Über das Zertifikat-Snap-In kann der Zertifikatspeicher eines Benutzers, Computers oder Dienstes nach Verwendungszweck des Zertifikats oder nach logischen Speicherkategorien angezeigt werden. Wenn Sie Zertifikate nach Speicherkategorien geordnet anzeigen, können Sie auch die physikalischen Speicher mit der Zertifikatspeicherhierarchie anzeigen. (Dieser Vorgang sollte jedoch nur von erfahrenen Benutzern ausgeführt werden.)

Mit den entsprechenden Benutzerrechten kann ein Benutzer Zertifikate von einem beliebigen Ordner des Zertifikatspeichers importieren oder exportieren. Darüber hinaus können private Schlüssel zusammen mit den ihnen zugeordneten Zertifikaten in eine PKCS #12-Datei exportiert werden, wenn sie als für den Export verfügbar gekennzeichnet sind.

Windows kann Zertifikate auch in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) veröffentlichen. In den den Active Directory-Domänendiensten veröffentlichte Zertifikate können von allen Benutzern oder Computern, die über die entsprechenden Berechtigungen verfügen, nach Bedarf abgerufen werden.

Zertifikatspeicher

Zertifikate können nach Verwendungszweck oder logischen Speichern geordnet angezeigt werden, wie in der folgenden Tabelle aufgeführt. Standardmäßig werden Zertifikate im Zertifikat-Snap-In nach logischen Speichern geordnet angezeigt.

Hinweis

Die Liste der Zertifikatzweckspeicher umfasst nicht alle möglichen Speicher für den Verwendungszweck.

Anzeige nach Ordnername Inhalt

Logischer Speicher

Eigene Zertifikate

Zertifikate mit den zugeordneten privaten Schlüssel, auf die Sie Zugriff haben. Dies sind die Zertifikate, die für Sie oder für den Computer oder den Dienst, für den Sie Zertifikate verwalten, ausgestellt wurden.

 

Vertrauenswürdige Stammzertifizierungsstellen

Implizit vertrauenswürdige Zertifizierungsstellen (Certification Authorities, CAs). Umfasst alle Zertifikate im Speicher der Drittanbieter-Stammzertifizierungsstellen sowie Stammzertifikate von Ihrer Organisation und von Microsoft.

Wenn Sie Administrator sind und diesem Speicher andere als Microsoft-Zertifizierungsstellenzertifikate für alle Computer einer Active Directory-Domäne hinzufügen möchten, können Sie mithilfe von Gruppenrichtlinien vertrauenswürdige Stammzertifikate in Ihrer Organisation verteilen.

 

Organisationsvertrauen

Ein Container für Zertifikatvertrauenslisten. Mithilfe von Zertifikatvertrauenslisten können selbstsignierten Stammzertifikaten von anderen Organisationen Vertrauensstellungen eingeräumt und die Verwendungszwecke für diese Vertrauensstellungen beschränkt werden.

 

Zwischenzertifizierungsstellen

An untergeordnete Zertifizierungsstellen ausgestellte Zertifikate. Als Administrator können Sie die Gruppenrichtlinie zum Verteilen von Zertifikaten an den Speicher Zwischenzertifizierungsstellen verwenden.

 

Vertrauenswürdige Personen

Zertifikate, die für Personen oder Einheiten ausgestellt sind, die explizit als vertrauenswürdig eingestuft werden. Dabei handelt es sich meist um selbst signierte Zertifikate oder Zertifikate, die in einer Anwendung wie Microsoft Outlook explizit als vertrauenswürdig eingestuft werden. Als Domänenadministrator können Sie die Gruppenrichtlinie zum Verteilen von Zertifikaten an den Speicher Vertrauenswürdige Personen verwenden.

 

Andere Personen

Zertifikate, die für Personen oder Einheiten ausgestellt sind, die implizit als vertrauenswürdig eingestuft werden. Diese Zertifikate müssen Teil einer vertrauenswürdigen Zertifizierungshierarchie sein. Dabei handelt es sich meist um zwischengespeicherte Zertifikate für Dienste wie Verschlüsselndes Dateisystem (Encrypting File System, EFS), bei dem mithilfe von Zertifikaten die Berechtigung zum Entschlüsseln einer verschlüsselten Datei erstellt wird.

 

Vertrauenswürdige Herausgeber

Zertifikate von Zertifizierungsstellen, die nach den Richtlinien für Softwareeinschränkungen als vertrauenswürdig eingestuft werden. Als Domänenadministrator können Sie die Gruppenrichtlinie zum Verteilen von Zertifikaten an den Speicher Vertrauenswürdige Personen verwenden.

 

Nicht zugelassene Zertifikate

Dies sind Zertifikate, die Sie explizit als nicht vertrauenswürdig definiert haben. Dazu verwenden Sie entweder die Richtlinien für Softwareeinschränkungen, oder Sie stufen ein Zertifikat als nicht vertrauenswürdig ein, wenn Sie in einer E-Mail oder einem Webbrowser aufgefordert werden, eine Entscheidung darüber zu treffen. Als Domänenadministrator können Sie die Gruppenrichtlinie zum Verteilen von Zertifikaten an den Speicher Nicht zugelassene Zertifikate verwenden.

 

Drittanbieter-Stammzertifizierungsstellen

Vertrauenswürdige Stammzertifikate von anderen Zertifizierungsstellen als Microsoft und Ihrer Organisation. Das Verteilen von Zertifikaten an den Speicher Drittanbieter-Stammzertifizierungsstellen mithilfe der Gruppenrichtlinie ist nicht möglich.

 

Zertifikatregistrierungsanforderungen

Ausstehende oder abgelehnte Zertifikatanforderungen.

 

Active Directory-Benutzerobjekt

Zertifikate, die Ihrem Benutzerobjekt zugeordnet und in den Active Directory-Domänendiensten veröffentlicht sind.

Zweck

Serverauthentifizierung

Zertifikate, mit denen sich Serverprogramme bei Clientcomputern authentifizieren.

 

Clientauthentifizierung

Zertifikate, mit denen sich Clientprogramme bei Servern authentifizieren.

 

Codesignatur

Zertifikate, denen Schlüsselpaare zugeordnet sind, die zum Signieren von aktiven Inhalten verwendet werden.

 

Sichere E-Mail

Zertifikate, denen Schlüsselpaare zugeordnet sind, die zum Signieren von E-Mails verwendet werden.

 

Verschlüsselndes Dateisystem (Encrypting File System, EFS)

Zertifikate, denen Schlüsselpaare zugeordnet sind, die den vom verschlüsselnden Dateisystem für die Ver- und Entschlüsselung von Daten verwendeten symmetrischen Schlüssel ver- und entschlüsseln.

 

Dateiwiederherstellung

Zertifikate, denen Schlüsselpaare zugeordnet sind, die den vom verschlüsselnden Dateisystem für die Wiederherstellung verschlüsselter Daten verwendeten symmetrischen Schlüssel ver- und entschlüsseln.

Wenn Sie Zertifikate nach dem logischen Speicher anzeigen, werden gelegentlich scheinbar zwei Kopien desselben Zertifikats im Speicher angezeigt. Dies tritt auf, weil dasselbe Zertifikat in getrennten physikalischen Speichern unter einem logischen Speicher gespeichert ist. Wird der Inhalt der physikalischen Zertifikatspeicher zu einer logischen Speicheransicht kombiniert, werden beide Instanzen desselben Zertifikats angezeigt.

Überprüfen Sie dies, indem Sie Ansichtsoptionen so festlegen, dass Physikalische Zertifikatspeicher angezeigt wird. Sie erkennen dann, dass das Zertifikat in getrennten physikalischen Speichern unter demselben logischen Speicher gespeichert ist. Um zu überprüfen, ob es sich um dasselbe Zertifikat handelt, vergleichen Sie die Seriennummern.

Weitere Verweise


Inhaltsverzeichnis