Fehlersuche: Fehlgeschlagene Erneuerung von SCEP-Zertifikaten aufgrund einer Hostnamenänderung

Wenn das SCEP-Zertifikat mit dem DNS-Namen des Geräts verknüpft ist, kann die Umbenennung des Geräts zu einem Fehler bei der Zertifikatserneuerung führen. Dies wird durch die Benachrichtigung angezeigt: "Erneuerung des Client-Zertifikats fehlgeschlagen - Betreff hat sich geändert OLDNAME > NEWNAME".

Problem

Wenn DNS-Name (auto) unter Netzwerk > SCEP Client (NDES) > Zertifikat > Typ von CommonName/SubjectAltName, der Hostname (auch bekannt als Computername oder Terminalname) wird für das SCEP-Zertifikat verwendet.

Wenn das Gerät umbenannt wird, wird die Änderung für die Netzwerkauthentifizierung ignoriert und das Zertifikat mit dem alten Hostnamen bleibt standardmäßig in Verwendung. Auf diese Weise funktioniert die Netzauthentifizierung trotz der Nichtübereinstimmung zwischen dem Zertifikat mit dem alten Hostnamen und dem mit dem neuen Hostnamen weiterhin.

Wenn das Zertifikat jedoch erneuert werden muss, scheitert es in der Regel daran, dass der SCEP-Server kein Zertifikat für den neuen Hostnamen auf der Grundlage der Legitimität des alten Zertifikats ausstellt.

Lösung

Um die Konfiguration zu ändern:

1. Gehen Sie zu System > Registry > network.scepclient.cert%.hostname_change_handling

   

   
   Der Standardwert ist Ignore, deshalb werden Hostnamenänderungen bei der Netzwerkauthentifizierung ignoriert.
   
   

2. Setzen Sie den Parameter auf Reset.
   Wenn sich der Hostname ändert, wird jedes vorhandene Zertifikat verworfen und der gesamte SCEP-Prozess beginnt von vorne.

Die Reset Option ist hilfreich, wenn ein Neustart des gesamten SCEP-Prozesses gewünscht ist. Sie funktioniert nicht, wenn z.B. ein festes Challenge-Passwort konfiguriert wurde und nicht mehr gültig ist. Wenn also der Hostname unbedacht geändert wird, hat die Ignore Option weniger schwerwiegende Folgen.