Es ist ein Update verfügbar, das Administratoren in die Lage versetzt, vertrauenswürdige und nicht zugelassene Zertifikatvertrauenslisten in getrennten Umgebungen in Windows zu aktualisieren.

Gilt für: Windows Vista Service Pack 2Windows Vista BusinessWindows Vista Business 64-bit Edition

Zusammenfassung


Dieses Softwareupdate stellt die folgenden Verbesserungen für Windows bereit:
  • Es versetzt Administratoren in die Lage, Computer, die einer Domäne angehören, so zu konfigurieren, dass die Funktion zum automatischen Aktualisieren sowohl für vertrauenswürdige als auch für nicht zugelassene Zertifikatvertrauenslisten verwendet wird. Die Computer können die automatische Aktualisierungsfunktion verwenden, ohne auf die Windows Update-Website zuzugreifen.
  • Es versetzt Administratoren in die Lage, Computer, die einer Domäne angehören, so zu konfigurieren, dass sie mit der Funktion zum automatischen unabhängig voneinander vertrauenswürdige und nicht zugelassene Zertifikatvertrauenslisten auswählen.

  • Es ermöglicht Administratoren, die Gruppe der Stammzertifizierungsstellen im Microsoft-Programm für Stammzertifikate zu überprüfen.
Weitere Informationen zu diesen Änderungen und Verbesserungen finden Sie auf der folgenden Microsoft-Webseite:

Erforderliche Kenntnisse


Dieser KB-Artikel richtet sich an Administratoren von Public Key-Infrastrukturen (PKI-Administratoren), die über Grundkenntnisse in Gruppenrichtlinien, Fremdanbieterupdates für Stammzertifikate, nicht vertrauenswürdigen Zertifikaten und nicht zugelassenen Listen verfügen. Dieser KB-Artikel richtet sich auch an PKI-Administratoren, die einfache ADM/ADMX-Dateien zum Bereitstellen von Richtlinien mit dem Gruppenrichtlinien-Aktualisierungsprogramm bearbeiten können. Weitere Informationen zur Verwendung von ADMX-Dateien finden Sie unter Managing Group Policy ADMX Files Step-by-Step Guide (Anleitung zur Verwendung von ADMX-Dateien für Gruppenrichtlinien).

Hintergrund


Das Windows-Programm für Stammzertifikate ermöglicht die automatische Verteilung von vertrauenswürdigen Stammzertifikaten in Windows. Informationen zur Mitgliederliste im Windows-Programm für Stammzertifikate finden Sie auf der folgenden Microsoft-Website:
Vertrauenswürdige Stammzertifikate können unter Verwendung der folgenden Methoden verteilt werden:


  • Clients können vertrauenswürdige Stammzertifikate mit der automatischen Aktualisierungsfunktion herunterladen oder aktualisieren. Die Liste der vertrauenswürdigen Stammzertifikate wird auf den Windows Update-Servern in einer Zertifikatvertrauensliste (trusted CTL) gespeichert.
Weitere Informationen zum Verteilen von Stammzertifikaten finden Sie auf der folgenden Microsoft-Website:
Nicht vertrauenswürdige Stammzertifikate (Zertifikate, von denen allgemein bekannt ist, dass sie betrügerisch sind) können unter Verwendung der folgenden Methoden verteilt werden:


  • Clients können nicht vertrauenswürdige Stammzertifikate mit der automatischen Aktualisierungsfunktion herunterladen oder aktualisieren. Die Liste der nicht vertrauenswürdigen Stammzertifikate wird auf den Windows Update-Servern in einer Zertifikatvertrauensliste (untrusted CTL) gespeichert. Weitere Informationen zum automatischen Herunterladen von nicht vertrauenswürdigen Stammzertifikaten finden Sie auf der folgenden Microsoft-Website:
Hinweis Für vertrauenswürdige und nicht vertrauenswürdige Stammzertifikate wird der gleiche automatische Aktualisierungsmechanismus verwendet. Sie können den automatischen Aktualisierungsmechanismus mit derselben Registrierungseinstellung für beide Arten von Zertifikaten deaktivieren. Weitere Informationen finden Sie unter Steuern der Funktion zum Aktualisieren von Stammzertifikaten, um den Informationsfluss in oder aus dem Internet zu unterbinden.

Wenn Sie eine eigene Gruppe von vertrauenswürdigen Stammzertifikaten verwalten, sollten Sie die automatische Aktualisierung der Zertifikatvertrauensliste für vertrauenswürdige Stammzertifikate deaktivieren.

Bekannte Probleme


Vor der Installation dieses Softwareupdates kann eines der folgenden Probleme bei der Verwaltung von Zertifikaten auftreten:
  • Zum Aktualisieren vertrauenswürdiger oder nicht vertrauenswürdiger Stammzertifikate in einer getrennten Umgebung müssen Sie die IEXPRESS-Pakete verwenden, die im Abschnitt "Hintergrund" dieses KB-Artikels beschrieben werden. Sie müssen die IEXPRESS-Pakete jedoch manuell installieren. Obwohl wir versuchen, die Pakete zur gleichen Zeit wie die CTL-Distribution zur Verfügung zu stellen, können bei den IEXPRESS-Paketen Verzögerungen auftreten.

    Hinweis Unter einer getrennten Umgebung wird eine Umgebung verstanden, auf welche die folgenden Bedingungen zutreffen:
    • Der direkte Zugriff auf Windows Update ist blockiert.
    • Der automatische Aktualisierungsmechanismus ist sowohl für vertrauenswürdige als auch für nicht vertrauenswürdige CTLs deaktiviert.
  • Der automatische Aktualisierungsmechanismus kann nicht für vertrauenswürdige und nicht vertrauenswürdige Zertifikatvertrauenslisten getrennt deaktiviert werden. Genauer gesagt, Sie können den automatischen Aktualisierungsmechanismus nur sowohl für vertrauenswürdige als auch für nicht vertrauenswürdige Zertifikatvertrauenslisten gleichzeitig deaktivieren.

    Hinweis Wir empfehlen Administratoren, die eigene Listen von vertrauenswürdigen Stammzertifikaten verwalten, den automatischen Aktualisierungsdienst für vertrauenswürdige CTLs zu deaktivieren. Es wird allerdings nicht empfohlen, den automatischen Aktualisierungsdienst für nicht vertrauenswürdige Zertifikatvertrauenslisten zu deaktivieren.
  • Es ist kein Mechanismus verfügbar, mit dem Benutzer eigene Listen vertrauenswürdiger Stammzertifikate verwalten, Stammzertifikate im Programm für Stammzertifikate anzeigen und entscheiden können, welche Zertifikate vertrauenswürdig sind.

Lösung


Dieses neue Softwareupdate enthält die folgenden Updates, die die Probleme beheben, die im Abschnitt "Problembeschreibung" dieses KB-Artikels beschrieben werden.
  • Dieses Softwareupdate fügt die folgenden Features Windows hinzu, das Ihnen die Verwendung des automatischen Aktualisierungsmechanismus in getrennten Umgebungen ermöglicht.
    1. Eine neue Registrierungseinstellung: Die Registrierungseinstellung ermöglicht es Ihnen, den URL-Speicherort zum Herunterladen vertrauenswürdiger und nicht vertrauenswürdiger Zertifikatvertrauenslisten von Windows Update in einen freigegebenen Speicherort in einer Organisation zu ändern. In dieser Registrierungseinstellung werden sowohl das FILE- als auch das HTTP-Schema unterstützt. Weitere Informationen zu dieser Registrierungseinstellung finden Sie im Abschnitt Registrierungsschlüssel in diesem KB-Artikel.

      Hinweis Wenn Sie den URL-Speicherort in einen lokalen freigegebenen Ordner ändern, müssen Sie den lokalen freigegebenen Ordner mit dem Windows Update-Ordner synchronisieren.
    2. Ein neuer Satz von Optionen im Dienstprogramm "Certutil": Diese Optionen stellen weitere Methoden zum Synchronisieren von Ordnern zur Verfügung. Weitere Informationen zu diesen Optionen finden Sie im Abschnitt Neue Verben in Certutil in diesem KB-Artikel.
  • Dieses Softwareupdatepaket trennt die Kopplung des automatischen Aktualisierungsmechanismus für Zertifikatvertrauenslisten für vertrauenswürdige und nicht vertrauenswürdige Stammzertifikate. Nach der Installation des Updates können Sie einen Registrierungsschlüssel verwenden, um nur den automatischen Aktualisierungsmechanismus für vertrauenswürdige Stammzertifikate zu deaktivieren. Weitere Informationen zu dieser Registrierungseinstellung finden Sie im Abschnitt Registrierungsschlüssel in diesem KB-Artikel.
  • Dieses Softwareupdate stellt ein neues Tool zur Verfügung, mit dem Administratoren den Satz vertrauenswürdiger Stammzertifikate im Windows-Programms für Stammzertifikate anzeigen können. Dieses Tool ist für Administratoren vorgesehen, die den Satz von vertrauenswürdigen Stammzertifikaten für eine Unternehmensumgebung verwalten. Administratoren können mit diesem Tool den Satz vertrauenswürdiger Stammzertifikate auswählen, ihn in einen serialisierten Zertifikatspeicher exportieren und mithilfe von Gruppenrichtlinien verteilen. Weitere Informationen finden Sie im Abschnitt Neue Verben in Certutil in diesem KB-Artikel.

Informationen zum Update

Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:


Für alle unterstützten x86-basierten Versionen von Windows Vista

Download Paket jetzt herunterladen

Für alle unterstützten x64-basierten Versionen von Windows Vista

Download Paket jetzt herunterladen

Für alle unterstützten x86-basierten Versionen von Windows Server 2008

Download Paket jetzt herunterladen

Alle unterstützten x64-basierten Versionen von Windows Server 2008

Download Paket jetzt herunterladen

Alle unterstützten IA-64-basierten Versionen von Windows Server 2008

Download Paket jetzt herunterladen

Alle unterstützten x86-basierten Versionen von Windows 7

Download Paket jetzt herunterladen

Alle unterstützten x64-Versionen von Windows 7

Download Paket jetzt herunterladen

Für alle unterstützten x86-basierten Versionen von Windows Embedded Standard 7

Download Paket jetzt herunterladen

Alle unterstützten x64-basierten Versionen von Windows Embedded Standard 7 für x64-basierte Systeme

Download Paket jetzt herunterladen

Alle unterstützten x64-basierten Versionen von Windows Server 2008 R2

Download Paket jetzt herunterladen

Alle unterstützten IA-64-basierten Versionen von Windows Server 2008 R2

Download Paket jetzt herunterladen

Alle unterstützten x86-basierten Versionen von Windows 8

Download Paket jetzt herunterladen

Alle unterstützten x64-Versionen von Windows 8

Download Paket jetzt herunterladen

Alle unterstützten Versionen von Windows Server 2012

Download Paket jetzt herunterladen
Veröffentlichungsdatum: 11. Juni 2011

Weitere Informationen zum Herunterladen von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Dazu wurde die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit. Auf diese Weise werden nicht autorisierte Änderungen an der Datei weitestgehend verhindert.

Neustart

Sie müssen den Computer nach der Installation dieses Hotfixes neu starten.

Ersetzte Hotfixes

Dieser Hotfix ersetzt den Hotfix 2661254.



Dateiinformationen

Die globale Version dieses Hotfixes installiert Dateien mit den in den folgenden Tabellen aufgelisteten Attributen. Datums- und Uhrzeitangaben für diese Dateien sind in der "Universal Time Coordinated" (UTC) angegeben. Die Datums- und Uhrzeitangaben für diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit und unter Berücksichtigung der Sommerzeit angegeben. Außerdem können sich die Datums- und Uhrzeitangaben ändern, wenn Sie bestimmte Operationen mit den Dateien ausführen.

Technische Referenzen für die Änderungen


Neue Verben in Certutil

SyncWithWU
Dieses Verb dient zum Synchronisieren eines Zielverzeichnisses mit der Windows Update-Website. Verwenden Sie für dieses Verb folgende Syntax:
CertUtil [Options] -syncWithWU  DestinationDir 

Hinweis DestinationDir ist der Ordner, in den die Dateien kopiert werden. Wenn Sie den Befehl ausführen, werden die folgenden Dateien von Windows Update heruntergeladen:
  • Authrootstl.cab: Enthält die Zertifikatvertrauensliste mit Stammzertifikaten von Drittanbietern.
  • Disallowedcertstl.cab: Enthält die Zertifikatvertrauensliste mit unzulässigen Zertifikaten.
  • Disallowedcert.sst: Enthält die unzulässigen Zertifikate.
  • Thumbprint.crt: Stammzertifikate von Drittanbietern.
Beispielsweise können Sie mit folgendem Befehl ein Zielverzeichnis mit der Windows Update-Website synchronisieren:
CertUtil -syncWithWU \\computername\sharename\DestinationDir 
GenerateSSTFromWU
Dieses Verb dient zum Erstellen von SST-Dateien von der Windows Update-Website. Verwenden Sie für dieses Verb folgende Syntax:
CertUtil [Options] -generateSSTFromWU SSTFile 
Hinweis SSTFile ist der Name der SST-Datei, die erstellt wird. Die generierten SST-Datei enthält die Stammzertifikate von Drittanbietern, die von Windows Update heruntergeladen werden.

Beispielsweise können Sie mit folgendem Befehl SST-Dateien von der Windows Update-Website erstellen:
CertUtil –generateSSTFromWU Rootstore.sst 

Registrierungsschlüssel

Die folgenden Registrierungsschlüssel werden mit diesem Update eingeführt:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate Legen Sie diesen Registrierungsschlüssel auf 1 fest, um die automatische Aktualisierung für Zertifikatvertrauenslisten vertrauenswürdige Stammzertifikate zu deaktivieren.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateLegen Sie diesen Registrierungsschlüssel auf 1 fest, um die automatische Aktualisierung für Zertifikatvertrauenslisten für unzulässige Stammzertifikate zu aktivieren.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlDieser Registrierungsschlüssel konfiguriert Freigabepfade für den Abruf von Zertifikatvertrauenslisten.