Zertifikate und Vertrauensstellung in Windows

Gilt für: Windows Server (alle unterstützten Versionen), Windows-Clients, Azure Stack HCI.

Das Microsoft-Programm für Stammzertifikate ermöglicht die Verteilung vertrauenswürdiger und nicht vertrauenswürdiger Stammzertifikate in Windows-Betriebssystemen. Weitere Informationen zur Liste der Mitglieder im Windows-Stammzertifikatprogramm finden Sie unter List of Participants - Microsoft Trusted Root Program (Liste der Teilnehmer*innen – Microsoft Trusted Root-Programm).

Vertrauenswürdige und nicht vertrauenswürdige Stammzertifikate werden von Windows-Betriebssystemen und -Anwendungen als Referenz verwendet, um zu bestimmen, ob PKI-Hierarchien (Public Key-Infrastruktur) und digitale Zertifikate vertrauenswürdig sind. Nicht vertrauenswürdige Stammzertifikate sind Zertifikate, deren betrügerische Natur öffentlich bekannt ist. Vertrauenswürdige und nicht vertrauenswürdige Stammzertifikate funktionieren in allen Umgebungen, unabhängig davon, ob diese verbunden oder getrennt sind.

Vertrauenswürdige und nicht vertrauenswürdige Stammzertifikate sind in einer Zertifikatvertrauensliste (Certificate Trust List, CTL) enthalten. Wenn Sie Stammzertifikate verteilen möchten, verwenden Sie eine CTL. Windows Server bietet Funktionen für automatische tägliche Updates, u. a. zum Download der neuesten CTLs. Die Liste der vertrauenswürdigen und nicht vertrauenswürdigen Stammzertifikate wird als vertrauenswürdige CTL bzw. nicht vertrauenswürdige CTL bezeichnet. Weitere Informationen finden Sie unter Ankündigung des automatisierten Updaters für nicht vertrauenswürdige Zertifikate und Schlüssel.

Server und Clients greifen auf die Windows Update-Website zu, um die CTL mithilfe des in diesem Artikel beschriebenen automatischen täglichen Aktualisierungsmechanismus (CTL-Updater) zu aktualisieren. Sie können die CTL-Updater-Funktionalität nutzen, indem Sie die entsprechenden Softwareupdates installieren. Anleitungen zum Installieren der in diesem Artikel behandelten Softwareupdates unter unterstützten Betriebssystemen finden Sie unter Konfigurieren vertrauenswürdiger Stämme und unzulässiger Zertifikate in Windows.

Automatische Aktualisierungen der Zertifikatvertrauensliste

Windows lädt standardmäßig die CTLs über einen automatischen Mechanismus namens CTL-Updater aus dem Internet herunter. Die öffentlichen URLs, die von CTL-Updater verwendet werden, können Clients zur Verfügung gestellt werden:

• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Die Funktion zur automatischen Aktualisierung kann auch bei Bedarf deaktiviert werden, dies wird jedoch nicht empfohlen.

Alternativ können Sie auch administrative Vorlagen für Gruppenrichtlinien (ADMX-Vorlagen) erstellen, um eine Umleitung auf einen internen Server für Updates einzurichten.

Der Registrierungsspeicherort, an dem vertrauenswürdige und nicht vertrauenswürdige CTLs gespeichert werden:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtl
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl

Vorteile von CTL-Updater

Die Funktion zur automatischen Aktualisierung mit CTL-Updater bietet mehrere Vorteile:

• Registrierungseinstellungen zum Speichern von CTLs Neue Einstellungen ermöglichen das Ändern des Speicherorts für den Upload von vertrauenswürdigen oder nicht vertrauenswürdigen CTLs von der Windows Update-Website in einen freigegebenen Speicherort in einer Organisation. Weitere Informationen finden Sie unter Geänderte Registrierungseinstellungen.

• Synchronisierungsoptionen Wenn die URL für die Windows Update-Website in einen lokalen freigegebenen Ordner verschoben wird, muss dieser Ordner mit dem Windows Update-Ordner synchronisiert werden. Dieses Softwareupdate fügt eine Reihe von Optionen im Certutil-Tool hinzu, mit denen Sie die Synchronisierung aktivieren können. Weitere Informationen finden Sie in der Referenz zum Windows-Befehl Certutil -syncWithWU.

• Tool zum Auswählen vertrauenswürdiger Stammzertifikate: In diesem Softwareupdate wird ein Tool zum Verwalten der vertrauenswürdigen Stammzertifikate in ihrer Unternehmensumgebung eingeführt. Sie können die vertrauenswürdigen Stammzertifikate anzeigen und auswählen, in einen serialisierten Zertifikatspeicher exportieren und mithilfe von Gruppenrichtlinien verteilen. Weitere Informationen finden Sie in der Referenz zum Windows-Befehl certutil -generateSSTFromWU SSTFile.

• Unabhängige Konfigurierbarkeit: Die automatischen Aktualisierungsmechanismen für vertrauenswürdige und nicht vertrauenswürdige Zertifikate werden unabhängig voneinander konfiguriert. Sie können den automatischen Aktualisierungsmechanismus verwenden, um nur die nicht vertrauenswürdigen CTLs herunterzuladen und Ihre eigene Liste vertrauenswürdiger CTLs zu verwalten. Weitere Informationen finden Sie unter Geänderte Registrierungseinstellungen.

Anleitungen zum Installieren der in diesem Artikel behandelten Softwareupdates unter unterstützten Betriebssystemen finden Sie unter Konfigurieren vertrauenswürdiger Stämme und unzulässiger Zertifikate in Windows.

Die Funktion zur automatischen Aktualisierung kann bei Bedarf deaktiviert werden, dies wird jedoch nicht empfohlen.

Nächste Schritte

Sie haben mehr über vertrauenswürdige Stammzertifikate und nicht zulässige Zertifikate in Windows erfahren. Hier finden Sie weitere Artikel, die Ihnen bei der Konfiguration Ihrer Systeme helfen können:

• Konfigurieren vertrauenswürdiger Stämme und unzulässiger Zertifikate

• Teilnehmerliste: Microsoft Trusted Root Program

• Steuern des Features für die Aktualisierung von Stammzertifikaten, um den Informationsfluss zum und vom Internet zu verhindern

• Event ID 8 — Automatic Root Certificates Update Configuration (Ereignis-ID 8: Konfiguration der automatischen Aktualisierung von Stammzertifikaten)

• Referenz zum Windows-Befehl certutil