Installation von CAs und Client-Zertifikaten in Windows

Die folgenden Schritte beziehen sich auf Windows 7 (Deutsch) und sollten von Windows XP bis Windows 8 bzw. Windows Server bis zumindest 2008R2 gleichermassen gelten.

Anmerkung: In zentral verwalteten Installationen (ADS mit Gruppenrichtlinien, Terminal-Server, u.ä. gibt es auch andere Möglichkeiten Zertifikate zu verteilen, aber wer eine solche Installation betreut weiß ohnehin besser bescheid als wir. Diese Anleitung bezieht sich auf "lokale" Installation der Zertifikate.

Unter Windows werden Zertifikate zentral in den "Internetoptionen" verwaltet.

Zumindest Internet Explorer und Google Chrome bedienen sich dieses Zertifikats-Speichers, Firefox leider nicht.

Vorbereitung: CAs herunterladen

Z.B. Projektname_RootCA.pem, Projektname_SubCA.pem.

Ablegen z.B. unter Downloads/CAs oder Schreibtisch/CAs oder Eigene Dateien/CAs, oder sonstwo nach Geschmack.

Internet-Optionen starten

Weg 1: Im Internet-Explorer Einstellungsmenü (das Zahnrad ganz rechts in der Reiter-Zeile.

Weg 2: Start / Systemsteuerung / Netzwerk und Internet / Internetoptionen

In Fenster "Internetoptionen" ist der Reiter "Inhalte" zu aktivieren.

Hier kommt man über "Zertfiikate" bzw. "Herausgeber" in den Dialog "Zertifikate", wobei je nach verwendetem Button verschiedene Reiter in diesem Dialog vorausgewählt werden.

Alle weiteren Kapitel gehen von der jetzt hergestellten Situation aus, also im Dialog "Zertifikate", aber ...
ACHTUNG: Es ist wichtig welcher Karteireiter ausgewählt ist wenn man auf "Importieren ..." klickt.

Root-CA importieren (unbedingt die Root-CA einzeln!)

Im "Zertifikate"-Dialog den Karteireiter "Vertrauenswürdige Stammzertifizierungsstellen" auswählen.

"Importieren ...", der Zertifikatimport-Assistent geht auf.

Im Zertifikatimport-Assistent "weiter", "Durchsuchen", ggfs. unten rechts "Alle Dateien (*.*)"

Root-CA (z.B. Projekt_RootCA.pem) Doppelklicken.

Zurück im Zertifikatimport-Assistent wieder "Weiter".

Zertifikatsspeicher "Vertrauenswürdige Stammzertifizierungsstellen" ausgewählt lassen,

"Weiter".

"Fertig stellen".

Rückfrage "Sicherheitswarnung", "[...] Möchten Sie dieses Zertifikat installieren?" mit "Ja" bestätigen.

Erfolgsmeldung "OK".

ACHTUNG: Insbesondere falls die "Internetoptionen" nicht aus dem jeweiligen Browser gestartet wurden kann es sein dass der Browser ganz beendet und neu gestartet werden muss damit ein mit dieser Root-CA signiertes Zwischen- oder Server-Zertifikat anerkannt wird.

Etwaige Sub-CA(s) importieren

Im "Zertifikate"-Dialog den Karteireiter "Zwischenzertifizierungsstellen" auswählen.

"Importieren ...", der Zertifikatimport-Assistent geht auf.

Im Zertifikatimport-Assistent "weiter", "Durchsuchen", ggfs. unten rechts "Alle Dateien (*.*)"

Sub-CA (z.B. Projekt_SubCA.pem) Doppelklicken.

Zurück im Zertifikatimport-Assistent wieder "Weiter".

Zertifikatsspeicher "Zwischenzertifizierungsstellen" ausgewählt lassen,

"Weiter".

"Fertig stellen".

Erfolgsmeldung "OK".

Evtl. "Erweitert" und "Zertifikatszweck" "Client-Authentifizierung" anhaken.

ACHTUNG: Insbesondere falls die "Internetoptionen" nicht aus dem jeweiligen Browser gestartet wurden kann es sein dass der Browser ganz beendet und neu gestartet werden muss damit ein mit dieser Sub-CA signiertes Server-Zertifikat anerkannt wird.

Client-Zertifikat importieren

Im "Zertifikate"-Dialog den Karteireiter "Eigene Zertifikate" auswählen (ganz linker Reiter), oder in den "Internetopionen" den Button "Zertifikate" klicken.

"Importieren ...".

Im Zertifikatimport-Assistent "weiter", "Durchsuchen", ggfs. unten rechts "Privater Informationsaustausch (*.pfx, *.p12)" oder "Alle Dateien (*.*)" auswählen.

Zertifikat (z.B. mycert.cert, mycert.pem, ...) oder Zertifikatspaket (z.B. mycert.p12) doppelklicken.

Zurück im Zertifikatimport-Assistent wieder "Weiter".

Ggfs. Kennwort des Zertifikatspakets eingeben.

Nach Geschmack evtl. "Schlüssel als exportierbar markieren" anhaken. Sicherer ist wohl das nicht anzuhaken.

Zertifikatsspeicher "Eigene Zertifikate" ausgewählt lassen, "Weiter".

"Fertig stellen".

Erfolgsmeldung "OK",

"Schliessen", Internet-Optionen schliessen.

ACHTUNG: Insbesondere falls die "Internetoptionen" nicht aus dem jeweiligen Browser gestartet wurden kann es sein dass der Browser ganz beendet und neu gestartet werden muss damit das Server-Zertifikat anerkannt wird.

Verwendung eines Client-Zertifikats

Wenn man sich das erste Mal (z.B. via Browser oder Mail-Programm) mit dem Client-Zertifikat-geschützten Dienst verbindet frägt das Progamm danach welches Client-Zertifikat zur Identifizerung benutzt werden soll.

Dabei muss natürlich das passende ausgewählt werden ;-)