6
Allgemeine Frage zum Installieren eines Zertifikats in den lokalen Zertifikatsspeicher
Moin,
wenn man z.B. ein ROOT-Zertifikat von einer eigenen ROOT-CA in den lokalen Zertifikatsspeicher installieren möchte, dann macht man einen Doppelklick auf das Zertifikat.
Irgendwann kommt man an den Punkt, wo gefragt wird, welcher Zertifikatsspeicher ausgewählt werden soll.
Lässt man die Einstellung auf "Zertifikatspeicher automatisch auswählen (auf dem Zertifikattyp basierend)" dann installiert Windows das Zertifikat in den Speicher "Zwischenzertifizierungsstellen".
Eigentlich hätte ich das im Speicher "Vertrauenswürdige Stammzertifizierungsstellen" erwartet.
Von daher muss man die zweite Option auswählen, wo man dann den Speicher direkt anwählt.
Meine Frage ist:
Nach welchen Kriterien installiert Windows das Zertifikat in welchen Speicher? Kann man das z.B. bei der Erstellung des Zertifikats vorher berücksichtigen oder steuern?
wenn man z.B. ein ROOT-Zertifikat von einer eigenen ROOT-CA in den lokalen Zertifikatsspeicher installieren möchte, dann macht man einen Doppelklick auf das Zertifikat.
Irgendwann kommt man an den Punkt, wo gefragt wird, welcher Zertifikatsspeicher ausgewählt werden soll.
Lässt man die Einstellung auf "Zertifikatspeicher automatisch auswählen (auf dem Zertifikattyp basierend)" dann installiert Windows das Zertifikat in den Speicher "Zwischenzertifizierungsstellen".
Eigentlich hätte ich das im Speicher "Vertrauenswürdige Stammzertifizierungsstellen" erwartet.
Von daher muss man die zweite Option auswählen, wo man dann den Speicher direkt anwählt.
Meine Frage ist:
Nach welchen Kriterien installiert Windows das Zertifikat in welchen Speicher? Kann man das z.B. bei der Erstellung des Zertifikats vorher berücksichtigen oder steuern?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 607977
Url: https://administrator.de/contentid/607977
Printed on: April 25, 2024 at 21:04 o'clock
6 Comments
Latest comment
dann ist das Zertifikat falsch ausgesellt... es gibt ganz grundsätzlich zwei Wege, wie man zu einem Zertifikat kommt. Zum einen kannst du dir mit Makecert ein Selfsigned Root CA Zertifikat ausstellen, mit dem du dann selber für deine Domain (im Labornetz) SSL Zertifikate erstellen kannst.
Hier eine Variante wo man sich ein Root CA erstellt. Ist zwar für Azure, aber geht auch lokal
https://docs.microsoft.com/de-de/azure/vpn-gateway/vpn-gateway-certifica ...
Browser akzeptieren damit erstellte Zertifikate, bringen aber eine Warnmeldung, daß der Herausgeber der Root CA nicht verifiziert werden konnte
Der andere Weg ist über Lets Encrypt, aber das setzt vorraus, daß einem eine echte Domain tatsächlich gehört oder daß man eine Zone delegation hast, z.B. für eine Subdomain.
Oder man spielt in Azure oder AWS damit herum, bei beiden gibts für die Anbietereigenen Domains SSL Zertifikate, aber die kosten dann Geld.
Hier eine Variante wo man sich ein Root CA erstellt. Ist zwar für Azure, aber geht auch lokal
https://docs.microsoft.com/de-de/azure/vpn-gateway/vpn-gateway-certifica ...
Browser akzeptieren damit erstellte Zertifikate, bringen aber eine Warnmeldung, daß der Herausgeber der Root CA nicht verifiziert werden konnte
Der andere Weg ist über Lets Encrypt, aber das setzt vorraus, daß einem eine echte Domain tatsächlich gehört oder daß man eine Zone delegation hast, z.B. für eine Subdomain.
Oder man spielt in Azure oder AWS damit herum, bei beiden gibts für die Anbietereigenen Domains SSL Zertifikate, aber die kosten dann Geld.
Hallo GrueneSosseMit Speck,
erst mal Danke für dein Ausführungen. Ich glaube, das habe ich noch nicht so verstanden.
Ich habe eine lokale, eigenständige Zertifizierungsstelle vom Typ Stammzertifizierungsstelle unter Windows erstellt.
Nachdem diese konfiguriert wurde, habe ich das ROOT-Zertifikat unter C:\Windows\System32\CertSrv\CertEnroll genommen und wollte dieses ROOT-Zertifikat in den lokalen Speicher eines andern Computers installieren.
Das ist derzeit der Stand.
erst mal Danke für dein Ausführungen. Ich glaube, das habe ich noch nicht so verstanden.
Hier eine Variante wo man sich ein Root CA erstellt. Ist zwar für Azure, aber geht auch lokal
Genauso habe ich das auch gemacht, nämlich lokal.Ich habe eine lokale, eigenständige Zertifizierungsstelle vom Typ Stammzertifizierungsstelle unter Windows erstellt.
Nachdem diese konfiguriert wurde, habe ich das ROOT-Zertifikat unter C:\Windows\System32\CertSrv\CertEnroll genommen und wollte dieses ROOT-Zertifikat in den lokalen Speicher eines andern Computers installieren.
Das ist derzeit der Stand.
Das sinnvollste ist bei einer internen Zertifizierungsstelle, dass das Zertifikat über eine GPO an die Clients / Server verteilt wird.
Vertrauenswürdige Stammzertifizierungsstellen ist richtig
Vertrauenswürdige Stammzertifizierungsstellen ist richtig
Das sinnvollste ist bei einer internen Zertifizierungsstelle, dass das Zertifikat über eine GPO an die Clients / Server verteilt wird.
Das habe ich auch so gemacht. Ich diesem Fall habe ich eine 2-stufge Windows PKI. Hier läuft ein Webserver, der ein entprechendes Zertifikat hat. Die Browser meckern auch nicht über ein unbekanntes Zertifkat. Soweit auch alles ok.
Nun habe ich ein externes Gerät ohne Anbindung an die AD, welches auch die Webseite ohne eine Zertifikaktswarnung aufrufen soll. Also installiere ich das ROOT-Zertifikat in den lokalen Speicher "Vertrauenswürde Stammzertifizierungsstellen" des Gerätes. Somit klappt das mit diesem Gerät auch.
Nun nochmal zu meiner Frage:
Wenn ich einen Doppelklick auf das ROOT-Zertifikat mache dann kommt man an den Punkt, wo gefragt wird, welcher Zertifikatsspeicher ausgewählt werden soll. Lässt man die Einstellung auf "Zertifikatspeicher automatisch auswählen (auf dem Zertifikattyp basierend)" dann installiert Windows das Zertifikat in den Speicher "Zwischenzertifizierungsstellen".
Das ist nicht richtig. Warum installiert Windows das Zertifikat dort und nicht unter "Vertrauenswürde Stammzertifizierungsstellen"?
Moin.
Windows wertet die OIDs im Feld EnhancedKeyUsage des Zertifkats aus. Anhand derer lässt sich die Verwendung eines Zertifikates ganz gut ermitteln, ob es z.B. nur für EMail Signatur gedacht ist oder ob sich damit Zertifikate signieren lassen. Der Automatismus wird aber über den Wizard niemals ein Zertifikat von selbst in die vertrauenswürdigen Zertifizierungsstellen importieren den Store musst du über den Wizard immer manuell wählen (Sicherheitstechnische Aspekte)
https://docs.microsoft.com/de-de/windows/win32/api/certenroll/nn-certenr ...
Windows wertet die OIDs im Feld EnhancedKeyUsage des Zertifkats aus. Anhand derer lässt sich die Verwendung eines Zertifikates ganz gut ermitteln, ob es z.B. nur für EMail Signatur gedacht ist oder ob sich damit Zertifikate signieren lassen. Der Automatismus wird aber über den Wizard niemals ein Zertifikat von selbst in die vertrauenswürdigen Zertifizierungsstellen importieren den Store musst du über den Wizard immer manuell wählen (Sicherheitstechnische Aspekte)
https://docs.microsoft.com/de-de/windows/win32/api/certenroll/nn-certenr ...
Moin eaglefinder,
ich danke Dir!
ich danke Dir!
