Aus Gründen der Effektivität müssen zertifikatbasierte Daten wie z. B. vertrauenswürdige Stammzertifikate, übergreifende Zertifikate und Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) ständig zeitnah aktualisiert werden. Mithilfe von Einstellungen für den Netzwerkabruf und die Pfadüberprüfung können Administratoren folgende Aktionen ausführen:

  • Automatisches Aktualisieren von Zertifikaten im Microsoft-Programm für Stammzertifikate

  • Konfigurieren von Zeitlimitwerten für den Abruf von Zertifikatsperrlisten und die Pfadüberprüfung (größere Standardwerte können hilfreich sein bei nicht optimalen Netzwerkbedingungen)

  • Aktivieren des Ausstellerzertifikatabrufs während der Pfadüberprüfung

  • Definieren der Häufigkeit für das Herunterladen von Kreuzzertifikaten.

Dieses Thema enthält Verfahren für die folgenden Aufgaben:

Verwalten des Abrufs von Zertifikatsperrlisten

Ein wichtiger Bestandteil der sicheren Verwendung von Zertifikaten stellt das zeitnahe Abrufen von Daten zur Zertifikatsperrung dar. Es können jedoch Probleme auftreten, wenn bei der Gültigkeitsprüfung und beim Abruf der Daten zur Zertifikatsperrung sowie der Kreuzzertifikate eine Zeitüberschreitung auftritt, da mehr Daten als ursprünglich erwartet abgerufen werden.

Mithilfe der Optionen für den Netzwerkabruf in der Richtlinie öffentlicher Schlüssel können Administratoren Zeitlimitwerte für den Netzwerkabruf verwalten.

Erhöhen der Option für die Zeitüberschreitung beim Abrufen umfangreicher Zertifikatsperrlisten für einen lokalen Computer

Nur Administratoren können dieses Verfahren ausführen.

So erhöhen Sie die Option für die Zeitüberschreitung beim Abrufen umfangreicher Zertifikatsperrlisten für einen lokalen Computer
  1. Klicken Sie auf Start, geben Sie im Feld Programme/Dateien durchsuchen die Zeichenfolge gpedit.msc ein, und drücken Sie die EINGABETASTE.

  2. Klicken Sie in der Konsolenstruktur unter Richtlinie für 'Lokaler Computer'\Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen auf Richtlinien öffentlicher Schlüssel.

  3. Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Netzwerkabruf.

  4. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.

  5. Geben Sie unter Einstellungen für den Standardwert der Abrufzeitüberschreitung in das Feld Standardwert für URL-Abrufzeitüberschreitung (in Sekunden) einen Zeitlimitwert ein, und klicken Sie dann auf OK, um die neuen Einstellungen zu übernehmen.

Erhöhen der Option für die Zeitüberschreitung beim Abrufen umfangreicher Zertifikatsperrlisten für eine Domäne

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins sein, um dieses Verfahren ausführen zu können.

So erhöhen Sie die Option für die Zeitüberschreitung beim Abrufen umfangreicher Zertifikatsperrlisten für eine Domäne
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Server-Manager.

  2. Klicken Sie unter Featureübersicht auf Features hinzufügen. Aktivieren Sie das Kontrollkästchen Gruppenrichtlinienverwaltung, klicken Sie auf Weiter, und klicken Sie dann auf Installieren.

  3. Wenn auf der Seite Installationsergebnisse angezeigt wird, dass die Installation der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) erfolgreich ausgeführt wurde, klicken Sie auf Schließen.

  4. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung.

  5. Doppelklicken Sie in der Konsolenstruktur in der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt Standarddomänenrichtlinie enthält, auf Gruppenrichtlinienobjekte.

  6. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.

  7. Klicken Sie in der Konsolenstruktur unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen auf Richtlinien öffentlicher Schlüssel.

  8. Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Netzwerkabruf.

  9. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.

  10. Geben Sie unter Einstellungen für den Standardwert der Abrufzeitüberschreitung in das Feld Standardwert für URL-Abrufzeitüberschreitung (in Sekunden) einen Zeitlimitwert ein, und klicken Sie dann auf OK, um die neuen Einstellungen zu übernehmen.

Weitere Verweise


Inhaltsverzeichnis