Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. PKI

Digitale Zertifikate – Windows-Zertifikatspeicher

Geschrieben vonParnashree Saha 7 Minuten
Active Directory Certificate Services
Inhaltsverzeichnis

Wir stoßen oft auf ein abstraktes Konzept namens „Sicherheit im Internet“ und dann kommt die unvermeidliche Frage: „Warum brauchen wir Sicherheit im Internet?“

Wir verbringen viel Zeit im Internet, sei es in sozialen Medien, bei der persönlichen Kommunikation oder bei Geschäftstransaktionen. Die Internetsicherheit ist wichtig, um sicher über das Internet zu kommunizieren. Durch den Einsatz von Internetsicherheit werden Computer, Dateien/Daten vom Computer, IT-Systeme usw. vor jeglichem Eindringen durch böswillige Benutzer/Systeme über das Internet geschützt.

Was bietet Sicherheit?

  1. Vertraulichkeit: Die Informationen in der Nachricht oder Transaktion werden vertraulich behandelt. Sie können nur vom vorgesehenen Absender und Empfänger gelesen und verstanden werden.
  2. Integrität: Die Informationen in der Nachricht oder Transaktion werden nicht versehentlich oder absichtlich manipuliert.
  3. Authentifizierung/Identifizierung: Die Personen/Organisationen, mit denen wir kommunizieren, sind wirklich die, die sie vorgeben zu sein.
  4. Nichtabstreitbarkeit: Der Absender kann das Senden der Nachricht oder Transaktion nicht leugnen und der Empfänger kann den Empfang nicht leugnen.
  5. Zugangskontrolle: Der Zugriff auf die geschützten Informationen erfolgt ausschließlich durch die dafür vorgesehene Person oder Einrichtung.

Alle oben genannten Sicherheitseigenschaften können erreicht und implementiert werden mit Hilfe von Digitales Zertifikat durch die Verwendung von Public-Key-Infrastruktur (PKI) Mechanismus.

Informationen zu digitalen Zertifikaten

Das digitale Zertifikat ist im Grunde eine digitale Form der Identifizierung, mit der Verbraucher, Unternehmen und Organisationen Daten sicher über das Internet mithilfe der Public-Key-Infrastruktur (PKI) austauschen können. Digitale Zertifikate werden auch als Public-Key-Zertifikat or Identitätsnachweis.

public Key Cryptography Bei der asymmetrischen Kryptografie werden zwei verschiedene kryptografische Schlüsselpaare verwendet: A.) Privater Schlüssel und B.) Öffentlicher Schlüssel. Ein Schlüssel aus dem Schlüsselpaar wird zum Verschlüsseln und der andere zum Entschlüsseln der Daten verwendet und umgekehrt.

Um zu verstehen, was Zertifikate sind, ist es wichtig zu wissen, dass ein digitales Zertifikat die Identität des Inhabers nachweist und seinen öffentlichen Schlüssel verfügbar macht. Digitale Zertifikate werden von vertrauenswürdigen Zertifizierungsstellen (CAs) ausgestellt, die als zuverlässige Anbieter digitaler Zertifikate gelten. Diese Zertifikate werden nur für einen begrenzten Zeitraum ausgestellt; nach Ablauf des Zertifikats wird ein neues Zertifikat ausgestellt. 

Ein digitales Zertifikat allein kann die Identität des Inhabers nur durch die Bereitstellung des öffentlichen Schlüssels bestätigen, der zur Überprüfung der digitalen Signatur des Inhabers erforderlich ist. Daher muss der Inhaber des digitalen Zertifikats den privaten Schlüssel, der zum öffentlichen Schlüssel des digitalen Zertifikats gehört, schützen.

Wie werden digitale Zertifikate überprüft?

  1. Der Aussteller eines digitalen Zertifikats wird als Zertifikats-/Zertifizierungsstelle bezeichnet. Die Überprüfung der Zertifikate dient der Bestätigung der Identität einer Person. Der Validierungsprozess ist eine Möglichkeit, die Identität einer Person zu bestätigen.
  2. Das Zertifikat enthält Informationen zum CA-Namen und zur digitalen Signatur. Diese beiden Felder werden zur Authentifizierung des Zertifikats verwendet. Der CA-Name des Zertifikats muss von einer vertrauenswürdigen Zertifizierungsstelle stammen und die digitale Signatur muss gültig sein.
  3. Nun besteht der Prozess darin, die digitale Signatur des Zertifikats zu validieren. Die Überprüfung einer digitalen Signatur wird gemäß den folgenden Schritten durchgeführt:
    • Berechnen Sie den Hash-Wert: Der erste Schritt besteht darin, den Hash-Wert der Nachricht (oft als Message Digest bezeichnet) durch Anwendung einer kryptografischen
      Hashing-Algorithmus (z. B. MD5, SHA1, SHA2). Der Hashwert der Nachricht ist ein eindeutiger Wert.
    • Berechnen der digitalen Signatur: In diesem Schritt wird der Hashwert der Nachricht oder der Nachrichtenübersicht mit dem privaten Schlüssel des Unterzeichners verschlüsselt, der verschlüsselte Hashwert wird auch als digitale Signatur bezeichnet.
    • Berechnen Sie den aktuellen Nachrichten-Digest: In diesem Schritt wird der Hashwert der signierten Nachricht mit demselben Algorithmus berechnet, der während des Signaturvorgangs verwendet wurde.
    • Berechnung des ursprünglichen Hash-Werts: Nun wird die digitale Signatur mit dem öffentlichen Schlüssel entschlüsselt, der dem privaten Schlüssel des Unterzeichners entspricht. Als Ergebnis erhalten wir den ursprünglichen Hash-Wert, der im ersten Schritt des Signaturprozesses aus der Originalnachricht berechnet wurde.
    • Vergleichen Sie den aktuellen und den ursprünglichen Hashwert: In diesem Schritt vergleichen wir die Hashwerte des aktuellen Nachrichten-Digests und des ursprünglichen Hashwerts. Stimmen die beiden Werte überein, ist die Verifizierung erfolgreich. Dies beweist, dass die Nachricht mit dem privaten Schlüssel signiert wurde, der dem im Verifizierungsprozess verwendeten öffentlichen Schlüssel entspricht. Unterscheiden sich die beiden Werte, ist die digitale Signatur ungültig und die Verifizierung nicht erfolgreich.

Zur Verwaltung von Benutzerzertifikaten können Einzelpersonen und Organisationen Tools zur Lebenszyklusverwaltung von Zertifikaten verwenden. Diese erleichtern die Ausstellung, Erneuerung und Sperrung digitaler Zertifikate. Das Tool kann für die Aufrechterhaltung der Integrität und Sicherheit der digitalen Kommunikation von entscheidender Bedeutung sein. 

Digitales Signieren

Machen Sie sich jetzt Sorgen über eine falsche Identitätsfälschung? – Wenn Sie Ihr digitales Zertifikat mit Ihrem öffentlichen Schlüssel an eine andere Person senden, kann diese das digitale Zertifikat nicht missbrauchen, ohne Zugriff auf Ihren privaten Schlüssel zu haben. Ist der private Schlüssel kompromittiert, können böswillige Benutzer als rechtmäßiger Besitzer des digitalen Zertifikats auftreten.

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Verwendung digitaler Zertifikate in Internetanwendungen

Es gibt zahlreiche Internetanwendungen, die Public-Key-Kryptografiestandards für den Schlüsselaustausch verwenden. Um den gewünschten öffentlichen Schlüssel zu erhalten, müssen digitale Signaturen und digitale Zertifikate verwendet werden.

Nachfolgend finden Sie kurze Beschreibungen einiger häufig verwendeter Internetanwendungen, die Public-Key-Kryptografie verwenden:

  1. SSL (Secure Socket Layer) – Dies ist ein verschlüsselungsbasiertes Internet-Sicherheitsprotokoll. Dieses Protokoll wird verwendet, um die Sicherheit zwischen dem Client und einem Server zu gewährleisten. SSL verwendet digitale Zertifikate, genannt SSL Digital, für Schlüsselaustausch, Verschlüsselung, Server- und Client-Authentifizierung zur sicheren Kommunikation über das Internet. Insgesamt bietet es einen privaten Kommunikationspfad für einen Benutzer und eine vertrauenswürdige Autorität. 
  2. Client-Authentifizierung –Bei der Client-Authentifizierung muss ein Server das digitale Zertifikat eines Clients authentifizieren, bevor er dem Client Zugriff auf bestimmte Ressourcen gewährt. Der Server fordert das digitale Zertifikat des Clients während des SSL-Handshakes an und authentifiziert es. Außerdem kann er feststellen, ob er der Zertifizierungsstelle vertraut, die das digitale Zertifikat an den Client ausgestellt hat.
  3. Sichere E-Mail – Zur Sicherung von E-Mail-Nachrichten werden Standards wie Privacy Enhanced Mail (PEM) oder Secure/Multipurpose Internet Mail Extensions (S/MIME) verwendet. Digitale Zertifikate werden für digitale Signaturen und für den Austausch von Schlüsseln zum Ver- und Entschlüsseln von Nachrichten verwendet.
  4. Virtuelle private Netzwerke (VPNs) – Virtuelle private Netzwerke, auch sichere Tunnel genannt, können zwischen Firewalls/sicheren Gateways eingerichtet werden, um geschützte Verbindungen zwischen sicheren Netzwerken über unsichere Kommunikationsverbindungen zu ermöglichen. Der gesamte Datenverkehr zu diesen Netzwerken wird zwischen den Firewalls/sicheren Gateways verschlüsselt.

Windows-Zertifikatspeicher

Zertifikatspeicher sind eine Kombination aus logischer Gruppierung und physischen Speicherorten. Zertifikatspeicher enthalten Zertifikate verschiedener Zertifizierungsstellen (CAs). Die Windows-Zertifizierungsliste ist eine Sammlung von Zertifikaten, die Teil des Windows-Zertifikatspeichers sind. Dazu gehören Stammzertifikate, Zwischenzertifikate, Endteilnehmerzertifikate, SSL/TLS-Zertifikate, Clientauthentifizierungszertifikate usw. 

Systemzertifikatspeicher haben die folgenden Typen:

  1. Lokaler Zertifikatspeicher: Dieser Zertifikatspeicher ist lokal für den Computer und global für alle Benutzer des Computers. Der Zertifikatspeicher befindet sich in der Registrierung unter HKEY_LOCAL_MACHINE.
  2. Aktueller Benutzerzertifikatspeicher: Dieser Zertifikatspeicher ist lokal für ein Benutzerkonto auf dem Computer. Dieser Zertifikatspeicher befindet sich in der Registrierung unter dem Stamm HKEY_CURRENT_USER.

Beginnen wir mit der Zertifikat-MMC-Konsole, die einfach über certmgr.msc gestartet werden kann.
Dies gibt uns einen Hinweis auf physische Zertifikatsspeicher, wie in Abb. 1 dargestellt.

Wie in Abbildung 1 unten gezeigt, gibt es mehrere Stores: Smartcard-Store, Enterprise-Store, Drittanbieter-Store usw.

Wenn wir zu MMC gehen und das Zertifikat-Snap-In hinzufügen, haben wir einige weitere Auswahlmöglichkeiten für die Konten: Benutzerkonto, Dienstkonto und Computerkonto. Alle in Abb. 1 aufgeführten Speicher haben für jedes Konto ihren entsprechenden Speicherort.

Speicherorte für Microsoft-Zertifikate

Zu den Speicherorten der Microsoft-Zertifikatspeicher gehören:

  1. HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificates – enthält die Informationen zum Computerkonto
  2. HKEY_LOCAL_MACHINESOFTWAREMicrosoftEnterpriseCertificates – enthält Informationen zu den von AD veröffentlichten Zertifikaten
  3. HKEY_Local_MachineSoftwarePoliciesMicrosoftSystemCertificates – enthält Informationen zum Computerkonto, aber für über die Gruppenrichtlinie verteilte Zertifikate für das Computerkonto
  4. Benutzer: HKEY_CURRENT_USERSoftwareMicrosoftSystemCertificates – enthält Registrierungseinstellungen für den aktuellen Benutzer. Dazu können das BLOB (Binary Large Object) und verschiedene Einstellungen für das Zertifikat sowie Einstellungen für die CA-Zertifikate gehören, die die Benutzerzertifikate unterstützen.
  5. HKEY_Current_UserSoftwarePoliciesMicrosoftSystemCertificates – enthält Registrierungseinstellungen für den aktuellen Benutzer, aber für Zertifikate, die über Gruppenrichtlinien verteilt werden.
  6. HKEY_UsersUser SIDSoftwareMicrosoftSystemCertificates – enthält diese Informationen für den entsprechenden Benutzer

Wenn Ihr Unternehmen Verschlüsselungstechnologien in einer Cloud-Umgebung implementieren möchte, wenden Sie sich bitte an info@encryptionconsulting.com und fordern Sie weitere Informationen an.

Entdecken Sie unsere

Verwandte Blogs

Wiederaufbau der kryptografischen Sicherheitsarchitektur (PKI)

Die stille Krise in Ihrer PKI: Wie intelligente Sicherheitsteams ihre kryptografische Lage wiederherstellen, bevor es zu spät ist

May 25, 2026

OCSP für Enterprise-PKI verstehen und optimieren

OCSP für Enterprise-PKI verstehen und optimieren

May 7, 2026

Active Directory-Zertifikatdienste verstehen

Active Directory-Zertifikatdienste-Container verstehen

27. April 2026

Entdecken

Weitere Themen