Durch die Sperrung eines Zertifikats werden die in einem Zertifikat enthaltenen vertrauenswürdigen Sicherheitsanmeldeinformationen vor dem geplanten Ablauf der Gültigkeitsdauer des Zertifikats ungültig. Eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) basiert auf der verteilten Überprüfung von Anmeldeinformationen, bei der keine direkte Kommunikation mit der zentralen vertrauenswürdigen Einheit notwendig ist, um Anmeldeinformationen zu bestätigen.
Der Clientcomputer muss die Zertifikatsperrung unterstützen, indem er bestimmt, ob das Zertifikat gültig ist oder gesperrt wurde. Zur Unterstützung verschiedener Szenarien unterstützen die Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) Zertifikatsperrungsmethoden nach Industriestandard. Dazu gehört die Veröffentlichung von Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) und Deltasperrlisten an mehreren Orten, auf die Clients zugreifen können, einschließlich der Active Directory-Domänendienste, Webservern und Dateifreigaben in Netzwerken. In Windows können die Sperrdaten zudem in einer Reihe von Einstellungen über OCSP-Antworten (Online Certificate Status-Protokoll) verfügbar gemacht werden.
Hinweis | |
Zertifikatsperrlisten werden regelmäßig an angegebenen Netzwerkspeicherorten veröffentlicht. Clientcomputer können die Informationen dort herunterladen. OCSP-Antworten sind digital signierte Antworten, die angeben, ob ein einzelnes Zertifikat gesperrt oder ausgesetzt wurde, oder ob sein Status unbekannt ist. OCSP-Antwortdienste erhalten ihre Daten aus veröffentlichten Zertifikatsperrlisten, oder sie werden direkt aus der Zertifikatstatusdatenbank einer Zertifizierungsstelle (Certification Authority, CA) aktualisiert. |
Zudem können Administratoren mithilfe der Richtlinie öffentlicher Schlüssel die Verwendung von Zertifikatsperrlisten und OCSP-Antwortdiensten verbessern. Dies gilt besonders in Situationen mit extrem großen Zertifikatsperrlisten oder bei beeinträchtigter Netzwerkleistung.
Dieses Thema enthält Verfahren für die folgenden Aufgaben:
Konfigurieren von Sperrungseinstellungen auf einem lokalen Computer
Nur Administratoren können dieses Verfahren ausführen.
So konfigurieren Sie Sperrungseinstellungen auf einem lokalen Computer |
Klicken Sie auf Start, geben Sie im Feld Programme/Dateien durchsuchen die Zeichenfolge gpedit.msc ein, und drücken Sie die EINGABETASTE.
Klicken Sie in der Konsolenstruktur unter Richtlinie für 'Lokaler Computer'\Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen auf Richtlinien öffentlicher Schlüssel.
Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Sperrung.
Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren, wählen Sie die gewünschten Richtlinienoptionen aus, und klicken Sie dann auf OK, um die neuen Einstellungen zu übernehmen.
Konfigurieren von Sperrungseinstellungen für eine Domäne
Sie müssen mindestens Mitglied der Gruppe Domänen-Admins sein, um dieses Verfahren ausführen zu können.
So konfigurieren Sie Sperrungseinstellungen für eine Domäne |
Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Server-Manager.
Klicken Sie unter Featureübersicht auf Features hinzufügen. Aktivieren Sie das Kontrollkästchen Gruppenrichtlinienverwaltung, klicken Sie auf Weiter, und klicken Sie dann auf Installieren.
Wenn auf der Seite Installationsergebnisse angezeigt wird, dass die Installation der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) erfolgreich ausgeführt wurde, klicken Sie auf Schließen.
Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung.
Doppelklicken Sie in der Konsolenstruktur in der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt Standarddomänenrichtlinie enthält, auf Gruppenrichtlinienobjekte.
Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.
Klicken Sie in der Konsolenstruktur unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen auf Richtlinien öffentlicher Schlüssel.
Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Sperrung.
Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren, wählen Sie die gewünschten Richtlinienoptionen aus, und klicken Sie dann auf OK, um die neuen Einstellungen zu übernehmen.
Erweitern der Gültigkeitsdauer für CRL- und OCSP-Antworten für einen lokalen Computer
Sie müssen mindestens Mitglied der Gruppe Administratoren sein, um dieses Verfahren ausführen zu können.
So erweitern Sie den Gültigkeitszeitraum für CRL- und OCSP-Antworten für einen lokalen Computer |
Klicken Sie auf Start, geben Sie im Feld Programme/Dateien durchsuchen die Zeichenfolge gpedit.msc ein, und drücken Sie die EINGABETASTE.
Klicken Sie in der Konsolenstruktur unter Richtlinie für 'Lokaler Computer'\Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen auf Richtlinien öffentlicher Schlüssel.
Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Sperrung.
Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren, und aktivieren Sie dann das Kontrollkästchen Längere Gültigkeitsdauer von Sperrlisten- und OCSP-Antworten zulassen.
Geben Sie in das Feld Zeit, um die der Gültigkeitszeitraum verlängert werden kann (in Stunden) einen Wert ein, und klicken Sie dann auf OK, um die neuen Einstellungen zu übernehmen.
Erweitern der Gültigkeitsdauer für CRL- und OCSP-Antworten für eine Domäne
Sie müssen mindestens Mitglied der Gruppe Domänen-Admins sein, um dieses Verfahren ausführen zu können.
So erweitern Sie den Gültigkeitszeitraum für CRL- und OCSP-Antworten für eine Domäne |
Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Server-Manager.
Klicken Sie unter Featureübersicht auf Features hinzufügen. Aktivieren Sie das Kontrollkästchen Gruppenrichtlinienverwaltung, klicken Sie auf Weiter, und klicken Sie dann auf Installieren.
Wenn auf der Seite Installationsergebnisse angezeigt wird, dass die Installation der Gruppenrichtlinien-Verwaltungskonsole erfolgreich ausgeführt wurde, klicken Sie auf Schließen.
Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung.
Doppelklicken Sie in der Konsolenstruktur in der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt Standarddomänenrichtlinie enthält, auf Gruppenrichtlinienobjekte.
Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.
Klicken Sie in der Konsolenstruktur unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen auf Richtlinien öffentlicher Schlüssel.
Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Sperrung.
Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren, und aktivieren Sie dann das Kontrollkästchen Längere Gültigkeitsdauer von Sperrlisten- und OCSP-Antworten zulassen.
Geben Sie in das Feld Zeit, um die der Gültigkeitszeitraum verlängert werden kann (in Stunden) einen Wert ein, und klicken Sie dann auf OK, um die neuen Einstellungen zu übernehmen.
Weitere Verweise