Wenn ein View-Serverzertifikat von einer Zertifizierungsstelle signiert ist, die von Clientcomputern und Clientcomputern, die auf View Administrator zugreifen, nicht als vertrauenswürdig eingestuft wird, können Sie alle Windows-Clientsysteme in einer Domäne so konfigurieren, dass Stamm- und Zwischenzertifikate als vertrauenswürdig eingestuft werden. Dazu müssen Sie den öffentlichen Schlüssel für das Stammzertifikat zur Gruppenrichtlinie „Vertrauenswürdige Stammzertifizierungsstellen“ in Active Directory und das Stammzertifikat zum Enterprise NTAuth-Speicher hinzufügen.

Warum und wann dieser Vorgang ausgeführt wird

Sie müssen diese Maßnahme z. B. möglicherweise ergreifen, wenn Ihre Organisation einen internen Zertifikatsdienst verwendet.

Diese Schritte müssen nicht ausgeführt werden, wenn der Windows-Domänencontroller als Stammzertifizierungsstelle fungiert oder wenn Ihre Zertifikate von einer bekannten Zertifizierungsstelle signiert wurden. Bei bekannten Zertifizierungsstellen installiert der Betriebssystem-Hersteller das Stammzertifikat bereits vorab auf den Clientsystemen.

Wenn Ihre Serverzertifikate von einer wenig bekannten Zwischenzertifizierungsstelle signiert wurden, müssen Sie das Zwischenzertifikat der Gruppenrichtlinie „Zwischenzertifizierungsstellen“ in Active Directory hinzufügen.

Für Clientgeräte, die andere Betriebssysteme als Windows verwenden, gelten die folgenden Anleitungen für das Verteilen von Stamm- und Zwischenzertifikaten, die von Benutzern installiert werden können:

Voraussetzungen

Stellen Sie sicher, dass das Serverzertifikat mit einem KeyLength-Wert von mindestens 1024 generiert wurde. Client-Endpunkte validieren auf Servern keine Zertifikate, die mit einem KeyLength-Wert unter 1024 generiert wurden, und die Clients können keine Verbindung mit dem Server herstellen.

Prozedur

  1. Verwenden Sie auf dem Active Directory-Server den Befehl certutil, um das Zertifikat im Enterprise NTAuth-Speicher zu veröffentlichen.

    Beispiel: certutil -dspublish -f Pfad_zum_Zertifikat_der_Stammzertifizierungsstelle NTAuthCA

  2. Navigieren Sie auf dem Active Directory-Server zum Plug-In „Gruppenrichtlinienmanagement“.

    AD-Version

    Navigationspfad

    Windows 2003

    1. Wählen Sie Start > Alle Programme > Verwaltung > Active Directory-Benutzer und -Computer.

    2. Klicken Sie mit der rechten Maustaste auf Ihre Domäne und wählen Sie Eigenschaften aus.

    3. Klicken Sie auf der Registerkarte Gruppenrichtlinie auf Öffnen, um das Plug-In Gruppenrichtlinienverwaltung zu öffnen.

    4. Klicken Sie mit der rechten Maustaste auf Standard-Domänenrichtlinie und klicken Sie anschließend auf Bearbeiten.

    Windows 2008

    1. Wählen Sie Start > Administrative Tools > Gruppenrichtlinienverwaltung.

    2. Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf Standard-Domänenrichtlinie und klicken Sie anschließend auf Bearbeiten.

  3. Erweitern Sie den Abschnitt Computerkonfiguration und wechseln Sie zu Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien öffentlicher Schlüssel.
  4. Importieren Sie das Zertifikat.

    Option

    Beschreibung

    Stammzertifikat

    1. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen und wählen Sie Importieren.

    2. Folgen Sie den Anweisungen des Assistenten, um das Stammzertifikat (z.B. rootCA.cer) zu importieren. Klicken Sie anschließend auf OK.

    Zwischenzertifikat

    1. Klicken Sie mit der rechten Maustaste auf Zwischenzertifizierungsstellen und wählen Sie Importieren.

    2. Folgen Sie den Anweisungen des Assistenten, um das Zwischenzertifikat (z.B. intermediateCA.cer) zu importieren. Klicken Sie anschließend auf OK.

  5. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.

Ergebnisse

Sämtliche Systeme in der Domäne verfügen nun über Zertifikatinformationen in ihren Speichern für vertrauenswürdige Stammzertifikate und Zwischenzertifikate, durch die sie diese Zertifikate als vertrauenswürdig einstufen können.