Microsoft Windows 11 verliert Zugriff auf Private Keys von Zertifikaten
In der Windows-11-Community häufen sich derzeit Meldungen über fehlende Zugriffe auf Zertifikate, konkret den privaten Schlüsseln im Benutzerzertifikatsstore.
(Bild: Wachiwit/Shutterstock.com)
- Benjamin Pfister
Augenscheinlich gibt es in Windows 11, auf das viele Unternehmen derzeit umstellen, einen Bug im Zertifikatshandling. Viele Organisationen setzen eine zertifikatsbasierte Authentifizierung für den Zugriff auf Netzwerke oder darin enthaltener Ressourcen ein. Insbesondere wenn man sich aus unsicheren Netzen heraus verbindet, ist die Nutzung eines VPN heute selbstverständlich.
Zur Ablage unter anderem solcher VPN-Zertifikate bietet Windows 11 – ebenso wie bereits die Vorgänger – zwei Zertifikatsspeicher: einen Computerzertifikatsstore und einen Benutzerzertifikatsstore. Darin sind neben den vertrauenswürdigen Stamm- oder Zwischenzertifizierungsstellen auch die eigenen Zertifikate enthalten.
Alles neu importieren
Problematisch ist nun, dass gemäß Meldung einiger Administratoren nach Änderung des Benutzerkennworts im Active Directory und anschließendem Neustart kein Zugriff mehr auf eigene Zertifikate im Benutzerzertifikatsstore besteht. Nur ein neuer Import brachte in einigen Fällen Abhilfe. Selbst auf einen als exportierbar markierten privaten Schlüssel gelang kein Zugriff mehr.
Der Fehler scheint nach aktuellen Erkenntnissen nur bei Active-Directory-Clients in Kombination mit eigens importierten Benutzerzertifikaten aufzutreten. Standalone-PCs ohne Domänenintegration scheinen nicht betroffen zu sein.
Das Verhalten führt gerade in Zeiten der Pandemie zu massiven Problemen beim Einsatz zertifikatsbasierter VPNs, aber auch in mit Benutzerzertifikaten authentifizierten WLAN- und LAN-Netzen. Ebenso sind Applikationen mit zertifikatsbasierter Client-Authentifizierung betroffen. Erste Admins unterbrechen laut Forenbeiträgen bereits den Win-11-Rollout aufgrund des Problems.
iX hat Microsoft um Stellungnahme gebeten, aber am 5. Mai lediglich die Auskunft erhalten, der Hersteller sei "gerade dabei, sich das Thema näher anzusehen". Die Ursachenforschung dauert offenbar an, zumal der Fehler nur auftritt, wenn der Client – zum Beispiel im Homeoffice – direkt nach dem Kennwortwechsel keine Verbindung zum AD hat (Stand 9. Mai 2022, 14 Uhr).
[Update: 09.05.2022 – 14:50 Uhr] Laut einer früheren Version dieser Meldung gibt es bereits einen Patch für das beschriebene Problem. Das ist offenbar doch noch nicht der Fall.
(ur)
