Fehler beim Zugriff auf Zertifikate

Connect - Website unerreichbar, da das Dienstkonto "Connect" keinen Lesezugriff auf das TLS-Zertifikat hat

Symptom:

Wenn der ConnectServer Windows-Dienst unter dem dedizierten Dienstkonto "connect" gestartet wird, gibt die Web-UI von jedem lokalen oder entfernten Browser die Meldung "Can't reach this page" zurück.

Das Ausführen des Dienstes als SYSTEM oder das Hinzufügen von "connect" zur Administratorengruppe behebt das Problem, was auf ein Berechtigungsproblem hinweist

Hauptursache:

Das Dienstkonto "connect" konnte den privaten Schlüssel des TLS-Zertifikats nicht lesen.

Lösung:

1. Öffnen Sie mmc.exe → Zertifikate (Lokaler Computer) → Persönlich → Zertifikate

2. Suchen Sie das von "Connect" verwendete Zertifikat (ausgestellt auf den FQDN des Servers)

3. Rechtsklick → Alle Aufgaben → Private Schlüssel verwalten ...

4. Hinzufügen → den lokalen Benutzer "connect" auswählen, Leseberechtigung erteilen, OK

5. Starten Sie den Connect-Dienst neu

Prävention / Bewährte Verfahren

• Importieren Sie das TLS-Zertifikat immer in den Speicher des lokalen Rechners (nicht des aktuellen Benutzers)

• Gewähren Sie dem nicht-privilegierten Dienstkonto sofort Lesezugriff auf den privaten Schlüssel.