Windows stellt Ihnen einen Zertifikatsmanager (Abbildung 1) zur Verfügung, um Ihre installierten Zertifikate zu verwalten. Zertifikate werden in Speichern abgelegt. Die zwei Hauptspeicherorte sind in weitere Unterspeicher unterteilt. Administratoren können beide Hauptspeicher mit dem MMC-Snap-In-Tool anzeigen. Alle anderen Benutzer können lediglich den Speicher des aktuellen Benutzers anzeigen.
-
Lokaler Computerspeicher: Dieser enthält die Zertifikate, die von den Prozessen des Computers verwendet werden. Speichern Sie die Zertifikate zur Authentifizierung des Servers gegenüber Clients im lokalen Computerspeicher.
-
Aktueller Benutzerspeicher: Interaktive Anwendungen legen Zertifikate für den aktuellen Benutzer des Computers normalerweise im aktuellen Benutzerspeicher ab. Beim Erstellen einer Clientanwendung werden die Zertifikate zur Authentifizierung eines Benutzers gegenüber einem Dienst normalerweise hier abgelegt.
Diese beiden Speicher teilen sich in weitere Unterspeicher auf. Die wichtigsten Unterspeicher sind folgende:
-
Vertrauenswürdige Stammzertifizierungsstellen: Mit den Zertifikaten in diesem Speicher können Sie eine Zertifikatskette erstellen, die zum Zertifikat einer Zertifizierungsstelle in diesem Speicher zurückverfolgt werden kann.
-
Persönliche: Dieser Speicher wird für Zertifikate verwendet, die dem Benutzer eines Computers zugeordnet sind. Dieser Speicher wird normalerweise für Zertifikate verwendet, die von einem der Zertifikate der Zertifizierungsstelle im Speicher vertrauenswürdiger Stammzertifizierungsstellen stammen. Darüber hinaus können in diesem Speicher auch selbst ausgestellte Zertifikate abgelegt werden, die von einer Anwendung als vertrauenswürdig eingestuft werden.
Abbildung 1: Zertifikatsmanager
Um Ihre installierten Zertifikate zu verifizieren (Abbildung 2), sind folgende Schritte vorzunehmen:
1. Öffnen der Management Konsole:
Öffnen Sie ein Befehlsfenster, indem Sie [Start] klicken, in das Textfeld Suche starten klicken, [mmc] eingeben und dann die [EINGABETASTE] drücken.
2. Hinzufügen des Snap-Ins für Zertifikate
Ist das Snap-In für Zertifikate nicht ersichtlich, öffnen Sie dieses via [Datei | Snap-In hinzufügen/löschen] und doppelklicken Sie in der Liste Zertifikate. Folgen Sie den unten gezeigten Einstellungen. Das Vorgehen ist für den Lokalen Computer und den Aktuellen Benutzer durchzuführen.
Abbildung 2: Zertifikate verifizieren
3. Speichern der Konsoleneinstellungen
Die vorgenommenen Einstellungen der Konsole können Sie via [Datei | speichern unter] auf Ihrem lokalen Rechner an einem gewünschten Ort ablegen.
Verifikation von Zertifikaten
Für die Handhabung von Zertifikatien in Zusammenhang mit Topal sind 3 Bereiche des Zertifikatsmanger's relevant. Diese sind [Eigene Zertifikate], [Vertrauenswürdige Stammzertifizierungsstellen] und [Nicht vertrauenswürdige Zertifikate].
-
Eigene Zertifikate
Der Bereich Eigene Zertifikate (Abbildung 3) beinhaltet alle auf diesem Rechner installierten Client Zertifikate. Bezogen auf Topal wird hier das Client Zertifikat des Benutzers installiert.
Abbildung 3: Zertifikatsmanager - Eigene Zertifikate
-
Vertrauenswürdige Stammzertifizierungsstellen
Der Bereich Vertrauenswürdige Stammzertifizierungsstellen (Abbildung 4) beinhaltet alle Zertifikate der Vertrauenswürdige Stammzertifizierungsstellen (Root Zertifikate). Bezogen auf Topal ist hier das Topal Solution CA Zertifikat ersichtlich.
Abbildung 4: Zertifikatsmanager - Vertrauenswürdige Stammzertifizierungsstellen
-
Nicht vertrauenswürdige Zertifikate
Der Bereich Nicht vertrauenswürdige Zertifikate (Zertifikatsperrliste) (Abbildung 5) beinhaltet alle Client Zertifikate die nicht vertrauenswürdig sind. Eine Zertifikatsperrliste (englisch certificate revocation list, CRL) ist eine Liste, die die Ungültigkeit von Zertifikaten beschreibt. Sie ermöglicht es, festzustellen, ob ein Zertifikat gesperrt oder widerrufen wurde und warum. Zertifikate werden gesperrt oder widerrufen, wenn deren zugehörige Schlüssel z. B. nicht mehr sicher sind, weil sie in falsche Hände geraten sind oder „geknackt“ wurden – in solchen Fällen muss das Zertifikat noch vor dem eigentlichen Ablaufdatum gesperrt werden, damit der Schlüssel nicht weiter verwendet wird. Ein anderer Grund für die Sperrung oder den Widerruf eines Zertifikats kann ein falscher Zertifikatsinhalt sein, beispielsweise im Fall einer Namensänderung. Zertifikatssperrlisten sind daher ein wichtiger Teil der Public Key Infrastructure. Eine Sperre (engl. hold) ist temporär und kann aufgehoben werden (z. B. wenn man nicht sicher ist, ob der private Schlüssel verloren/kompromittiert ist, man aber sichergehen will), ein Widerruf (engl. revocation) ist endgültig.
Abbildung 5: Zertifikatsmanager - Nicht vertrauenswürdige Zertifikate
