Da heutzutage immer mehr unterschiedliche Zertifikate verwendet werden und die Anzahl der ausgegebenen Zertifikate ebenfalls stetig wächst, möchten einige Organisationen die Zertifikatvertrauensstellung verwalten und verhindern, dass Benutzer in der Domäne eine eigene Gruppe von vertrauenswürdigen Stammzertifikaten konfigurieren. Möglicherweise möchten Organisationen auch bestimmte vertrauenswürdige Stammzertifikate identifizieren und verteilen, sodass Szenarien im Unternehmen ermöglicht werden, in denen zusätzliche Vertrauensbeziehungen erforderlich sind.
Dieses Thema enthält Verfahren für die folgenden Aufgaben:
Verwalten vertrauenswürdiger Stammzertifikate für einen lokalen Computer
Nur Administratoren können dieses Verfahren ausführen.
So verwalten Sie vertrauenswürdige Stammzertifikate für einen lokalen Computer |
Klicken Sie auf Start, klicken Sie auf Suche starten, geben Sie mmc ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
Klicken Sie unter Verfügbare Snap-Ins auf Gruppenrichtlinienobjekt-Editor, klicken Sie auf Hinzufügen, wählen Sie den Computer aus, dessen lokales Gruppenrichtlinienobjekt (Group Policy Object, GPO) Sie bearbeiten möchten, und klicken Sie dann auf Fertig stellen.
Wenn Sie der Konsole keine weiteren Snap-Ins hinzufügen möchten, klicken Sie auf OK.
Wechseln Sie in der Konsolenstruktur nacheinander zu Richtlinie für "Lokaler Computer", Computerkonfiguration, Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel.
Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Speicher.
Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.
Deaktivieren Sie unter Zertifikatspeicher pro Benutzer die Kontrollkästchen Die Verwendung von vertrauenswürdigen Stammzertifizierungsstellen des Benutzers zur Überprüfung von Zertifikaten zulassen und Zulassen, dass Benutzer Peervertrauenszertifikaten vertrauen.
Wählen Sie unter Stammzertifikatspeicher die Stammzertifizierungsstellen aus, denen die Clientcomputer vertrauen können, und klicken Sie dann auf OK, um die neuen Einstellungen zu übernehmen.
Verwalten vertrauenswürdiger Stammzertifikate für eine Domäne
Sie müssen mindestens Mitglied der Gruppe Domänen-Admins sein, um dieses Verfahren ausführen zu können.
So verwalten Sie vertrauenswürdige Stammzertifikate für eine Domäne |
Öffnen Sie Server-Manager, und klicken Sie unter Featuresübersicht auf Features hinzufügen. Aktivieren Sie das Kontrollkästchen Gruppenrichtlinienverwaltung, klicken Sie auf Weiter, und klicken Sie dann auf Installieren.
Wenn auf der Seite Installationsergebnisse angezeigt wird, dass die Installation der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) erfolgreich ausgeführt wurde, klicken Sie auf Schließen.
Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung.
Doppelklicken Sie in der Konsolenstruktur in der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt Standarddomänenrichtlinie enthält, auf Gruppenrichtlinienobjekte.
Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.
Wechseln Sie in der Gruppenrichtlinien-Verwaltungskonsole nacheinander zu Computerkonfiguration, Windows-Einstellungen, und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel.
Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Speicher.
Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.
Deaktivieren Sie unter Zertifikatspeicher pro Benutzer die Kontrollkästchen Die Verwendung von vertrauenswürdigen Stammzertifizierungsstellen des Benutzers zur Überprüfung von Zertifikaten zulassen und Zulassen, dass Benutzer Peervertrauenszertifikaten vertrauen.
Wählen Sie unter Stammzertifikatspeicher die Stammzertifizierungsstellen aus, denen die Clientcomputer vertrauen können, und klicken Sie dann auf OK, um die neuen Einstellungen zu übernehmen.
Hinzufügen von Zertifikaten zum Speicher vertrauenswürdiger Stammzertifizierungsstellen für einen lokalen Computer
Sie müssen mindestens Mitglied der Gruppe Administratoren sein, um dieses Verfahren ausführen zu können.
So fügen Sie Zertifikate zum Speicher vertrauenswürdiger Stammzertifizierungsstellen für einen lokalen Computer hinzu |
Klicken Sie auf Start, klicken Sie auf Suche starten, geben Sie mmc ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
Klicken Sie unter Verfügbare Snap-Ins auf Zertifikate, und klicken Sie dann auf Hinzufügen.
Klicken Sie unter Dieses Snap-In verwaltet die Zertifikate für auf Computerkonto, und klicken Sie dann auf Weiter.
Klicken Sie auf Lokaler Computer, und klicken Sie dann auf Fertig stellen.
Wenn Sie der Konsole keine weiteren Snap-Ins hinzufügen möchten, klicken Sie auf OK.
Doppelklicken Sie in der Konsolenstruktur auf Zertifikate.
Klicken Sie mit der rechten Maustaste auf den Speicher Vertrauenswürdige Stammzertifizierungsstellen.
Klicken Sie auf Importieren, um die Zertifikate zu importieren, und folgen Sie den Schritten des Zertifikatimport-Assistenten.
Hinzufügen von Zertifikaten zum Speicher vertrauenswürdiger Stammzertifizierungsstellen für eine Domäne
Sie müssen mindestens Mitglied der Gruppe Domänen-Admins sein, um dieses Verfahren ausführen zu können.
So fügen Sie Zertifikate zum Speicher vertrauenswürdiger Stammzertifizierungsstellen für eine Domäne hinzu |
Öffnen Sie Server-Manager, und klicken Sie unter Featureübersicht auf Features hinzufügen. Aktivieren Sie das Kontrollkästchen Gruppenrichtlinienverwaltung, klicken Sie auf Weiter, und klicken Sie dann auf Installieren.
Wenn auf der Seite Installationsergebnisse angezeigt wird, dass die Installation der Gruppenrichtlinien-Verwaltungskonsole erfolgreich ausgeführt wurde, klicken Sie auf Schließen.
Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung.
Doppelklicken Sie in der Konsolenstruktur in der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt Standarddomänenrichtlinie enthält, auf Gruppenrichtlinienobjekte.
Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.
Wechseln Sie in der Gruppenrichtlinien-Verwaltungskonsole nacheinander zu Computerkonfiguration, Windows-Einstellungen, und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel.
Klicken Sie mit der rechten Maustaste auf den Speicher Vertrauenswürdige Stammzertifizierungsstellen.
Klicken Sie auf Importieren, und folgen Sie den Schritten des Zertifikatimport-Assistenten, um die Zertifikate zu importieren.
Weitere Verweise