CA Installation in Windows

In Betriebssystemen von Microsoft gibt es eine System-weite Zertifikats-Verwaltung auf die viele Applikationen wie Browser (neben dem IE auch Chrome und Opera) zugreifen um ein Server-Zertifikat zu verifizieren. Nur der Firefox bringt eine eigene Zertifikats-Verwaltung mit, weswegen dort gesondert Zertifikate installiert werden müssen.

Falls man nicht gleich mit dem IE die Zertifikats-Installation tätigt (z.B. weil man nicht mit dem IE arbeitet), so kann man den Vorgang auch lokal tätigen.
Dazu muss aber zumindest das richtige Zertifikat von der CA-Seite (die .cer Datei im DER-Format) herunter geladen werden.

Für eine Installation reicht es dann im Datei Explorer das Zertifikat kontextsensitiv (also mit der rechten Maustaste bei Rechtshänder-Mäusen; mit der linken Maustaste bei Linkshänder-Mäusen) anzuklicken und in dem dadurch geöffneten Menü den Punkt „Zertifikat installieren“ auswählt:

Kontextmenü des Zertifikats

Darauf hin erscheint ein Dialog zum Öffnen der Datei:

Öffnen der Zertifikatsdatei

Durch das Betätigen der Schaltfläche „Öffnen“ wird ein Assistent zum Zertifikatsimport gestartet:

Starten des Zertifikatsimports

Nach anklicken des Knopfs „Weiter >“ gelangt man zur Auswahl des Zertifikatsspeichers. Hier empfiehlt es sich nicht auf den Automatismus des Assistenten zu vertrauen und sollte manuell den richtigen Speicher auswählen.

Dialog zur Auswahl des Zertifikatsspeichers

Indem man die Option „Alle Zertifikate in folgenden Speicher speichern“ auswählt gelangt man durch anklicken des „Durchsuchen…“-Buttons in den Dialog zur Auswahl des Zertifikatsspeichers:

Auswahl des Zertifikatsspeichers

Hier wählt man den Speicherort für „Vertrauenswürdige Stammzertifizierungsstellen“ und gelangt mit dem „OK“-Knopf wieder zu vorherigen Ansicht:

ausgewählter Zertifikatsspeicher

Mit betätigen der Schaltfläche „Weiter >“ werden zum Fertigstellen des Assistenten nochmals die ausgewählten Optionen angezeigt:

Fertigstellen des Assistenten

Nach dem Anklicken des Knopfs „Fertig stellen“ wird dann eine Sicherheitswarnung ausgegeben, bei der auch der Fingerprint des Zertifikats angezeigt wird. Hier müssen die Fingerprints miteinander verglichen werden!

Sicherheitswarnung

Der Fingerprint des Zertifikats steht auch auf der CA-Seite und muss mit der Angabe zum Fingerabdruck auf der Sicherheitswarnung übereinstimmen.

Die Fingerprints müssen auf jeden Fall übereinstimmen!

Falls diese nicht übereinstimmen, so scheint ein Angreifer zwischen Ihnen und dem Server zu sitzen und versucht Ihnen ein gefälschtes Zertifikat unter zu schieben.
(sogenannte Man-in-the-middle Attacke)

Wenn die Fingerprints überein stimmen und somit das richtige Zertifikat bei Ihnen angekommen ist, wird der Installations-Prozess mit der Schaltfläche „Ja“ beendet und mit einer letzten Meldung quittiert:

erfolgreicher Zertifikatsimport

Bei einem Besuch auf einer Website, die mit einem Zertifikat dieser PKI eingerichtet worden ist, sollte nun keine Meldung bezüglich des Zertifikats angezeigt werden.

Falls Sie dennoch auf eine Website gehen, der auf Grund dieses Zertifikats vertraut werden sollte und dort eine Meldung angezeigt wird (z.B. wegen falschem Zertifikat), so kann auch hier wieder von einem Angriff wie oben bereits erwähnt ausgegangen werden.