Hitzigrath

Netzwerk-Administrator und Hobby-Fotograf

Benutzer-Werkzeuge

Webseiten-Werkzeuge


Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

pki:certinstmicrosoft [29.03.2020 - 15:38] (aktuell)
Zeile 1: Zeile 1:
 +====== CA Installation in Windows ======
 +
 +In Betriebssystemen von Microsoft gibt es eine System-weite Zertifikats-Verwaltung auf die viele Applikationen wie Browser (neben dem IE auch Chrome und Opera) zugreifen um ein Server-Zertifikat zu verifizieren. Nur der Firefox bringt eine eigene Zertifikats-Verwaltung mit, weswegen dort gesondert [[certinstfirefox|Zertifikate installiert]] werden müssen.
 +
 +Falls man nicht gleich [[certinstie|mit dem IE die Zertifikats-Installation tätigt]] (z.B. weil man nicht mit dem IE arbeitet), so kann man den Vorgang auch lokal tätigen.\\
 +Dazu muss aber zumindest das richtige Zertifikat von der [[http://​hitzigrath.de/​ca/​|CA-Seite]] <wrap lo>(die .cer Datei im DER-Format)</​wrap>​ herunter geladen werden.
 +
 +Für eine Installation reicht es dann im Datei Explorer das Zertifikat kontextsensitiv <wrap lo>(also mit der rechten Maustaste bei Rechtshänder-Mäusen;​ mit der linken Maustaste bei Linkshänder-Mäusen)</​wrap>​ anzuklicken und in dem dadurch geöffneten Menü den Punkt "​Zertifikat installieren"​ auswählt:
 +
 +{{ cert-inst-01.png |Kontextmenü des Zertifikats}}
 +
 +Darauf hin erscheint ein Dialog zum Öffnen der Datei:
 +
 +{{ cert-inst-02.png |Öffnen der Zertifikatsdatei}}
 +
 +Durch das Betätigen der Schaltfläche "​Öffnen"​ wird ein Assistent zum Zertifikatsimport gestartet:
 +
 +{{ cert-inst-03.png |Starten des Zertifikatsimports}}
 +
 +Nach anklicken des Knopfs "​Weiter >" gelangt man zur Auswahl des Zertifikatsspeichers. Hier empfiehlt es sich nicht auf den Automatismus des Assistenten zu vertrauen und sollte manuell den richtigen Speicher auswählen.
 +
 +{{ cert-inst-04.png |Dialog zur Auswahl des Zertifikatsspeichers}}
 +
 +Indem man die Option "Alle Zertifikate in folgenden Speicher speichern"​ auswählt gelangt man durch anklicken des "​Durchsuchen..."​-Buttons in den Dialog zur Auswahl des Zertifikatsspeichers:​
 +
 +{{ cert-inst-05.png |Auswahl des Zertifikatsspeichers}}
 +
 +Hier wählt man den Speicherort für „Vertrauenswürdige Stammzertifizierungsstellen“ und gelangt mit dem „OK“-Knopf wieder zu vorherigen Ansicht:
 +
 +{{ cert-inst-06.png |ausgewählter Zertifikatsspeicher}}
 +
 +Mit betätigen der Schaltfläche „Weiter >“ werden zum Fertigstellen des Assistenten nochmals die ausgewählten Optionen angezeigt:
 +
 +{{ cert-inst-07.png |Fertigstellen des Assistenten}}
 +
 +Nach dem Anklicken des Knopfs „Fertig stellen“ wird dann eine Sicherheitswarnung ausgegeben, bei der auch der Fingerprint des Zertifikats angezeigt wird. <wrap hi>Hier müssen die Fingerprints miteinander verglichen werden!</​wrap>​
 +
 +{{ cert-inst-08.png |Sicherheitswarnung}}
 +
 +__Der Fingerprint des Zertifikats steht auch auf der [[http://​hitzigrath.de/​ca/​|CA-Seite]] und muss mit der Angabe zum Fingerabdruck auf der Sicherheitswarnung übereinstimmen.__
 +
 +<WRAP center round important 90%>
 +**Die Fingerprints müssen auf jeden Fall übereinstimmen!**
 +
 +Falls diese nicht übereinstimmen,​ so scheint ein Angreifer zwischen Ihnen und dem Server zu sitzen und versucht Ihnen ein gefälschtes Zertifikat unter zu schieben.\\
 +<wrap lo>​(sogenannte [[wpde>​Man-in-the-Middle-Angriff|Man-in-the-middle Attacke]])</​wrap>​
 +</​WRAP>​
 +
 +Wenn die Fingerprints überein stimmen und somit das richtige Zertifikat bei Ihnen angekommen ist, wird der Installations-Prozess mit der Schaltfläche "​Ja"​ beendet und mit einer letzten Meldung quittiert:
 +
 +{{ cert-inst-09.png |erfolgreicher Zertifikatsimport}}
 +
 +Bei einem Besuch auf einer Website, die mit einem Zertifikat dieser PKI eingerichtet worden ist, sollte nun keine Meldung bezüglich des Zertifikats angezeigt werden.
 +
 +<WRAP center round info 90%>
 +Falls Sie dennoch auf eine Website gehen, der auf Grund dieses Zertifikats vertraut werden sollte und dort eine Meldung angezeigt wird (z.B. wegen falschem Zertifikat),​ so kann auch hier wieder von einem Angriff wie oben bereits erwähnt ausgegangen werden.
 +</​WRAP>​
 +
 +{{keywords>​root-ca,​hitpki}}
 +{{tag>ca pki zertifikat installation microsoft windows}}
  
pki/certinstmicrosoft.txt · Zuletzt geändert: 29.03.2020 - 15:38 (Externe Bearbeitung)