Share via

Konfigurieren vertrauenswürdiger Stämme und unzulässiger Zertifikate in Windows

  • Artikel

Gilt für: Windows Server (alle unterstützten Versionen), Windows-Clients, Azure Stack HCI.

Leiten Sie die Microsoft-URL für automatische Updates an eine Datei oder einen Webserver um, die bzw. der Zertifikatvertrauenslisten (Certificate Trust Lists, CTLs), nicht vertrauenswürdige CTLs oder eine Teilmenge der vertrauenswürdigen CTL-Dateien in einer nicht verbundenen Umgebung hostet.

Weitere Informationen dazu, wie das Microsoft-Stammzertifikatprogramm für die automatische Verteilung vertrauenswürdiger Stammzertifikate auf Windows-Betriebssysteme funktioniert, finden Sie unter Zertifikate und Vertrauensstellung.

Tipp

Sie müssen die Microsoft-URL für automatische Updates nicht für Umgebungen umleiten, in denen Computer direkt eine Verbindung mit der Windows Update-Website herstellen können. Computer, die eine Verbindung mit der Windows Update-Website herstellen können, können täglich aktualisierte CTLs erhalten.

Voraussetzungen

Damit Sie Ihre nicht verbundene Umgebung für die Verwendung von CTL-Dateien konfigurieren können, die in einer Datei oder auf einem Webserver gehostet werden, müssen die folgenden Voraussetzungen erfüllt sein.

Client-Voraussetzungen

  • Mindestens ein Computer, der eine Verbindung mit dem Internet herstellen kann, um CTLs von Microsoft herunterzuladen. Der Computer muss über HTTP-Zugriff (TCP-Port 80) verfügen und die Namensauflösung (TCP- und UDP-Port 53) unterstützen, um eine Verbindung mit ctldl.windowsupdate.com herstellen zu können. Der Computer kann ein Domänenmitglied oder ein Mitglied einer Arbeitsgruppe sein. Gegenwärtig erfordern alle heruntergeladenen Dateien ca. 1,5 MB Speicherplatz.
  • Clientcomputer müssen mit einer Active Directory Domain Services-Domäne verbunden sein.
  • Sie müssen ein Mitglied der lokalen Administratorgruppe sein.

Voraussetzungen für den Server

  • Ein Dateiserver oder Webserver zum Hosten der CTL-Dateien.
  • AD-Gruppenrichtlinie oder MDM-Lösung zum Bereitstellen von Konfigurationseinstellungen für Ihren Client.
  • Ein Konto, das Mitglied der Gruppe Domänenadministratoren ist oder dem die erforderlichen Berechtigungen zugewiesen wurden

Konfigurationsmethoden

Administrator*innen können eine Datei oder einen Webserver so konfigurieren, dass sie bzw. er die folgenden Dateien mithilfe des automatischen Aktualisierungsmechanismus herunterlädt:

  • authrootstl.cab enthält eine nicht von Microsoft stammende CTL.

  • disallowedcertstl.cab enthält eine CTL mit nicht vertrauenswürdigen Zertifikaten.

  • disallowedcert.sst enthält einen serialisierten Zertifikatspeicher (einschließlich nicht vertrauenswürdiger Zertifikate).

  • <thumbprint>.crt enthält nicht von Microsoft stammende Stammzertifikate.

Die Schritte zum Durchführen dieser Konfiguration werden im Abschnitt Konfigurieren eines Datei- oder Webservers zum Herunterladen der CTL-Dateien dieses Dokuments beschrieben.

Es gibt mehrere Methoden, um Ihre Umgebung für die Verwendung lokaler CTL-Dateien oder einer Teilmenge vertrauenswürdiger CTLs zu konfigurieren. Die folgenden Methoden sind verfügbar:

  • Konfigurieren von Computern, die Mitglieder einer Active Directory-Domänendienste (AD DS)-Domäne sind, zur Verwendung des automatischen Aktualisierungsmechanismus für vertrauenswürdige und nicht vertrauenswürdige CTLs, ohne auf die Windows Update-Website zugreifen zu müssen. Diese Konfiguration wird in diesem Dokument im Abschnitt Umleiten der Microsoft-URL für automatische Updates beschrieben.

  • Konfigurieren von Computern, die Mitglieder einer AD DS-Domäne sind, zum unabhängigen Abonnieren von automatischen Updates für vertrauenswürdige und nicht vertrauenswürdige CTLs. Diese unabhängige Konfiguration zum Aktivieren wird in diesem Dokument im Abschnitt Ausschließliches Umleiten der Microsoft-URL für automatische Updates für nicht vertrauenswürdige CTLs beschrieben.

  • Untersuchen der Stammzertifikate im Windows-Programm für Stammzertifikate. Durch die Überprüfung der Stammzertifikate können Administrator*innen eine Teilmenge von Zertifikaten auswählen, die mit einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) verteilt werden sollen. Diese Konfiguration wird in diesem Dokument im Abschnitt Verwenden einer Teilmenge der vertrauenswürdigen CTLs beschrieben.

Wichtig

  • Die in diesem Dokument beschriebenen Einstellungen werden mithilfe von GPOs implementiert. Die Einstellungen werden nicht automatisch entfernt, wenn die Verknüpfung des GPOs aufgehoben oder das GPO aus der AD DS-Domäne entfernt wird. Nach der Implementierung können die Einstellungen nur mithilfe eines GPOs oder durch Ändern der Registrierung der betroffenen Computer geändert werden.

  • Die in diesem Dokument erörterten Konzepte sind unabhängig von Windows Server Update Services (WSUS).

Konfigurieren eines Datei- oder Webservers zum Herunterladen der CTL-Dateien

Um die Verteilung von vertrauenswürdigen oder nicht vertrauenswürdigen Zertifikaten in einer nicht verbundenen Umgebung zu ermöglichen, müssen Sie zunächst einen Datei- oder Webserver zum Herunterladen der CTL-Dateien über den automatischen Aktualisierungsmechanismus konfigurieren.

Abrufen der CTL-Dateien aus Windows Update

  1. Erstellen Sie einen freigegebenen Ordner auf einem Datei- oder Webserver, der mit dem automatischen Aktualisierungsmechanismus synchronisiert werden kann und zum Speichern der CTL-Dateien verwendet werden soll.

    Tipp

    Bevor Sie beginnen, müssen Sie ggf. die Berechtigungen für den freigegebenen Ordner und NTFS-Ordnerberechtigungen anpassen, um den entsprechenden Kontozugriff zuzulassen. Dies ist insbesondere dann der Fall, wenn Sie eine geplante Aufgabe mit einem Dienstkonto verwenden. Weitere Informationen zum Anpassen von Berechtigungen finden Sie unter Verwalten von Berechtigungen für freigegebene Ordner.

  2. Führen Sie den folgenden Befehl an einer PowerShell-Eingabeaufforderung mit erhöhten Rechten aus:

    Certutil -syncWithWU \\<server>\<share>

    Ersetzen Sie den tatsächlichen Servernamen für <server> und den Namen <share> des freigegebenen Ordners. Für einen Server namens Server1 mit einem freigegebenen Ordner namens „CTL“ führen Sie beispielsweise den folgenden Befehl aus:

    Certutil -syncWithWU \\Server1\CTL

  3. Laden Sie die CTL-Dateien auf einen Server herunter, auf den Computer in einer nicht verbundenen Umgebung über das Netzwerk anhand eines FILE-Pfads (z. B. FILE://\\Server1\CTL oder eines HTTP-Pfads (z. B. http://Server1/CTL) zugreifen können.

Hinweis

  • Wenn der zum Synchronisieren der CTLs eingesetzte Server nicht für die Computer in der nicht verbundenen Umgebung zugänglich ist, müssen Sie eine andere Methode zum Übertragen der Informationen verwenden. Sie können z. B. für eins der Domänenmitglieder das Herstellen einer Verbindung mit dem Server zulassen und anschließend eine weitere Aufgabe auf dem Domänenmitgliedscomputer planen, um die Informationen in einen freigegebenen Ordner auf einem internen Webserver zu pullen. Falls absolut keine Netzwerkverbindung verfügbar ist, müssen sie die Dateien ggf. mit einem manuellen Prozess übertragen, z. B. mit einem Wechselmedium.

  • Wenn Sie vorhaben, einen Webserver zu verwenden, sollten Sie ein neues virtuelles Verzeichnis für die CTL-Dateien erstellen. Die Schritte zum Erstellen eines virtuellen Verzeichnisses mithilfe der Internetinformationsdienste (IIS) sind für alle unterstützten Betriebssysteme, die in diesem Dokument behandelt werden, nahezu identisch. Weitere Informationen finden Sie unter Erstellen eines virtuellen Verzeichnisses (IIS7).

  • Für bestimmte System- und Anwendungsordner in Windows gilt ein spezieller Schutz. Der Ordner inetpub erfordert etwa spezielle Zugriffsberechtigungen, wodurch das Erstellen eines freigegebenen Ordners zur Verwendung mit einer geplanten Aufgabe zum Übertragen von Dateien erschwert wird. Administrator*innen können einen Ordnerspeicherort im Stammverzeichnis eines logischen Datenträgersystems zum Übertragen von Dateien erstellen.

Umleiten der Microsoft-URL für automatische Updates

Die Computer in Ihrem Netzwerk sind möglicherweise in einer nicht verbundenen Umgebung konfiguriert und können daher nicht den automatischen Updatemechanismus verwenden oder CTLs herunterladen. Sie können ein Gruppenrichtlinienobjekt in AD DS implementieren, um diese Computer so zu konfigurieren, dass die CTL-Updates von einem alternativen Speicherort abgerufen werden.

Die Konfiguration in diesem Abschnitt setzt voraus, dass Sie die Schritte unter Konfigurieren eines Datei- oder Webservers zum Herunterladen der CTL-Dateien bereits ausgeführt haben.

So konfigurieren Sie eine benutzerdefinierte administrative Vorlage für ein GPO

  1. Erstellen Sie auf einem Domänencontroller eine neue administrative Vorlage. Öffnen Sie eine Textdatei in Editor, und ändern Sie dann die Dateinamenerweiterung in .adm. Der Inhalt der Datei muss wie folgt aussehen:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
    POLICY !!RootDirURL
       EXPLAIN !!RootDirURL_help
       PART !!RootDirURL EDITTEXT
             VALUENAME "RootDirURL"
       END PART
    END POLICY
END CATEGORY
[strings]
RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
SystemCertificates="Windows AutoUpdate Settings"

  2. Verwenden Sie einen aussagekräftigen Namen zum Speichern der Datei, z. B. RootDirURL.adm.

    • Vergewissern Sie sich, dass die Dateierweiterung .adm lautet und nicht .txt.

    • Falls Sie die Anzeige von Dateierweiterungen noch nicht aktiviert haben, finden Sie unter Anzeigen von Dateierweiterungen entsprechende Informationen.

    • Wenn Sie die Datei im Ordner %windir%\inf speichern, ist sie in den folgenden Schritten leichter zu finden.

  3. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor. Wählen Sie Start > Ausführen aus, geben Sie GPMC.msc ein, und drücken Sie dann die EINGABETASTE.

    Warnung

    Sie können ein neues GPO mit der Domäne oder einer beliebigen Organisationseinheit verknüpfen. Durch die in diesem Dokument implementierten GPO-Änderungen werden die Registrierungseinstellungen der betroffenen Computer geändert. Diese Einstellungen können nicht durch Löschen oder Aufheben der Verknüpfung des GPO rückgängig gemacht werden. Sie können nur rückgängig gemacht werden, indem sie in den GPO-Einstellungen zurückgesetzt werden oder die Registrierung mithilfe einer anderen Technik geändert wird.

  4. Erweitern Sie das Objekt Gesamtstruktur, das Objekt Domänen und anschließend die spezifische Domäne, die die zu ändernden Computerkonten enthält. Wenn Sie eine bestimmte Organisationseinheit ändern möchten, navigieren Sie zu diesem Speicherort.

  5. Klicken Sie mit der rechten Maustaste, und wählen Sie dann Gruppenrichtlinienobjekt hier erstellen und verknüpfen aus, um ein neues GPO zu erstellen.

  6. Erweitern Sie im Navigationsbereich unter Konfiguration den Knoten Richtlinien.

  7. Klicken Sie mit der rechten Maustaste auf Administrative Vorlagen, und wählen Sie dann Vorlagen hinzufügen/entfernen aus.

  8. Wählen Sie unter Vorlagen hinzufügen/entfernen die Option Hinzufügen aus.

  9. Wählen Sie im Dialogfeld Richtlinienvorlagen die zuvor gespeicherte Vorlage .adm aus. Wählen Sie Öffnen und dann Schließen aus.

  10. Erweitern Sie im Navigationsbereich den Knoten Administrative Vorlagen und anschließend Klassische administrative Vorlage (ADM).

  11. Wählen Sie Windows AutoUpdate-Einstellungen aus, und doppelklicken Sie im Detailbereich auf URL, die anstelle der Standardadresse „ctldl.windowsupdate.com“ verwendet werden soll.

  12. Wählen Sie Aktiviert. Geben Sie im Abschnitt Optionen die URL zum Datei- oder Webserver ein, der die CTL-Dateien enthält. Zum Beispiel: http://server1/CTL oder file://\\server1\CTL.

  13. Wählen Sie OK aus.

  14. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.

Die Richtlinie wird sofort wirksam, die Clientcomputer müssen jedoch neu gestartet werden, um die neuen Einstellungen zu erhalten. Sie können auch an einer Eingabeaufforderung mit erhöhten Rechten oder in Windows PowerShell den Befehl gpupdate /force eingeben.

Wichtig

Da die vertrauenswürdigen und nicht vertrauenswürdigen CTLs täglich aktualisiert werden können, müssen Sie sicherstellen, dass die Dateien stets synchronisiert werden. Sie können dazu eine geplante Aufgabe oder eine andere Methode (z. B. ein Skript, das Fehlerbedingungen behandelt) verwenden, um den freigegebenen Ordner oder das virtuelle Webverzeichnis zu aktualisieren. Weitere Informationen zum Erstellen einer geplanten Aufgabe mithilfe von PowerShell finden Sie unter New-ScheduledTask. Wenn Sie vorhaben, ein Skript zum Ausführen täglicher Updates zu schreiben, lesen Sie die Referenz zum Windows-Befehl certutil.

Umleiten der Microsoft-URL für automatische Updates für nicht vertrauenswürdige CTLs

Manche Organisationen ziehen es unter Umständen vor, dass nur die nicht vertrauenswürdigen CTLs (nicht die vertrauenswürdigen CTLs) automatisch aktualisiert werden. Um nur die nicht vertrauenswürdigen CTLs automatisch zu aktualisieren, erstellen Sie zwei Vorlagen vom Typ .adm, die der Gruppenrichtlinie hinzugefügt werden.

In einer nicht verbundenen Umgebung können Sie das folgende Verfahren zusammen mit dem vorangehenden Verfahren (Umleiten der Microsoft-URL für automatische Updates für vertrauenswürdige CTLs und nicht vertrauenswürdige CTLs) verwenden. In diesem Verfahren wird erläutert, wie Sie die automatische Aktualisierung vertrauenswürdiger CTLs selektiv deaktivieren.

Sie können dieses Verfahren auch in einer isolierten verbundenen Umgebung verwenden, um die automatische Aktualisierung vertrauenswürdiger CTLs selektiv zu deaktivieren.

So leiten Sie selektiv nur nicht vertrauenswürdige CTLs um

  1. Erstellen Sie auf einem Domänencontroller die erste neue administrative Vorlage, indem Sie mit einer Textdatei beginnen und die Dateierweiterung anschließend in .adm ändern. Der Inhalt der Datei muss wie folgt aussehen:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!DisableRootAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "DisableRootAutoUpdate"
       VALUEON NUMERIC 0
          VALUEOFF NUMERIC 1

    END POLICY
END CATEGORY
[strings]
DisableRootAutoUpdate="Auto Root Update"
Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  2. Verwenden Sie einen aussagekräftigen Namen zum Speichern der Datei, z. B. DisableAllowedCTLUpdate.adm.

  3. Erstellen Sie eine zweite neue administrative Vorlage. Der Inhalt der Datei muss wie folgt aussehen:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!EnableDisallowedCertAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "EnableDisallowedCertAutoUpdate"
       VALUEON NUMERIC 1
          VALUEOFF NUMERIC 0

    END POLICY
END CATEGORY
[strings]
EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  4. Verwenden Sie einen aussagekräftigen Namen zum Speichern der Datei, z. B. EnableUntrustedCTLUpdate.adm.

    • Vergewissern Sie sich, dass die Dateierweiterung dieser Dateien .adm lautet und nicht .txt.

    • Wenn Sie die Datei im Ordner %windir%\inf speichern, ist sie in den folgenden Schritten leichter zu finden.

  5. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor.

  6. Erweitern Sie das Objekt Gesamtstruktur, das Objekt Domänen und anschließend die spezifische Domäne, die die zu ändernden Computerkonten enthält. Wenn Sie eine bestimmte Organisationseinheit ändern möchten, navigieren Sie zu diesem Speicherort.

  7. Erweitern Sie im Navigationsbereich unter Konfiguration den Knoten Richtlinien.

  8. Klicken Sie mit der rechten Maustaste auf Administrative Vorlagen, und wählen Sie dann Vorlagen hinzufügen/entfernen aus.

  9. Wählen Sie unter Vorlagen hinzufügen/entfernen die Option Hinzufügen aus.

  10. Wählen Sie im Dialogfeld Richtlinienvorlagen die zuvor gespeicherte Vorlage .adm aus. Wählen Sie Öffnen und dann Schließen aus.

  11. Erweitern Sie im Navigationsbereich den Knoten Administrative Vorlagenund anschließend Klassische administrative Vorlagen (ADM).

  12. Wählen Sie Windows AutoUpdate-Einstellungen aus, und doppelklicken Sie dann im Detailbereich auf Automatische Aktualisierung der Stammzertifikate.

  13. Wählen Sie Deaktiviert und anschließend OK aus.

  14. Doppelklicken Sie im Detailbereich auf Automatische Aktualisierung nicht vertrauenswürdiger CTLs, und wählen Sie dann Aktiviert und OK aus.

Die Richtlinie wird sofort wirksam, die Clientcomputer müssen jedoch neu gestartet werden, um die neuen Einstellungen zu erhalten. Sie können auch an einer Eingabeaufforderung mit erhöhten Rechten oder in Windows PowerShell den Befehl gpupdate /force eingeben.

Wichtig

Da die vertrauenswürdigen und nicht vertrauenswürdigen CTLs täglich aktualisiert werden können, müssen Sie sicherstellen, dass die Dateien stets synchronisiert werden. Sie können dazu eine geplante Aufgabe oder eine andere Methode verwenden, um den freigegebenen Ordner oder das virtuelle Verzeichnis zu aktualisieren.

Verwenden einer Teilmenge der vertrauenswürdigen CTLs

In diesem Abschnitt wird beschrieben, wie Sie die vertrauenswürdigen CTLs, die von den Computern in Ihrer Umgebung verwendet werden sollen, erzeugen, überprüfen und filtern können. Sie müssen die in den vorangehenden Verfahren beschriebenen GPOs implementieren, um diese Lösung verwenden zu können. Die Lösung ist für nicht verbundene und verbundene Umgebungen verfügbar.

Zum Anpassen der Liste der vertrauenswürdigen CTLs gibt es zwei Verfahren.

  1. Erstellen einer Teilmenge von vertrauenswürdigen Zertifikaten

  2. Verteilen der vertrauenswürdigen Zertifikate mithilfe von Gruppenrichtlinien

So erstellen Sie eine Teilmenge von vertrauenswürdigen Zertifikaten

Hier erfahren Sie, wie Sie SST-Dateien mithilfe des automatischen Windows-Updatemechanismus in Windows generieren. Weitere Informationen zum Generieren von SST-Dateien finden Sie in der Referenz zum Windows-Befehl Certutil.

  1. Öffnen Sie auf einem Computer, der mit dem Internet verbunden ist, Windows PowerShell als Administrator*in, oder öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie den folgenden Befehl ein:

    Certutil -generateSSTFromWU WURoots.sst

  2. Führen Sie den folgenden Befehl in Windows-Explorer aus, um die Datei WURoots.sst zu öffnen:

    start explorer.exe wuroots.sst

    Tipp

    Sie können auch in Internet Explorer zu der Datei navigieren und sie per Doppelklick öffnen. Je nachdem, wo sie die Datei gespeichert haben, können Sie sie möglicherweise auch durch Eingabe von wuroots.sstöffnen.

  3. Öffnen Sie den Zertifikat-Manager.

  4. Erweitern Sie den Dateipfad unter Zertifikate – Aktueller Benutzer, bis Zertifikate angezeigt wird, und wählen Sie dann Zertifikate aus.

  5. Im Detailbereich werden die vertrauenswürdigen Zertifikate angezeigt. Halten Sie die STRG-TASTE gedrückt, und wählen Sie jedes Zertifikat aus, das Sie zulassen möchten. Klicken Sie nach der Auswahl der zuzulassenden Zertifikate mit der rechten Maustaste auf Alle Aufgaben, und wählen Sie dann Exportieren aus.

    • Zum Exportieren des Dateityps .sst müssen mindestens zwei Zertifikate ausgewählt werden. Wenn Sie nur ein Zertifikat auswählen, ist der Dateityp .sst nicht verfügbar, und stattdessen wird der Dateityp .cer ausgewählt.

  6. Klicken Sie im Zertifikatexport-Assistenten auf Weiter.

  7. Wählen Sie auf der Seite Format der zu exportierenden Datei das Format Serieller Microsoft-Zertifikatspeicher (.SST) und dann Weiter aus.

  8. Geben Sie auf der Seite Zu exportierende Datei einen Dateipfad und einen geeigneten Namen für die Datei ein (z. B. C:\AllowedCerts.sst), und wählen dann Weiter aus.

  9. Wählen Sie Fertig stellenaus. Wenn ein Hinweis zum erfolgreichen Abschluss des Exports angezeigt wird, wählen Sie OK aus.

  10. Kopieren Sie die erstellte Datei vom Typ .sst auf einen Domänencontroller.

So verteilen Sie die Liste vertrauenswürdiger Zertifikate mithilfe von Gruppenrichtlinien

  1. Öffnen Sie auf dem Domänencontroller, auf den Sie die benutzerdefinierte .sst-Datei kopiert haben, den Gruppenrichtlinienverwaltungs-Editor.

  2. Erweitern Sie Gesamtstruktur > Domänenund anschließend das spezifische Domänenobjekt, das Sie ändern möchten. Klicken Sie mit der rechten Maustaste auf das GPO Standarddomänenrichtlinie, und wählen Sie dann Bearbeiten aus.

  3. Erweitern Sie im Navigationsbereich unter Computerkonfiguration die Knoten Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen und Richtlinien für öffentliche Schlüssel.

  4. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen, und wählen Sie Importieren aus.

  5. Wählen Sie im Zertifikatimport-Assistenten Weiter aus.

  6. Geben Sie den Pfad und Namen der Datei ein, die Sie auf den Domänencontroller kopiert haben, oder suchen Sie mithilfe der Schaltfläche Durchsuchen nach der Datei. Wählen Sie Weiter aus.

  7. Bestätigen Sie, dass Sie die Zertifikate im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen speichern möchten, indem Sie Weiter auswählen. Wählen Sie Fertig stellen aus. Wenn ein Hinweis zum erfolgreichen Abschluss des Imports der Zertifikate angezeigt wird, wählen Sie OK aus.

  8. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.

Die Richtlinie wird sofort wirksam, die Clientcomputer müssen jedoch neu gestartet werden, um die neuen Einstellungen zu erhalten. Sie können auch an einer Eingabeaufforderung mit erhöhten Rechten oder in Windows PowerShell den Befehl gpupdate /force eingeben.

Geänderte Registrierungseinstellungen

Durch die in diesem Dokument beschriebenen Einstellungen werden die folgenden Registrierungsschlüssel auf den Clientcomputern konfiguriert. Die Einstellungen werden nicht automatisch entfernt, wenn die Verknüpfung des GPO aufgehoben oder das GPO aus der Domäne entfernt wird. Diese Einstellungen müssen neu konfiguriert werden, wenn Sie sie ändern möchten.

  • Aktivieren oder deaktivieren Sie die automatische Aktualisierung der vertrauenswürdigen CTL durch Windows:

    • Schlüssel: HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
    • Typ:REG_DWORD
    • Name: DisableRootAutoUpdate
    • Daten: 0 zum Aktivieren bzw. 1 zum Deaktivieren.
    • Standardeinstellung: Standardmäßig ist kein Schlüssel vorhanden. Ohne einen Schlüssel ist die Standardeinstellung aktiviert.

  • Aktivieren oder deaktivieren Sie die automatische Aktualisierung der nicht vertrauenswürdigen CTL durch Windows:

    • Schlüssel: SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
    • Typ:REG_DWORD
    • Name: EnableDisallowedCertAutoUpdate
    • Daten: 1 zum Aktivieren bzw. 0 zum Deaktivieren.
    • Standardeinstellung: Standardmäßig ist kein Schlüssel vorhanden. Ohne einen Schlüssel ist die Standardeinstellung aktiviert.

  • Legen Sie den Speicherort der freigegebenen CTL-Datei (HTTP- oder FILE-Pfad) fest:

    • Schlüssel: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
    • Typ:REG_SZ
    • Name: RootDirUrl
    • Daten: Geben Sie einen gültigen HTTP- oder Datei-URI ein.
    • Standardeinstellung: Standardmäßig ist kein Schlüssel vorhanden. Ohne einen Schlüssel wird standardmäßig Windows Update verwendet.

Überprüfen vertrauenswürdiger und nicht vertrauenswürdiger CTLs

Es kann aus verschiedenen Gründen erforderlich sein, alle vertrauenswürdigen und nicht vertrauenswürdigen CTLs auf einem Clientcomputer zu überprüfen. Die folgenden Certutil-Optionen können verwendet werden, um alle vertrauenswürdigen und nicht vertrauenswürdigen CTLs auf einem Clientcomputer zu überprüfen:

certutil -verifyCTL AuthRoot
certutil -verifyCTL Disallowed

Überprüfen des Zeitpunkts der letzten Synchronisierung

Führen Sie den folgenden Certutil-Befehl aus, um den Zeitpunkt der letzten Synchronisierung auf dem lokalen Computer für vertrauenswürdige oder nicht vertrauenswürdige CTLs zu überprüfen:

certutil -verifyctl AuthRoot | findstr /i "lastsynctime"
certutil -verifyctl Disallowed | findstr /i "lastsynctime"