltasperrliste (03cd)" Zeit: 0
    [0.0.0] ldap:///CN=XXXX,CN=svr-YY01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=XXXX,DC=XX?deltaRevocationList?base?objectClass=cRLDistributionPoint

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Fehler 0x801901f7 (-2145844745)
    [0.1.0] http://svr-YY01.XXXX.XX/CertEnroll/XXXX+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Fehler 0x801901f7 (-2145844745)
    http://svr-YY01.XXXX.XX/CertEnroll/XXXX.crl

  ----------------  Zertifikat-OCSP  ----------------
  Keine URLs "Keine" Zeit: 0
  --------------------------------

Exclude leaf cert:
  4f 7d 53 0f 4f 73 08 3f e7 ba 64 c3 50 ee 71 9c bb c8 90 41
Full chain:
  43 56 70 7e c5 d6 14 ae 97 06 72 44 98 1c 7c 3f fe 56 c1 eb
------------------------------------
Verfizierte Ausstellungsrichtlinien: Kein
Verfizierte Anwendungsrichtlinien:
    1.3.6.1.5.5.7.3.3 Codesignatur
Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlossen.
CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.

certificate group-policy

por powerzone3000 04.08.2015 / 15:23

1 resposta

Tags certificate group-policy

Definindo localidade para a sessão atual jsessionid cai entre o apache e o tomcat

score 0 · Accepted Answer

Alguns dias atrás nós emitimos um novo Certificado porque o antigo expirou e parece que o problema está resolvido.

Deve ter havido algo errado com o certificado original.