Mithilfe der Einstellungen für die Überprüfung des Zertifikatpfads unter Windows Server 2008 R2 und Windows Server 2008 können Sie die Einstellungen für die Ermittlung und Überprüfung des Zertifikatpfads für alle Benutzer in einer Domäne verwalten. Sie können die Einstellungen für die Zertifikatgültigkeitsprüfung auf einfache Weise mit der Gruppenrichtlinie konfigurieren. Im Folgenden sind einige Aufgaben aufgeführt, die Sie mit diesen Einstellungen ausführen können:

  • Bereitstellen von Zertifikaten von Zwischenzertifizierungsstellen (Certification Authority, CA)

  • Blockieren von nicht vertrauenswürdigen Zertifikaten

  • Verwalten von Zertifikaten, die zur Codesignierung verwendet werden

  • Konfigurieren von Abrufeinstellungen für Zertifikate und Zertifikatsperrlisten (Certificate Revocation Lists, CRLs)

Einstellungen für die Überprüfung des Zertifikatpfads sind in der Gruppenrichtlinie unter folgendem Pfad verfügbar: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für öffentliche Schlüssel.

Wenn Sie an diesem Ort auf Einstellungen für die Überprüfung des Zertifikatpfades doppelklicken, stehen Ihnen zusätzliche Optionen zur Verfügung, indem Sie die folgenden Registerkarten auswählen:

  • Speicher

  • Vertrauenswürdige Herausgeber

  • Netzwerkabruf

  • Sperrung

Im folgenden Verfahren wird die Konfiguration der Einstellungen für die Überprüfung des Zertifikatpfads beschrieben. In den Abschnitten nach dem Verfahren werden die Einstellungen in jedem dieser Bereiche beschrieben.

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.

So konfigurieren Sie die Gruppenrichtlinie zur Pfadüberprüfung für eine Domäne
  1. Klicken Sie auf einem Domänencontroller auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung.

  2. Doppelklicken Sie in der Konsolenstruktur der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt (Group Policy Object, GPO) Standarddomänenrichtlinie enthält, auf Gruppenrichtlinienobjekte.

  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.

  4. Wechseln Sie in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) nacheinander zu Computerkonfiguration, Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel.

  5. Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Speicher.

  6. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.

  7. Konfigurieren Sie die optionalen Einstellungen, die Sie anwenden müssen.

  8. Wenn Sie alle Änderungen vorgenommen haben, können Sie eine andere Registerkarte auswählen, um weitere Einstellungen zu ändern, oder klicken Sie auf OK, um die neuen Einstellungen zu übernehmen.

Speicher (Registerkarte)

Einige Organisationen möchten verhindern, dass Benutzer in der Domäne ihre eigenen vertrauenswürdigen Stammzertifikate konfigurieren. Sie möchten auch entscheiden, welchen Stammzertifikaten innerhalb der Organisation vertraut werden kann. Mithilfe der Registerkarte Speicher ist das möglich.

Die folgenden Optionen sind auf der Registerkarte Speicher verfügbar:

  • Die Verwendung von vertrauenswürdigen Stammzertifizierungsstellen des Benutzers zur Überprüfung von Zertifikaten zulassen Wenn Sie dieses Kontrollkästchen deaktivieren, können Benutzer nicht entscheiden, welches Stamm-Zertifizierungsstellenzertifikat zur Überprüfung von Zertifikaten verwendet werden sollen. Obwohl mit dieser Option verhindert werden kann, dass Benutzer Zertifikate von einer nicht sicheren Kette als vertrauenswürdig einstufen und diese überprüfen, kann sie auch Anwendungsfehler hervorrufen oder dazu führen, dass vertrauenswürdige Stammzertifikate als Mittel zur Überprüfung eines vorhandenen Zertifikats von Benutzern ignoriert werden.

  • Zulassen, dass Benutzer Peervertrauenszertifikaten vertrauen. Wenn Sie dieses Kontrollkästchen deaktivieren, verhindern Sie, dass Benutzer entscheiden, welchen Peerzertifikaten vertraut wird. Obwohl mit dieser Option verhindert werden kann, dass Benutzer Zertifikaten einer nicht sicheren Quelle vertrauen, kann sie auch Anwendungsfehler hervorrufen oder dazu führen, dass Zertifikate als Mittel zur Vertrauensstellung von Benutzern ignoriert werden. Sie können auch die Zertifikatzwecke auswählen (z. B. Signatur oder Verschlüsselung), für die Peervertrauenszertifikate verwendet werden können.

  • Stammzertifizierungsstellen, denen der Clientcomputer vertrauen kann. In diesem Abschnitt können Sie spezielle Stammzertifizierungsstellen identifizieren, denen Benutzer in der Domäne vertrauen können:

    • Stammzertifizierungsstellen von Drittanbietern und des Unternehmens. Indem Sie Stammzertifizierungsstellen von Drittanbietern und des Unternehmens einschließen, erweitern Sie den Bereich der Stamm-Zertifizierungsstellenzertifikate, denen ein Benutzer vertrauen kann.

    • Nur Stammzertifizierungsstellen des Unternehmens. Indem Sie das Vertrauen auf Stammzertifizierungsstellen des Unternehmens einschränken, wird ausschließlich Zertifikaten vertraut, die von einer internen Unternehmenszertifizierungsstelle ausgestellt werden, die Authentifizierungsinformationen der Active Directory-Domänendienste (Active Directory Domain Services, AD DS) erhält und Zertifikate in diesen veröffentlicht.

  • Zertifizierungsstellen müssen mit UPN-Namenseinschränkungen übereinstimmen. Mit dieser Einstellung wird das Vertrauen auch auf interne Unternehmenszertifizierungsstellen eingeschränkt. Außerdem würde mit der Benutzerprinzipalnamens-Einschränkung (User Principal Name, UPN) verhindert werden, dass Zertifizierungsstellen authentifizierungsbezogenen Zertifikaten vertrauen, die die Voraussetzungen hinsichtlich Prinzipalnamen nicht erfüllen.

Möglicherweise möchten Organisationen auch bestimmte vertrauenswürdige Stammzertifikate identifizieren und verteilen, sodass Szenarien im Unternehmen ermöglicht werden, in denen zusätzliche Vertrauensbeziehungen erforderlich sind. Informationen zum Identifizieren vertrauenswürdiger Stammzertifikate, die Sie an Clients in Ihrer Domäne verteilen möchten, finden Sie unter Verwenden der Gruppenrichtlinie zum Verteilen von Zertifikaten.

Vertrauenswürdige Herausgeber (Registerkarte)

Immer mehr Softwareherausgeber und Anwendungsentwickler verwenden Softwaresignierung, um zu überprüfen, ob ihre Anwendungen von einer vertrauenswürdigen Quelle stammen. Viele Benutzer kennen jedoch die mit den installierten Anwendungen verbundenen Signaturzertifikate nicht oder ignorieren diese.

Mit den Richtlinienoptionen auf der Registerkarte Vertrauenswürdige Herausgeber der Richtlinie für die Überprüfung des Zertifikatpfads können Sie steuern, wer über vertrauenswürdige Herausgeber entscheiden kann:

  • Administratoren und Benutzer

  • Nur Administratoren

  • Nur Administratoren des Unternehmens

Außerdem können Sie mithilfe von Richtlinienoptionen auf dieser Registerkarte festlegen, dass Zertifikate von vertrauenswürdigen Herausgebern auf Folgendes überprüft werden:

  • Sie wurden gesperrt.

  • Sie verfügen über gültige Zeitstempel.

Netzwerkabruf (Registerkarte)

Zertifikatbasierte Daten, wie Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) und Zertifikate im Microsoft-Programm für Stammzertifikate, müssen regelmäßig aktualisiert werden, um effektiv zu sein. Es können jedoch Probleme auftreten, wenn die Gültigkeitsüberprüfung und der Abruf der Daten zur Zertifikatsperrung sowie der Kreuzzertifikate unterbrochen wird, da mehr Daten als ursprünglich erwartet abgerufen werden.

Mithilfe der Netzwerkabrufeinstellungen können Administratoren folgende Aufgaben ausführen:

  • Automatisches Aktualisieren von Zertifikaten im Microsoft-Programm für Stammzertifikate

  • Konfigurieren von Zeitlimitwerten für den Abruf von Zertifikatsperrlisten und die Pfadüberprüfung (größere Standardwerte können hilfreich sein bei nicht optimalen Netzwerkbedingungen)

  • Aktivieren des Ausstellerzertifikatabrufs während der Pfadüberprüfung

  • Definieren der Häufigkeit für das Herunterladen von Kreuzzertifikaten

Sperrung (Registerkarte)

Zur Unterstützung der Sperrüberprüfung unterstützen die Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS) die Verwendung von Zertifikatsperrlisten und Deltasperrlisten sowie von Online-Respondern verteilte OCSP-Antworten.

Mithilfe der Gruppenrichtlinieneinstellungen für die Pfadüberprüfung können Administratoren die Verwendung von Zertifikatsperrlisten und Online-Respondern optimieren. Dies gilt besonders in Situationen mit extrem großen Zertifikatsperrlisten oder bei beeinträchtigter Netzwerkleistung.

Die folgenden Einstellungen sind verfügbar:

  • Zertifikatsperrlisten immer den OCSP-Antworten (Online Certificate Status-Protokoll) vorziehen. Im Allgemeinen sollten Clients die aktuellsten verfügbaren Sperrdaten verwenden, unabhängig davon, ob diese von einer Zertifikatsperrliste oder einem Online-Responder stammen. Wenn diese Option ausgewählt ist, wird eine Sperrüberprüfung von einem Online-Responder nur dann ausgeführt, wenn keine gültige Zertifikatsperrliste oder Deltasperrliste verfügbar ist.

  • Längere Gültigkeitsdauer von Sperrlisten- und OCSP-Antworten zulassen. Es wird im Allgemeinen nicht empfohlen, die Gültigkeit von Zertifikatsperrlisten- und OCSP-Antworten über ihre eigentliche Gültigkeitsdauer hinaus zu verlängern. Diese Option wird jedoch möglicherweise in Situationen benötigt, in denen Clients längere Zeit keine Verbindung mit einem Zertifikatsperrlisten-Verteilungspunkt oder Online-Responder herstellen können. Der Zeitraum, für den eine Zertifikatsperrlisten- oder OCSP-Antwort nach Ablauf der festgelegten Gültigkeitsdauer verwendet werden kann, kann in dieser Richtlinieneinstellung ebenfalls konfiguriert werden.


Inhaltsverzeichnis