Freigeben über

  • Artikel

Grundlegendes zu den Anforderungen selbstsignierter Zertifikate

Letztes Änderungsdatum des Themas: 2009-05-27

Dieser Abschnitt enthält eine Übersicht über mobile Geräte, die eine Installation von selbstsignierten Zertifikaten erfordern. Wenn Ihre Organisation eine öffentliche Zertifizierungsstelle verwendet, ist das Stammzertifikat möglicherweise bereits auf Ihrem mobilen Gerät installiert. Die Installation eines Zertifikats ist ein wichtiger Vorgang. Dieser Abschnitt ist nur für Benutzer gedacht, die auf ihrem mobilen Gerät ein selbstsigniertes Zertifikat installieren müssen. Stellen Sie sicher, dass Communicator Mobile nicht ausgeführt wird, wenn Sie Zertifikate installieren. Andernfalls müssen Sie u. U. das Gerät neu starten, um die Zertifikate verwenden zu können.

Rolle von Zertifikaten

Zertifikate tragen durch die Authentifizierung des Office Communications Server 2007 R2-Computers, mit dem Office Communicator Mobile eine Verbindung herstellt, zur Sicherheit des Netzwerks bei. Um die Authentifizierung ausführen zu können, ist für Office Communicator Mobile erforderlich, dass das Stammzertifikat, welches Teil des Serverzertifikats ist, auf dem Gerät installiert ist. Wenn Ihre Organisation eine öffentliche Zertifizierungsstelle verwendet, ist das Stammzertifikat möglicherweise bereits auf den mobilen Geräten der Benutzer installiert.

Im Lieferumfang von Windows Mobile-Geräten sind standardmäßig verschiedene Zertifikate enthalten. Eine Liste der Zertifikate, mit denen Windows Mobile 6-Geräte momentan ausgeliefert werden, finden Sie auf der Microsoft-Website unter Zertifikate für Windows Mobile 5.0 und Windows Mobile 6 (möglicherweise in englischer Sprache). Vor dem Fortfahren sollten Sie sicherstellen, dass das Stammzertifikat, welches Teil des Serverzertifikats ist, nicht bereits auf dem Gerät installiert ist.

Zertifikattools

Weiter unten finden Sie eine Einführung in einige der Tools und Richtlinien, mit denen Sie Stammzertifikate auf Windows Mobile-Geräten installieren können. Zudem werden verschiedene Installationsverfahren erläutert. Vor dem Installieren der Zertifikate sollten Sie sich mit den Tools und Richtlinien vertraut machen, mit denen Zertifikate auf Windows Mobile-Geräten installiert werden können.

SPAddCert

Mithilfe des Dienstprogramms SPAddCert können Stammzertifikate auf Windows Mobile-Geräten installiert werden, für die die Richtlinie zur uneingeschränkten Anwendungssicherheit festgelegt ist. Sie können damit jedoch keine Zertifikate von Zwischenzertifizierungsstellen installieren.

Wenn der Mobilfunkbetreiber für das Gerät Einschränkungen festgelegt hat, wird beim Ausführen von SPAddCert eine Fehlermeldung ähnlich der folgenden ausgegeben: "Dieses Gerät ist derzeit gesichert, sodass dem Stammspeicher keine Zertifikate hinzugefügt werden können. Wenden Sie sich bitte an den zuständigen Administrator."

Sie können SPAddCert nur dann auf Geräten mit Einschränkungen ausführen, wenn die verwendete Version von SPAddCert vom Mobilfunkbetreiber signiert und verteilt wurde. Ausführliche Informationen zum Herunterladen des Dienstprogramms SPAddCert finden Sie im Microsoft Knowledge Base-Artikel 841060, "Hinzufügen von Stammzertifikaten zu Windows Mobile 2003 Smartphone und Windows Mobile 2002 Smartphone", unter https://go.microsoft.com/fwlink/?LinkId=126908.

Hinweise zu "SPAddCert"

  • Damit nicht signierte Anwendungen wie SPAddCert auf dem Gerät ausgeführt werden, muss die Richtlinie für nicht signierte Anwendungen (4102) auf dem Gerät auf 1 festgelegt sein. Der Standardwert ist 0 (null). Wenn die Richtlinie nicht ordnungsgemäß konfiguriert ist, führt die Ausführung von SPAddCert zu einem Fehler.
  • Sie können diese Richtlinieneinstellung ändern, indem Sie die Registrierung manuell bearbeiten. Dadurch können auch andere nicht signierte Anwendungen ausgeführt werden, was zu Sicherheitsrisiken führen kann.
  • Um diese Richtlinieneinstellung in der Registrierung zu ändern, wechseln Sie zum Registrierungsschlüssel HKEY\LOCAL_MACHINE\Security\Policies\Policies\. Ändern Sie unter 00001006 (4102) den Wert in 1. Erstellen Sie ggf. den neuen DWORD-Wert.

Certinst und Richtlinie "Managerrolle gewähren"

Certinst ist ein systemeigenes Dienstprogramm auf Pocket PCs, mit dem ausgewählte Zertifikate installiert werden können. Mithilfe von Certinst können Stammzertifikate oder Zertifikate von Zwischenzertifizierungsstellen installiert werden. Die Richtlinie Managerrolle gewähren ist eine Sicherheitsrichtlinie für Windows Mobile-Geräte, die die Ebene des Zugriffs auf Ressourcen auf dem Gerät angibt, beispielsweise beim Installieren einer neuen Anwendung oder eines Zertifikats. Ihrem Konto muss z. B. auf einem Pocket PC die Rolle Manager zugewiesen sein, damit das Gerät das systemeigene Dienstprogramm Certinst zum Installieren eines Zertifikats verwenden kann. Die Rolle Manager wird Ihrem Konto zugewiesen, wenn der Wert der Richtlinie Managerrolle gewähren auf USER_AUTH (16) festgelegt ist.

Hinweise zu Certinst und zur Richtlinie "Managerrolle gewähren"

  • Damit Certinst ordnungsgemäß ausgeführt wird, muss die Richtlinie Managerrolle gewähren (4119) für das Gerät auf 16 festgelegt sein. Damit wird die Rolle USER_AUTH angegeben. In der Standardeinstellung ist die Richtlinie auf 128 (die Rolle OPERATOR_TPS) festgelegt. Wenn die Richtlinie nicht ordnungsgemäß konfiguriert ist, führt die Ausführung von Certinst zu einem Fehler.
    Sie können die Rolle USER_AUTH hinzufügen, indem Sie die Registrierung oder eine Gerätebereitstellungsdatei manuell bearbeiten. Dadurch werden jedoch die Berechtigungen der Sicherheitsrolle USER_AUTH auf die Berechtigungen eines Systemadministrators heraufgestuft, und diese Änderung kann ein Sicherheitsrisiko darstellen.
    Um diese Richtlinieneinstellung in der Registrierung zu ändern, wechseln Sie zum Registrierungsschlüssel HKEY\LOCAL_MACHINE\Security\Policies\Policies\. Ändern Sie unter 00001017 (4119) den Wert in 16.
  • Wenn das Gerät über keinen systemeigenen Registrierungs-Editor verfügt, mit dem die Richtlinie Managerrolle gewähren geändert werden kann, können Sie einen der kostenlosen Registrierungs-Editoren verwenden, die im Web verfügbar sind.