Verwalten von Zertifikatvertrauensstellungen

  • 4 Minuten

Zertifikate spielen beim Schützen und Überprüfen der Authentifizierung und bei anderen sicherheitsbezogenen Aufgaben eine entscheidende Rolle. Zu den Kernprinzipien für diese Funktionalität zählt die Zertifikatvertrauensstellung. Ein Zertifikat kann nur effektiv sein, wenn jeder Benutzer, jedes Gerät oder jede Anwendung der ausstellenden Zertifizierungsstelle vertrauen.

Was ist eine Zertifikatvertrauensstellung?

Bei der Verwendung von Zertifikaten ist es wichtig zu berücksichtigen, wer oder was möglicherweise deren Authentizität und Gültigkeit bewerten muss. Es gibt drei Arten von Zertifikaten, die Sie verwenden können:

  • Interne Zertifikate von einer Unternehmenszertifizierungsstelle (z. B. ein Server, der die AD CS-Rolle hostet).
  • Externe Zertifikate von einer öffentlichen Zertifizierungsstelle (z. B. eine Organisation, die kommerzielle Cybersicherheitssoftware oder Identitätsdienste bereitstellt).
  • Ein selbstsigniertes Zertifikat.

Wenn Sie eine Unternehmens-Stammzertifizierungsstelle bereitstellen und diese zum Registrieren der Zertifikate auf den in die Domäne eingebundenen Geräten Ihrer Benutzer verwenden, akzeptieren diese Geräte die registrierten Zertifikate als vertrauenswürdig. Allerdings betrachten alle Arbeitsgruppengeräte das gleiche Zertifikat als nicht vertrauenswürdig. Dieses Problem können Sie wie folgt beheben:

  • Rufen Sie für die Arbeitsgruppengeräte öffentliche Zertifikate von einer externen Zertifizierungsstelle ab. Dies verursacht Zusatzkosten für öffentliche Zertifikate.
  • Konfigurieren Sie die Arbeitsgruppengeräte so, dass sie der Unternehmens-Stammzertifizierungsstelle vertrauen. Hierzu sind zusätzliche Konfigurationsschritte erforderlich.

Verwalten von Zertifikaten und Zertifikatvertrauensstellungen unter Windows

Im Windows-Betriebssystem gespeicherte Zertifikate können mit diversen Tools verwaltet werden. Dazu zählen Windows Admin Center, das Certificates Microsoft Management Console-Snap-In, Windows PowerShell und das Befehlszeilentool „certutil“. Mit jedem der vorgenannten Tools können Sie auf die Zertifikatspeicher des aktuellen Benutzers und des lokalen Computers sowie auf die zugehörigen Dienste zugreifen. Jeder Speicher besteht aus mehreren Ordnern. Dazu zählen:

Store

Beschreibung

Persönlich

Enthält Zertifikate, die abhängig vom ausgewählten Speicher für den lokalen Benutzer, den lokalen Computer oder den zugehörigen Dienst ausgestellt wurden.

Trusted Root Certification Authorities

Enthält Zertifikate vertrauenswürdiger Stammzertifizierungsstellen.

Organisationsvertrauen

Enthält Zertifikatvertrauenssstellungslisten zum Implementieren von Vertrauensstellungen für selbstssignierte Zertifikate von anderen Organisationen.

Zwischenzertifizierungsstellen

Enthält Zertifikate, die für in der ZS-Hierarchie untergeordnete Zertifizierungsstellen ausgestellt wurden.

Um sicherzustellen, dass Arbeitsgruppengeräte Ihrer Unternehmens-Stammzertifizierungsstelle vertrauen, exportieren Sie auf einem in die Domäne eingebundenen Computer das entsprechende Zertifikat aus dem Ordner „Vertrauenswürdige Stammzertifizierungsstellen“, und importieren Sie es in den gleichen Ordner auf den Arbeitsgruppengeräten.

Hinweis

Alternativ können Sie das Zertifikat der Unternehmens-Stammzertifizierungsstelle auch von der CertEnroll-Freigabe auf dem Server abrufen, der diese Rolle hostet.

Erstellen eines selbstsignierten Zertifikats zu Testzwecken

Selbstsignierte Zertifikate eignen sich nicht für Produktionsszenarien, können aber für Testzwecke nützlich sein. Mit dem Windows PowerShell-Cmdlet New-SelfSignedCertificate können Sie ein selbstsigniertes Zertifikat erstellen. Wenn Sie den Parameter CloneCert einschließen und ein vorhandenes Zertifikat bereitstellen, weist das neue Zertifikat die gleichen Einstellungen auf (mit Ausnahme des öffentlichen Schlüssels). Mit dem Cmdlet wird stattdessen ein neuer Schlüssel mit dem gleichen Algorithmus und der gleichen Länge erstellt.

Im folgenden Beispiel wird ein selbstsigniertes SSL-Serverzertifikat im persönlichen Speicher auf dem lokalen Computer erstellt. Der alternative Antragstellername wird auf www.fabrikam.com, www.contoso.com festgelegt, Antragsteller- und Ausstellername lauten www.fabrikam.com.

New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"