gelöst Allgemeine Frage zum Installieren eines Zertifikats in den lokalen Zertifikatsspeicher

Mitglied: RalphT

RalphT (Level 1) - Jetzt verbinden

26.09.2020 um 13:48 Uhr, 344 Aufrufe, 6 Kommentare

Moin,

wenn man z.B. ein ROOT-Zertifikat von einer eigenen ROOT-CA in den lokalen Zertifikatsspeicher installieren möchte, dann macht man einen Doppelklick auf das Zertifikat.
Irgendwann kommt man an den Punkt, wo gefragt wird, welcher Zertifikatsspeicher ausgewählt werden soll.
Lässt man die Einstellung auf "Zertifikatspeicher automatisch auswählen (auf dem Zertifikattyp basierend)" dann installiert Windows das Zertifikat in den Speicher "Zwischenzertifizierungsstellen".
Eigentlich hätte ich das im Speicher "Vertrauenswürdige Stammzertifizierungsstellen" erwartet.

Von daher muss man die zweite Option auswählen, wo man dann den Speicher direkt anwählt.

Meine Frage ist:
Nach welchen Kriterien installiert Windows das Zertifikat in welchen Speicher? Kann man das z.B. bei der Erstellung des Zertifikats vorher berücksichtigen oder steuern?
Mitglied: GrueneSosseMitSpeck
26.09.2020, aktualisiert um 15:54 Uhr
dann ist das Zertifikat falsch ausgesellt... es gibt ganz grundsätzlich zwei Wege, wie man zu einem Zertifikat kommt. Zum einen kannst du dir mit Makecert ein Selfsigned Root CA Zertifikat ausstellen, mit dem du dann selber für deine Domain (im Labornetz) SSL Zertifikate erstellen kannst.

Hier eine Variante wo man sich ein Root CA erstellt. Ist zwar für Azure, aber geht auch lokal

https://docs.microsoft.com/de-de/azure/vpn-gateway/vpn-gateway-certifica ...

Browser akzeptieren damit erstellte Zertifikate, bringen aber eine Warnmeldung, daß der Herausgeber der Root CA nicht verifiziert werden konnte

Der andere Weg ist über Lets Encrypt, aber das setzt vorraus, daß einem eine echte Domain tatsächlich gehört oder daß man eine Zone delegation hast, z.B. für eine Subdomain.

Oder man spielt in Azure oder AWS damit herum, bei beiden gibts für die Anbietereigenen Domains SSL Zertifikate, aber die kosten dann Geld.
Bitte warten ..
Mitglied: RalphT
26.09.2020 um 17:39 Uhr
Hallo GrueneSosseMit Speck,

erst mal Danke für dein Ausführungen. Ich glaube, das habe ich noch nicht so verstanden.

Hier eine Variante wo man sich ein Root CA erstellt. Ist zwar für Azure, aber geht auch lokal
Genauso habe ich das auch gemacht, nämlich lokal.

Ich habe eine lokale, eigenständige Zertifizierungsstelle vom Typ Stammzertifizierungsstelle unter Windows erstellt.
Nachdem diese konfiguriert wurde, habe ich das ROOT-Zertifikat unter C:\Windows\System32\CertSrv\CertEnroll genommen und wollte dieses ROOT-Zertifikat in den lokalen Speicher eines andern Computers installieren.
Das ist derzeit der Stand.
Bitte warten ..
Mitglied: tech-flare
26.09.2020 um 21:15 Uhr
Das sinnvollste ist bei einer internen Zertifizierungsstelle, dass das Zertifikat über eine GPO an die Clients / Server verteilt wird.

Vertrauenswürdige Stammzertifizierungsstellen ist richtig
Bitte warten ..
Mitglied: RalphT
27.09.2020, aktualisiert um 07:51 Uhr
Das sinnvollste ist bei einer internen Zertifizierungsstelle, dass das Zertifikat über eine GPO an die Clients / Server verteilt wird.

Das habe ich auch so gemacht. Ich diesem Fall habe ich eine 2-stufge Windows PKI. Hier läuft ein Webserver, der ein entprechendes Zertifikat hat. Die Browser meckern auch nicht über ein unbekanntes Zertifkat. Soweit auch alles ok.

Nun habe ich ein externes Gerät ohne Anbindung an die AD, welches auch die Webseite ohne eine Zertifikaktswarnung aufrufen soll. Also installiere ich das ROOT-Zertifikat in den lokalen Speicher "Vertrauenswürde Stammzertifizierungsstellen" des Gerätes. Somit klappt das mit diesem Gerät auch.

Nun nochmal zu meiner Frage:

Wenn ich einen Doppelklick auf das ROOT-Zertifikat mache dann kommt man an den Punkt, wo gefragt wird, welcher Zertifikatsspeicher ausgewählt werden soll. Lässt man die Einstellung auf "Zertifikatspeicher automatisch auswählen (auf dem Zertifikattyp basierend)" dann installiert Windows das Zertifikat in den Speicher "Zwischenzertifizierungsstellen".
Das ist nicht richtig. Warum installiert Windows das Zertifikat dort und nicht unter "Vertrauenswürde Stammzertifizierungsstellen"?
Bitte warten ..
Mitglied: 145916
LÖSUNG 27.09.2020, aktualisiert um 08:13 Uhr
Moin.
Windows wertet die OIDs im Feld EnhancedKeyUsage des Zertifkats aus. Anhand derer lässt sich die Verwendung eines Zertifikates ganz gut ermitteln, ob es z.B. nur für EMail Signatur gedacht ist oder ob sich damit Zertifikate signieren lassen. Der Automatismus wird aber über den Wizard niemals ein Zertifikat von selbst in die vertrauenswürdigen Zertifizierungsstellen importieren den Store musst du über den Wizard immer manuell wählen (Sicherheitstechnische Aspekte)

https://docs.microsoft.com/de-de/windows/win32/api/certenroll/nn-certenr ...
Bitte warten ..
Mitglied: RalphT
27.09.2020 um 08:57 Uhr
Moin eaglefinder,

ich danke Dir!
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server26 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

LAN, WAN, Wireless
Spanning Tree Probleme
gelöst predator66FrageLAN, WAN, Wireless12 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01FrageExchange Server10 Kommentare

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

Notebook & Zubehör
Business Support HP, Dell, Lenovo etc
fuzzyLogicFrageNotebook & Zubehör10 Kommentare

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

E-Mail
Ticketsystem mit mailflow
CraftdorFrageE-Mail8 Kommentare

Hallo, Ich bin auf der Suche nach einem Ticketsystem das am besten Freeware ist und einfach nur eine Ankommende ...

Netzwerkgrundlagen
PfSense Virtuele IP mit NAT auf eine IP im VLAN90 zum VLAN30
OIOOIOOIOIIOOOIIOIIOIOOOFrageNetzwerkgrundlagen8 Kommentare

Guten Tag, ich stehe hier mit einer neuen Herausforderung. Hab ein Internetradio, welches jedoch nur mit eine App gesteuert ...

Ähnliche Inhalte
Linux
Betriebssysteme allgemein
MrLabelFrageLinux11 Kommentare

Hallo, ich amche eine Ausbildung zum FI SI und habe im Rahmenplan noch einige Punkte, bei denen ich mir ...

Sicherheit
Allgemein VPN Fragen
gelöst Michel94FrageSicherheit3 Kommentare

Hallo, ich habe mich schon bei Google und auch hier in der Suche umgeschaut konnte aber nicht so richtig ...

Windows Server

Infrastrukturrobustheit: NTP in domain + allgemein

gelöst NetzwerkDudeFrageWindows Server6 Kommentare

Moin, Der klassiche Aufbau von einer Domain zeitsync ist wohl das der PDC / FSMO zu einer (bzw. mehreren) ...

Linux Netzwerk

FreeRadius Lokal

D1-aB-loFrageLinux Netzwerk7 Kommentare

Ich habe hier schon ein Thema erstellt das sich mit dem FreeRadius beschäftigt in Verbindung mit LDAP. Nun erstelle ...

Windows Server

Unifi Zertifikat

Der.ITlerFrageWindows Server5 Kommentare

Hallo Ihr, Ich habe den Unifi Controller auf einen von 8 Hyper-V Host ( pro Host 128GB RAM) insgesamt ...

Verschlüsselung & Zertifikate

Zertifikat Autoenrollment

flulukFrageVerschlüsselung & Zertifikate5 Kommentare

Hallo, ich habe ein Problem beim ausrollen von Zertifikaten an User. Im Einsatz habe ich eine zweistufige PKI, bei ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT