Verteilen von Zertifikaten auf Windows-Geräten mithilfe von Gruppenrichtlinien
Mithilfe von Gruppenrichtlinien können Sie Zertifikate, die in einer Active Directory-Domäne mit einem vertrauenswürdigen Stamm verkettet sind, an Windows-Geräte verteilen.
Voraussetzungen
Bevor Sie beginnen, benötigen Sie Folgendes:
Ein Zertifikat mit dem privaten Schlüssel. Informationen zum Exportieren eines Zertifikats finden Sie unter Exportieren eines Zertifikats mit dem privaten Schlüssel.
Ein Active Directory-Domänencontroller mit installiertem Snap-In zur Gruppenrichtlinienverwaltung oder ein Gerät mit Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT), der eine Verbindung mit einem Domänencontroller herstellen kann.
Eine Active Directory-Domäne mit einem Konto, das zur Domänensicherheitsgruppe der Domänenadministratoren oder der Unternehmensadministratoren gehört. Weitere Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.
Importieren von Zertifikaten in Gruppenrichtlinien
Starten Sie auf einem Domänencontroller oder Gerät, auf dem RSAT installiert ist, das Snap-In zur Gruppenrichtlinienverwaltung.
Suchen Sie ein vorhandenes Gruppenrichtlinienobjekt (Group Policy Object, GPO) oder erstellen Sie ein neues Gruppenrichtlinienobjekt für die Zertifikateinstellungen. Stellen Sie sicher, dass das GPO der Domäne, dem Standort oder der Organisationseinheit (OE) zugeordnet ist, wo sich die entsprechenden Benutzer- und Computerkonten befinden.
Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt und wählen Sie dann Bearbeiten aus.
Öffnen Sie in der Konsolenstruktur Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien öffentlicher Schlüssel, klicken Sie mit der rechten Maustaste auf den Speicher, in den Sie das Zertifikat importieren wollen, wie z. B. Vertrauenswürdige Stammzertifizierungsstellen, und wählen Sie anschließend Importieren aus.
Wählen Sie auf dem Bildschirm Willkommen beim Zertifikatimport-Assistenten die Option Weiter aus.
Geben Sie für Zu importierende Datei den Pfad zu den entsprechenden Zertifikatdateien ein oder navigieren Sie zu den entsprechenden Zertifikatdateien
\\fs1\c$\fs1.cer
und wählen Sie dann Weiter aus.Geben Sie für den Schutz für den privaten Schlüssel das Kennwort für den privaten Schlüssel ein und wählen Sie Alle erweiterten Eigenschaften mit einbeziehen aus. Wählen Sie dann Weiter aus.
Geben Sie für Zertifikatspeicher die Option Alle Zertifikate im folgenden Speicher speichern ein und navigieren Sie dann zu dem Zertifikatsspeicher, in dem Sie das Zertifikat speichern wollen. Wählen Sie anschließend die Option Weiter aus.
Überprüfen Sie die Zusammenfassung und wählen Sie dann Fertigstellen aus.
Nachdem Sie das Zertifikat importiert haben, wenden Sie die Richtlinie auf Ihre Geräte an und starten Sie sie neu, damit die Einstellungen wirksam werden.