Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] KB931125 - Stammzertifikatsupdate (V37) für Windows 7 SP1 (Dezember 2012)

ttoelle66

ttoelle66

Moderator a.D.
Oben genanntes optionales Update verursacht Schannel Warnung in der Ereignisanzeige. Betroffen sind mehrere Computer/Notebooks.

Ereignis-ID 36885

Ebene Warnung

Bei der Nachfrage der Clientauthentifizierung sendet dieser Server eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client. Der Client verwendet diese Liste, um ein Clientzertifikat auszuwählen, das für den Server vertrauenswürdig ist. Momentan vertraut dieser Server sehr vielen Zertifizierungsstellen, sodass die Liste zu lang ist. Die Liste wurde abgeschnitten. Der Administrator dieses Computers sollte die für Clientauthentifizierung vertrauenswürdigen Zertifizierungsstellen überprüfen und diejenigen entfernen, die nicht unbedingt als vertrauenswürdig eingestuft werden müssen.

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
<EventID>36885</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2012-12-15T16:22:56.860982400Z" />
<EventRecordID>26524</EventRecordID>
<Correlation />
<Execution ProcessID="532" ThreadID="2960" />
<Channel>System</Channel>
<Computer>HL-Workstation</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData />
</Event>

Erstmal die Frage in die Runde, ist dies noch jemanden aufgefallen. Bei Microsoft sind dazu schon einige Beschwerden eingegangen.
 
Anzeige
Das verwunderliche ist, dass geöffnet in der Microsoft Management Console (mmc), die Anzahl der Zertifikate mit der Anzahl der Zertifikate an einem Rechner ohne Schannel-Warnung, gleich ist.
Somit habe ich derzeit keinen Ansatzpunkt gefunden um hier diese Warnung ab zu stellen. Einfach auf Verdacht ein paar Vertrauenswürdige Stammzertifizierungsstellen (355) zu löschen, ergibt für mich keinen Sinn.

Eventuell gibt es hier einen anderen Ansatzpunkt?
 
Nun ich habe den Schritt doch gewagt und alle Zertifikate über mmc > Computerkonto > Vertrauenswürdige Stammzertifizierungsstellen gelöscht. Hierauf ein Import der Liste von 2009 getätigt. Brachte die gleiche Fehlermeldung.
Zum Schluss habe ich mir eine aktuelle authroot.stl geladen. Mit dieser eine Microsoft Root Certifikate Authority.cer erstellt. Von dieser geht eine Aktualisierung der CAPI2 aus. Bisher wurden ca. 16 Stammzertifizierungsstellen automatisch erstellt und Fehler ist bisher nicht mehr aufgetreten.

Eine bisherige negative Beeinflussung durch das Löschen, konnte ich nicht ausmachen. Werde es weiter beobachten und entsprechend berichten. Funktioniert der Weg ohne nachfolgende Probleme, werde ich diesen bei 4 weiteren Geräten durch führen und dann dazu eine korrekte Anleitung schreiben.
 
Schannel Warnung / Ereignis-ID 36885 > Momentan vertraut dieser Server sehr vielen ..

Erklärung der Neuinstallation von Root-Zertifikaten bei oben genannten Fehler: Schannel Warnung Ereignis-ID 36885 Momentan vertraut dieser Server sehr vielen Zertifizierungsstellen, sodass die Liste zu lang ist. Die Liste wurde abgeschnitten.

1. Zertifikate löschen Start > Suchfeld > mmc (Konsolenstamm) > Datei > Snap-In hinzufügen/entfernen > linke Seite ganz nach Unten > Zertifikate markieren > Mitte Hinzufügen klicken > Computerkonto auswählen > Weiter Schaltfläche betätigen > Lokalen Computer > Fertig stellen > OK klicken.
Zertifikate (Lokaler Computer) per Klick auf Dreieck erweitern > Vertrauenswürdige Stammzertifikate per Klick auf Dreieck erweitern > Untermenü Zertifikate markieren. Alle Zertifikate löschen über:
Erstes Zertifikat mit linker Maustaste markieren Großschreibe-Taste gedrückt halten zum letzten Zertifikat scrollen und markieren. Hierauf sind alle Zertifikate markiert und per Entf-Taste können diese gelöscht werden. Jetzt ist dieser Zertifikat-Ordner leer und die Konsole1 kann geschlossen werden. Konsoleneinstellungen in Konsole1 speichern? NEIN klicken.

ot:
(2. Schritt: entpacken. authroot.stl links markieren > rechte Maustaste Eigenschaften > Reiter digitale Signaturen > Microsoft Certificate Trust List Publisher markieren > darunter Details klicken > Zertifikat anzeigen betätigen > Zertifikat installieren... wählen > Speicherort (Zertifizierungsstelle) automatisch wählen lassen.)

2. Schritt: Nachtrag: Bei weiteren Computern verwendete ich diese >>> Anhang anzeigen all-stamm-cert-p7b.zip <<< zur Neuerstellung.

Geht schneller zu Installieren und ist Aktueller eben schon mit den nachfolgend genannten Roots.

Einfach "rechte Maustaste" > "Zertifikat installieren" auswählen. So gelangt man in den "Zertifikatimport-Assistenten" > weiter > Zertifikatsspeicher automatisch auswählen -> fertig stellen!

Die Root-Zertifikate: GLOBALTRUST / A-CERT ADVANCED / A-CERT GLOBALTRUST / A-CERT GOVERNMENT werden installiert und rufen dann die weiteren benötigten Zertifikate automatisch ab.

Testen, dass alles korrekt funktioniert, kann man auch, wie ich herausgefunden habe:

Ruft einfach im Internet Explorer https://www.a-trust.at/ auf und schaut über das mmc, wie hier sehr gut erklärt: How Automatic Root Certificates Update works in Vista / Windows 7 nach, dass dieses A-Trust Zertifikat automatisch installiert wurde.
 

Anhänge

  • authroot.zip
    47,8 KB · Aufrufe: 473
Zuletzt bearbeitet:
Nachtrag: Aufgrund des Artikel von Martin: Achtung! Microsoft und Google warnen vor gefälschten Zertifikaten habe ich händisch die die aktuelle Liste "Nicht vertrauenswürdige Stammzertifikate" noch installiert > Download: Update für Windows Vista, Windows 7, Server 2008, Server 2008 R2 (KB2798897) - Microsoft Download Center - Download Details

Das KB2798897 füllt die Liste "Nicht vertrauenswürdige Stammzertifikate" von 27 auf 58 Zertifikate. Mehr konnte ich über die Microsoft Management Console (mmc) Konsole nicht feststellen.
 
Guten Tag ,

kann es sein das in dem sehr gut beschriebenen Weg zum löschen der vertrauenwürdigen Zertifikate ein Fehler drin ist,

es wurde geschrieben:

Vertrauenswürdige Stammzertifikate per Klick auf Dreieck erweitern > Untermenü Zertifikate markieren.

sollte es nicht heissen:

Vertrauenswürdige Stammzertifizierungsstellen per Klick auf Dreieck erweitern > Untermenü Zertifikate markieren.

habe gerade dieses Problem und bin dadurch etwas ins trudeln gekommen !!!

MFG RTS-Tilly
 
Hallo RTS-Tilly und Willkommen im Forum,

ließ bitte noch einmal genau:

Zertifikate (Lokaler Computer) per Klick auf Dreieck erweitern > Vertrauenswürdige Stammzertifikate per Klick auf Dreieck erweitern > Untermenü Zertifikate markieren. Alle Zertifikate löschen über:
Erstes Zertifikat mit linker Maustaste markieren Großschreibe-Taste gedrückt halten zum letzten Zertifikat scrollen und markieren. Hierauf sind alle Zertifikate markiert und per Entf-Taste können diese gelöscht werden. Jetzt ist dieser Zertifikat-Ordner leer und die Konsole1 kann geschlossen werden. Konsoleneinstellungen in Konsole1 speichern? NEIN klicken.
Zum Vergrößern anklicken....

Solltest du dennoch der Meinung sein, dass etwas meinerseits unglücklich formuliert ist, so werde ich es gerne ändern. Nobody is Perfect! :rolleyes: oder hattest du nicht bis zu Ende gelesen?
 
Hallo ttoelle66,

ich sitze gerade genau vor dem Problem, und versuche es zu beheben,
bei genau ( auch bis zum Ende ) gelesenen Beitrag von dir habe ich bemerkt das es diesen
Untermenuepunkt Vertrauenswürdige Stammzertifikate bei mirt nicht gibt ,
was mich etwas verunsichert weil man ja nicht zerstören will.

habe als Anhang ein Bild eingesetzt wo zu sehen ist wie es bei mir aussieht unter Windows 7
Home Premium 64 bit.

MFG RTS-Tilly

P.s.: danke für die schnelle Antwort
 

Anhänge

  • Konsolestamm 1.JPG
    Konsolestamm 1.JPG
    76,1 KB · Aufrufe: 407
@RTS-Tilly,

wichtig ist dass du Computerkonto auswählen und nicht Eigenes Benutzerkonto wählst!

Start > Suchfeld > mmc (Konsolenstamm) > Datei > Snap-In hinzufügen/entfernen > linke Seite ganz nach Unten > Zertifikate markieren > Mitte Hinzufügen klicken > Computerkonto auswählen > Weiter Schaltfläche betätigen > Lokalen Computer > Fertig stellen > OK klicken.

Dann findest du auch die Vertrauenswürdigen Stammzertifikate. Nur Mut.
 
@ttoelle66,

bin jetzt nochmal deinen Beitrag Wort für Wort nachgegangen, bei mir kommen folgende
angezeigte Fenster zustande.

hier auf meinem PC ist Windows 7 Home Premium installiert,kann es der Stelle ein unterschiede zum PRO geben ?

oder bin ich an der Stelle schon richtig ???

MFG RTS

P.s.: danke für die schnellen Antworten und die Gedult die du ( ihr ) mitbringt !!!
 

Anhänge

  • 1.Snap-In.JPG
    1.Snap-In.JPG
    58,9 KB · Aufrufe: 400
  • 2.Snap-In.JPG
    2.Snap-In.JPG
    68,2 KB · Aufrufe: 583
  • 3.Konsolestamm.JPG
    3.Konsolestamm.JPG
    76,4 KB · Aufrufe: 353
  • 4.Konsolestamm.JPG
    4.Konsolestamm.JPG
    147,4 KB · Aufrufe: 375
@ttoelle66,

so gesagt getan, hat alles bestens funktioniert, nochmals danke für die Hielfe !!!

Habe hier auch schon ein bischen rumgestöbert und einiges Intressantes gefundern,

da werde ich noch einige Zeit zum Stöbern und lesen brauchen !!

MFG RTS-Tilly:ROFLMAO:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben