Entfernen des U.S. Federal Common Policy Ca-Zertifikats aus dem vertrauenswürdigen Microsoft-Stamm

In diesem Artikel wird das Entfernen des U.S. Federal Common Policy CA-Stammzertifikats im Update des Microsoft-Stammzertifikats vom 24. Mai 2022 erläutert. Dieser Artikel enthält auch Lösungen, um Probleme zu vermeiden oder zu beheben, die auftreten, wenn Unternehmen vor dem Entfernen des Federal Common Policy CA-Stammzertifikats bis zum 24. Mai 2022 aus der Microsoft Certificate Trust List (CTL) nicht auf das G2-Stammzertifikat der Federal Common Policy-Zertifizierungsstelle umgestellt haben.

Hinweis

Das Stammzertifikat, das vom Microsoft-Stammzertifikatupdate entfernt wird, heißt "Federal Common Policy CA" und wird häufig als "G1"-Stammzertifikat bezeichnet, obwohl "G1" im Zertifikatnamen nicht angezeigt wird.

Das Stammzertifikat, das das Stammzertifikat "G1" ersetzt, heißt "Federal Common Policy CA G2" und wird allgemein als "G2"-Stammzertifikat bezeichnet.

Gilt für: Alle Versionen von Windows

Einführung

Das USA FPKI-Team (Federal PKI), das die U.S. Federal Common Policy CA steuert, beantragte formell die Entfernung des unten aufgeführten "G1"-Stammzertifikats aus dem Microsoft Trusted Root Program.

Name des Zertifikats	SHA1-Fingerabdruck
Federal Common Policy CA	905F942FD9F28F679B378180FD4F846347F645C1

Anwendungen und Vorgänge, die vom Stammzertifikat "G1" abhängig sind, schlagen ein bis sieben Tage nach Erhalt des Stammzertifikatupdates fehl. Administratoren sollten vom vorhandenen Stammzertifikat "G1" zum Ersatzstammzertifikat "G2" migrieren, das unten als Federal Trust Anchor Ihrer Behörde aufgeführt ist.

Name des Zertifikats	SHA1-Fingerabdruck
Federal Common Policy CA G2	99B4251E2EEE05D8292E8397A90165293D116028

Hinweis

Das Stammzertifikat "G2" kann direkt aus dem Crt-Dateidownload des Stammzertifikats "G2" heruntergeladen werden.

Potenzielle Probleme

Nachdem das Stammzertifikat "G1" entfernt wurde, können bei Benutzern in Umgebungen, die nicht auf das Stammzertifikat "G2" umgestellt wurden, Probleme auftreten, die sich auf die folgenden Szenarien auswirken:

• TLS- oder SSL-Verbindungen.
• Secure oder Multipurpose Internet Mail Extensions (S/MIME) oder sichere E-Mail.
• Signierte Dokumente in Microsoft Word. (PDF- und Adobe Acrobat-Dateien sind davon nicht betroffen.)
• Clientauthentifizierung, einschließlich des Herstellens von VPN-Verbindungen.
• Smart Karte- oder PIV-authentifizierter Zugriff, einschließlich Badgezugriff, der vollständig auf Windows-Software basiert.

Die folgenden Fehlermeldungen können in Popupfenstern und Dialogfeldern angezeigt werden:

• Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig.

• Das von dieser Website vorgelegte Sicherheitszertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.

• Eine Zertifikatkette, die verarbeitet, aber in einem ROOT-Zertifikat beendet wird, dem der Vertrauensanbieter nicht vertraut.

• Fehler beim Verketten von Zertifikaten.

• Die Zertifikatkette wurde von einer Nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt.

• Das Zertifikat oder die zugeordnete Kette ist ungültig.

Schritte zum Vermeiden dieser Probleme

1. Überprüfen Sie die Änderungen im Abschnitt Setup der Testkonfiguration , um zu testen, was beim Entfernen von "G1" aus der CTL vor dem Veröffentlichungsdatum des Updates geschieht.
2. Nachdem Sie den Abschnitt zum Einrichten der Testkonfiguration verwendet haben, um zu überprüfen, ob alle relevanten Szenarien funktionieren, führen Sie die Schritte im Abschnitt "Setup der Produktionskonfiguration" in Ihrer Produktionskonfiguration aus.

Hinweis

Anwendungs-as-Service-Szenarien wie Azure SQL oder Azure App Service, bei denen die Kette mit dem Stammzertifikat "G1" fehlschlägt, nachdem das Stammzertifikat "G1" entfernt wurde.

Einrichtung der Testkonfiguration

Vor der Veröffentlichung des Updates können Administratoren die folgenden Schritte ausführen, um die Windows-Registrierung direkt für eine Vorabversion oder einen bereitgestellten Speicherort des neuesten Zertifikatupdates zu konfigurieren. Sie können die Einstellungen auch mithilfe von Gruppenrichtlinie konfigurieren. Weitere Informationen finden Sie unter So konfigurieren Sie eine benutzerdefinierte administrative Vorlage für ein Gruppenrichtlinienobjekt.

Hinweis

Die Vorschauversion der Mai-Version, die das Entfernen des Stammzertifikats "G1" umfasst, wird am 11. Mai 2022 bereitgestellt.

1. Öffnen Sie regedit, und navigieren Sie dann zum folgenden Registrierungsunterschlüssel:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

2. Fügen Sie die folgenden Registrierungswerte hinzu, oder ändern Sie sie:

   • Legen Sie RootDirUrl auf fest http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.
   • Legen Sie SyncFromDirUrl auf fest http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.

3. Löschen Sie die folgenden Registrierungswerte:

   • EncodedCtl
   • LastSyncTime

4. Löschen Sie den HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates Unterschlüssel. Mit diesem Schritt werden alle gespeicherten Stammzertifikate gelöscht.

   Hinweis

   Indem Sie alle gespeicherten Stammzertifikate aus HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificateslöschen, können Sie sicherstellen, dass alle gespeicherten Stammzertifikate entfernt werden. Dieser Vorgang zwingt Windows, neue Stammzertifikate herunterzuladen, wenn zugeordnete PKI-Ketten (Public Key Infrastructure) verwendet werden, die neue Eigenschaften aufweisen (falls geändert). Da das Stammzertifikat "G1" entfernt wird, wird dieses Stammzertifikat nicht heruntergeladen.

5. Überprüfen Sie alle Szenarien, die mit dem Stammzertifikat "G1" verkettet sind, einschließlich der Szenarien, die unter Potenzielle Probleme aufgeführt sind.

Hinweis

Der Link zur Testwebsite ändert sich nie. Die Änderungen, die auf der Testwebsite bereitgestellt werden, ändern sich jedoch von Monat zu Monat.

Einrichtung der Produktionskonfiguration

Mit den folgenden Schritten wird die Windows-Registrierung direkt so konfiguriert, dass die Produktionsversion der CTL verwendet wird, wenn die Test-URL aus dem vorherigen Abschnitt verwendet wird:

1. Öffnen Sie regedit, und navigieren Sie dann zum folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

2. Fügen Sie die folgenden Registrierungswerte hinzu, oder ändern Sie sie:

   • Legen Sie RootDirUrl auf fest http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.
   • Legen Sie SyncFromDirUrl auf fest http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.

3. Löschen Sie die folgenden Registrierungswerte:

   • EncodedCtl
   • LastSyncTime

4. Löschen Sie den HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates Registrierungsunterschlüssel. Mit diesem Schritt werden alle gespeicherten Stammzertifikate gelöscht.

Konfigurieren des Stammzertifikats "G2"

Administratoren sollten das Stammzertifikat "G2" gemäß den folgenden Anweisungen konfigurieren, bevor das Stammzertifikat "G1" durch das Update des Out-of-Band-Stammzertifikats (OOB) entfernt wird.

1. Befolgen Sie die Anleitung unter Abrufen und Überprüfen des FCPCA-Stammzertifikats , um das Stammzertifikat "G2" herunterzuladen und auf allen Windows-Arbeitsgruppen-, Mitglieds- und Domänencontrollercomputern zu installieren.
2. Es gibt mehrere Möglichkeiten, den Stammspeicher auf Unternehmensgeräten bereitzustellen. Weitere Informationen finden Sie im Abschnitt "Microsoft-Lösungen" unter Verteilen an Betriebssysteme.

Hinweis

In Unternehmen, die über Zertifizierungsübergreifende Abhängigkeiten für smarte Karte Anmeldungen oder andere Szenarien auf Windows-Geräten verfügen, aber keinen Internetzugriff haben, lesen Sie die Abschnitte "Muss ich die Zertifikate der Zwischenzertifizierungsstelle verteilen?" und "Zertifikate ausgestellt von der Federal Common Policy CA G2" unter Verteilen von Zwischenzertifikaten.

Viele Bundesunternehmen müssen entweder über die Zertifikate der US-Schatzverwaltungszertifizierungsstelle oder über die Entrust Managed Services-Zertifizierungsstellenzertifikate verfügen. Beide Zertifizierungsstellenzertifikate sind im Artikel "Verteilen der Zertifizierungsstellenzertifikate" wie folgt dokumentiert:

Wichtig! Um sicherzustellen, dass PIV-Anmeldeinformationszertifikate, die vom Entrust Federal SSP vor dem 13. August 2019 ausgestellt wurden, für die Federal Common Policy CA G2 gültig sind, müssen Sie ein zusätzliches Zertifizierungsstellen-Zwischenzertifikat an Systeme verteilen, die keine dynamische Pfadvalidierung durchführen können. Weitere Informationen finden Sie auf unserer Seite Häufig gestellte Fragen.

Manuelle Schritte zum Abrufen der CTL

Führen Sie für nicht verbundene Umgebungen, in denen Windows-Geräte nicht auf Windows Update oder das Internet zugreifen dürfen, die folgenden Schritte aus, um die CTL manuell abzurufen:

1. Laden Sie die CTL herunter:
   1. Führen Sie certutil -generateSSTFromWU c:\roots\trustedcerts.sst aus.
   2. Wenn Sie die Datei trustedcerts.sst auswählen, sollte das Zertifikat-Manager-Snap-In geöffnet werden, um die vollständige CTL anzuzeigen.
2. Liste "Zertifikat nicht zugelassen" herunterladen:
   1. Ausführen certutil -syncwithwu c:\roots.
   2. Ausführen certutil -verifyctl -v c:\roots\disallowedstl.cab c:\roots\disallowedcert.sst.
   3. Wenn Sie disallowedcert.sst auswählen, sollte das Zertifikat-Manager-Snap-In geöffnet werden, um alle Stamme in der Liste Unzulässig anzuzeigen.
3. Um Einstellungen auszuwerten, die auf der Benutzeroberfläche nicht angezeigt werden, konvertieren Sie die SST-Datei in eine Textdatei. Führen Sie dazu aus certutil -dump -gmt -v c:\roots\trustedcerts.sst > c:\roots\trustedcerts.txt.
4. Laden Sie das Stammzertifikat "G2" unter Abrufen und Überprüfen des FCPCA-Stammzertifikats herunter, und fügen Sie es Ihrer persönlichen CTL hinzu.

Problembehandlung und Analyse von Root Chaining-Problemen

Die folgenden Daten können Ihnen bei der Problembehandlung von Vorgängen helfen, die von der Entfernung des Stammzertifikats "G1" betroffen sind:

1. Aktivieren Sie die CAPI2-Protokollierung. Weitere Informationen finden Sie unter Windows PKI-Problembehandlung und CAPI2-Diagnose.

2. Erstellen Sie Filter in Ereignisanzeige für die folgenden Ereignisprotokolle, Ereignisquellen und Ereignis-IDs.

   Gehen Sie im Protokoll Anwendungs- und Dienstprotokolle\Microsoft\Windows\CAPI2\Operational , das CAPI2 als Quelle verwendet:

   • Ereignis-ID 11: Dieses Ereignis zeigt, dass Fehler verkettet werden.
   • Ereignis-ID 30: Dieses Ereignis zeigt Ihnen Richtlinienkettenfehler an, z. B. NTAuth-Fehler und SSL-Richtlinienüberprüfung.
   • Ereignis-ID 90: Dieses Ereignis zeigt Alle Zertifikate an, die zum Erstellen aller möglichen Zertifikatketten auf dem System verwendet wurden.
   • Ereignis-ID 40–43: Diese Ereignisreihe zeigt alle gespeicherten CRLs und Ereigniszertifikate an, auf die über AIA-Pfade zugegriffen wird.
   • Ereignis-ID 50–53: Diese Ereignisreihe zeigt alle Versuche an, über das Netzwerk auf die CRLs zuzugreifen. Das Ereignis bezieht sich auf die folgende Fehlermeldung:

     Eine Zertifikatkette, die verarbeitet, aber in einem ROOT-Zertifikat beendet wird, das vom Vertrauensanbieter nicht als vertrauenswürdig eingestuft wird

   Gehen Sie im Systemereignisprotokoll, das Microsoft-Windows-Kerberos-Key-Distribution-Center als Quelle verwendet:

   • Fehler 19: Dieses Ereignis gibt an, dass versucht wurde, eine intelligente Karte Anmeldung zu verwenden, aber das KDC kann das PKINIT-Protokoll nicht verwenden, da ein geeignetes Zertifikat fehlt.
   • Ereignis 21: Eine Zertifikatkette konnte nicht für eine vertrauenswürdige Stammzertifizierungsstelle erstellt werden.
   • Ereignis 29: Das Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein geeignetes Zertifikat finden, das für smarte Karte-Anmeldungen verwendet werden kann, oder das KDC-Zertifikat konnte nicht überprüft werden. Smart Karte Anmeldung funktioniert möglicherweise nicht ordnungsgemäß, wenn dieses Problem nicht behoben wird. Um dieses Problem zu beheben, überprüfen Sie entweder das vorhandene KDC-Zertifikat mithilfe von Certutil.exe oder registrieren Sie sich für ein neues KDC-Zertifikat.