Zertifikatsspeicher der vertrauenswürdiger Stammzertifizierungsstellen
Ab Windows Vista führt der Plug-and-Play-Manager (PnP) während der Geräte- und Treiberinstallation die Überprüfung der Treibersignatur durch. Die Überprüfung ist erfolgreich, wenn:
Das zum Erstellen der Signatur verwendete Signaturzertifikat wurde von einer Zertifizierungsstelle ausgestellt.
Das entsprechende Stammzertifikat für die Zertifizierungsstelle wird im Zertifikatspeicher vertrauenswürdiger Stammzertifizierungsstellen installiert. Daher enthält der Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen die Stammzertifikate aller Zertifizierungsstellen, denen Windows vertraut.
Um auf den Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen auf einem Windows-Computer zuzugreifen, können Sie die Microsoft Management Console (MMC) mit dem Zertifikat-Snap-In verwenden. Hier sind die Schritte, um dies auf einem Windows 10/11-Computer auszuführen:
Öffnen Sie das Dialogfeld „Ausführen“: Drücken Sie dazu
Windows key + R.Öffnen Sie MMC: Geben Sie in das Dialogfeld „Ausführen“
mmcein, und drücken Sie die Eingabetaste. Die Microsoft Management Console wird geöffnet. Wenn Sie von der Benutzerkontensteuerung (User Account Control, UAC) aufgefordert werden, klicken Sie auf „Ja“, um zuzulassen, dass MMC Änderungen an Ihrem Gerät vornehmen kann.Hinzufügen des Zertifikate-Snap-in:
- Klicken Sie im MMC-Fenster auf
Filedie Menüleiste, und wählen SieAdd/Remove Snap-inaus. - Scrollen Sie im Fenster „Snap-Ins hinzufügen oder entfernen“ nach unten, wählen Sie
Certificatesaus, und klicken Sie dann aufAdd >. - Ein Popup fragt, welche Zertifikate Sie verwalten möchten. Wählen Sie
Computer accountaus, und klicken Sie dann aufNext. - Wählen Sie
Local computer: (the computer this console is running on)aus, und klicken Sie dann aufFinish. - Sie können auch
My user accountoderService accountje nach Ihren Anforderungen wählen, aber für den Zugriff auf die vertrauenswürdigen Stammzertifizierungsstellen wählen Sie in der RegelComputer accountaus. - Klicken Sie auf
OK, um das Fenster „Snap-Ins hinzufügen oder entfernen“ zu schließen.
- Klicken Sie im MMC-Fenster auf
Zugriff auf vertrauenswürdige Stammzertifizierungsstellen:
- Erweitern Sie im MMC unter der Struktur
Certificates (Local Computer)den OrdnerTrusted Root Certification Authorities. - Klicken Sie auf
CertificatesunterTrusted Root Certification Authorities. Dadurch werden alle Zertifikate angezeigt, die derzeit vom Computer als vertrauenswürdig eingestuft werden.
- Erweitern Sie im MMC unter der Struktur
Verwalten der Zertifikate:
- Von hier aus können Sie Details zu jedem Zertifikat anzeigen, neue vertrauenswürdige Zertifikate importieren oder vorhandene entfernen. Seien Sie jedoch vorsichtig, wenn Sie Zertifikate hinzufügen oder entfernen, da sie sich auf die Sicherheit und Funktionalität Ihres Systems auswirken können.
MMC schließen:
- Wenn Sie fertig sind, schließen Sie das MMC-Fenster einfach. Wenn Sie Änderungen vorgenommen haben und gefragt werden, ob Sie die Konsoleneinstellungen speichern möchten, wählen Sie diese Option
Noaus, es sei denn, Sie planen, dieses Konsolensetup wieder zu verwenden.
- Wenn Sie fertig sind, schließen Sie das MMC-Fenster einfach. Wenn Sie Änderungen vorgenommen haben und gefragt werden, ob Sie die Konsoleneinstellungen speichern möchten, wählen Sie diese Option
Denken Sie daran, dass die Verwaltung er Zertifikate und des Speichers für vertrauenswürdige Stammzertifizierungsstellen sorgfältig durchgeführt werden sollte und in der Regel Administratorrechte erfordert. Unsachgemäße Änderungen können die Sicherheit Ihres Systems beeinträchtigen.
Standardmäßig ist der Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen mit mehreren öffentlichen Zertifizierungsstellen konfiguriert, welche die Anforderungen des Microsoft-Programms für Stammzertifikate erfüllen. Administratoren können den Standardsatz vertrauenswürdiger Zertifizierungsstellen konfigurieren und ihre eigene private Zertifizierungsstelle für die Überprüfung der Software installieren.
Hinweis: Es ist unwahrscheinlich, dass einer privaten Zertifizierungsstelle außerhalb der Netzwerkumgebung vertraut wird.
Das Vorhandensein einer gültigen digitalen Signatur stellt die Authentizität und Integrität eines Treiberpakets sicher. Es bedeutet jedoch nicht, dass der Endbenutzer oder ein Systemadministrator dem Softwareherausgeber implizit vertraut. Ein Benutzer oder Administrator muss entscheiden, ob eine Anwendung je nach Einzelfall installiert oder ausgeführt werden soll, basierend auf ihrem Wissen über den Softwareherausgeber und die Anwendung. Standardmäßig ist ein Herausgeber nur vertrauenswürdig, wenn sein Zertifikat im Zertifikatspeicher für vertrauenswürdige Herausgeber installiert ist.
Der Name des Zertifikatspeichers für vertrauenswürdige Stammzertifizierungsstellen ist root. Sie können das Stammzertifikat einer privaten Zertifizierungsstelle manuell in den Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen auf einem Computer installieren, indem Sie das CertMgr-Tool verwenden.
Achtung: Die vom PnP-Manager verwendete Treibersignaturüberprüfungsrichtlinie erfordert, dass das Stammzertifikat einer privaten Zertifizierungsstelle zuvor in der lokalen Computerversion des Zertifikatspeichers für Stammzertifizierungsstellen installiert wurde. Weitere Informationen finden Sie unter Local Machine and Current User Certificate Stores (Zertifikatspeicher des lokalen Computers bzw. des aktuellen Benutzers).
Weitere Informationen zur Treibersignierung finden Sie unter Treibersignaturrichtlinie.