Installieren von X.509-Verschlüsselungszertifikaten unter Windows

X.509-Verschlüsselungszertifikate bilden das Rückgrat von SSL, einem Verschlüsselungsprotokoll, das für alles verwendet wird, was beim Surfen im Internet verwendet wird …

zum sicheren Senden und Empfangen von E-Mails. Die meisten Produkte mit SSL-Unterstützung in der Windows-Welt verlassen sich auf das System, um X.509-Verschlüsselungszertifikate zu speichern und zu verwalten. In der UNIX-Welt sind Anwendungen für die Verwaltung von X.509-Zertifikaten häufig eigenständig, was die Dinge etwas schwieriger macht.
Für die meisten Benutzer, die SSL-fähige Dienste wie HTTP, SMTP, IMAP, POP usw. verwenden möchten, ist es relativ einfach, einen Client und Server zu finden, die dies unterstützen können. Für viele von uns können die Kosten für die Unterzeichnung eines Zertifikats durch ein Unternehmen wie Verisign (insbesondere wenn eine jährliche Verlängerungsgebühr erforderlich ist) Probleme verursachen, vorausgesetzt, Verisign stellt Ihnen natürlich sogar ein Zertifikat des gewünschten Typs aus (außerhalb) von Standard-HTTP-Zertifikaten sind Sie normalerweise allein). Infolgedessen erstellen viele Unternehmen selbstsignierte Einzelzertifikate – ohne die Einrichtung einer Zertifizierungsstelle -, wenn sie nur ein halbes Dutzend Zertifikate oder weniger benötigen. Dies führt wiederum zu einem neuen Problem: Benutzer werden jedes Mal, wenn sie einen Dienst nutzen, aufgefordert, ein SSL-Zertifikat zu akzeptieren, oder im Fall von Outlook jedes Mal, wenn sie versuchen, E-Mails herunterzuladen! Mit einem von Verisign signierten Zertifikat wäre dies natürlich kein Problem, da das von Verisign verwendete Signaturzertifikat in Windows installiert würde.
Daraus folgt, dass die Lösung darin besteht, Ihre eigenen Zertifikate dauerhaft in Windows zu installieren, um zu verhindern, dass Benutzer ständig aufgefordert werden, Zertifikate zu akzeptieren. Und dies ist der Punkt, an dem die Dinge normalerweise auseinanderfallen, da die meisten Anwendungen wie Outlook Express nicht in der Lage sind, Zertifikate von einem Server zu importieren, sodass Benutzer jedes Mal, wenn sie nach E-Mails suchen, auf “Diesen Server verwenden” klicken können.
Zum Glück ist die Antwort einfach und schnell. Laden Sie mit Internet Explorer die URL für den Dienst. Fügen Sie beispielsweise bei einem SSL-fähigen IMAP-Server, der auf “imap.example.com” ausgeführt wird, die folgende URL in die Adressleiste ein:
https://imap.server.com:993/
Die Benutzer werden mit dem normalen Zertifikatdialog aufgefordert. Wenn sie das Zertifikat installieren möchten, steht es Outlook Express und anderen Anwendungen zur Verfügung, die die Windows-Zertifikatverwaltung verwenden.
Im Folgenden finden Sie eine Liste gängiger SSL-fähiger Dienste und ihrer Portnummern:
SSL IMAP 993
SSL POP 995
SSL HTTP 443
SSL SMTP 465
SSL NNTP 563
SSL LDAP 636
Richten Sie den Internet Explorer auf den Server und den entsprechenden Port. Sie können das Zertifikat problemlos installieren. Um den Benutzern das Leben zu erleichtern, können Sie die Zertifikate auch exportieren, um sie beispielsweise in benutzerdefinierten Builds von Internet Explorer oder auf einer Intranetsite eines Unternehmens zu verteilen.


Über den Autor
Kurt Seifried ist ein Analyst für Informationssicherheit mit Interessen, die von Microsoft- und UNIX-Systemen über Netzwerkprotokolle bis hin zur Verschlüsselung (um nur einige zu nennen) reichen. Er hat eine große Anzahl von Artikeln geschrieben (online verfügbar) und unterhält viele Ressourcen auf seiner Website. Zuvor war er Senior Analyst und Hauptautor bei SecurityPortal. Besuchen Sie seine Website unter http://seifried.org/security/.

Similar Posts

Leave a Reply