Zertifikate von Stammzertifizierungsstellen verwalten

Active Directory-Zertifizierungsdienste

| Autor: Thomas Joos

https://pixabay.com
https://pixabay.com (https://pixabay.com)

Damit Zertifikate fehlerfrei funktionieren, muss das Zertifikat der Zertifizierungsstelle von der Sie das Zertifikat haben, bei den vertrauenswürdigen Stammzertifizierungsstellen auf dem Server hinterlegt sein sowie auf den Clients die auf den Server zugreifen.

Das Zertifikat der Stammzertifizierungsstelle muss hinterlegt sein, damit Server den Zertifikaten dieser Zertifizierungsstelle vertrauen. Haben Sie die Active Directory-Zertifikatdienste installiert, können Sie den Import des Zertifikats auf Clients und dem Server beschleunigen, wenn Sie auf dem Server über "gpupdate /force" die Gruppenrichtlinien erneut abrufen.

Die Installation der Zertifikate von internen Zertifizierungsstellen findet über die Gruppenrichtlinie in Active Directory statt. Arbeiten Sie mit einer Zertifizierungsstelle eines Drittanbieters, müssen Sie das Zertifikat der Zertifizierungsstelle in die vertrauenswürdigen Stammzertifizierungsstellen importieren. Zertifikate überprüfen Sie auf folgendem Weg:

  1. Geben Sie "msc" im Startmenü ein.
  2. Erweitern Sie in der Konsole "Zertifikate/Vertrauenswürdige Stammzertifizierungsstellen/Zertifikate".
  3. Überprüfen Sie an dieser Stelle ob das Zertifikat der Zertifizierungsstelle hinterlegt ist. Finden Sie das Zertifikat nicht, dann geben Sie in einer Eingabeaufforderung "gpupdate/force" ein, um per Gruppenrichtlinie das Zertifikat abzurufen. Erscheint auch dann das Zertifikat nicht, exportieren Sie dieses auf dem Zertifikatserver selbst und importieren es auf dem Server.

Sofern die Zertifizierungsstelle in der gleichen Active Directory-Domäne installiert ist, in der auch der Server installiert ist, für den Sie ein Zertifikat nutzen wollen, sollte dies automatisch stattfinden. Dies ist anders, sofern die Zertifizierungsstelle nicht in Active Directory integriert ist. In diesem Fall können Sie das Zertifikat leicht auf dem Server mit der Zertifizierungsstelle exportieren.

Unter Umständen tauchen an dieser Stelle mehrere Zertifikate Ihrer Stammzertifizierungsstelle auf, wählen Sie im Zweifel das mit dem höchsten Ablaufdatum aus. Erscheint beim Exportieren eine Abfrage des privaten Schlüssels des Zertifikats, haben Sie das falsche erwischt. Verwenden Sie dann einfach das andere Zertifikat. Exportieren Sie auf dem Server das Zertifikat in eine .cer-Datei.

Klicken Sie doppelt auf das Zertifikat, wird es auf dem Server angezeigt und Sie können es installieren. Klicken Sie auf die Schaltfläche "Zertifikat installieren", damit das Zertifikat auf dem Server installiert wird. Lassen Sie das Stammzertifikat in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen importieren. Überprüfen Sie anschließend, ob das Zertifikat erfolgreich importiert ist.

 Eine Möglichkeit, das Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle zu ex- und importieren, ist das Snap-In zur Verwaltung von Zertifikaten. Um das Zertifikat über die MMC-Konsole zu exportieren, gehen Sie folgendermaßen vor:

  1. Tippen "msc" im Startmenü ein.
  2. Erweitern Sie in der Konsole" Zertifikate/Eigene Zertifikate/Zertifikate".