(0) exportieren Drucken
Alle erweitern

Verbesserungen bei der zertifikatbasierten Authentifizierung

Letzte Aktualisierung: September 2012

Betrifft: Windows 8



In Windows 8 gibt es mehrere Verbesserungen bei der Verwaltung von für die Authentifizierung verwendeten Zertifikaten und der Auswahl von Zertifikaten beim Authentifizierungsprozess durch Windows.

In Windows 7 und früheren Betriebssystemen stellt die Verwendung von Zertifikaten zur Benutzer‑ oder Computerauthentifizierung für Drahtlos- und virtuelle private Netzwerkverbindungen (VPN) eine komplexe und nicht-intuitive Erfahrung aufgrund folgender Probleme dar:

  • Manuelle Zertifikatauswahl ist häufig erforderlich. In vielen Fällen musste ein Zertifikat manuell ausgewählt werden. Häufig ist es unklar, welches Zertifikat auszuwählen ist, wodurch nur nach dem Trial-and-Error-Prinzip die richtige Wahl getroffen werden kann.

  • Windows kann Schwierigkeiten beim Filtern von Zertifikatlisten aufweisen. Windows verwendet allgemeine Regeln, um einige Zertifikate auszusortieren, es werden beispielsweise abgelaufene oder gesperrte Zertifikate ignoriert. Wenn mehrere Zertifikate denselben Antragsteller- und Ausstellernamen haben, führt Windows unterschiedliche Aktionen aus, je nachdem ob das Zertifikat ein Benutzer- oder Computerzertifikat ist. Bei Benutzerzertifikaten fordert Windows den Benutzer zur manuellen Auswahl des zu verwendenden Zertifikats. Bei Computerzertifikaten wird das Zertifikat mit der höchsten Gewichtung ausgewählt. Wenn das ausgewählte Zertifikat nicht das richtige Zertifikat für die Verbindung ist, schlägt die Authentifizierung fehl. Diese Filtermechanismen sind sehr rudimentär und ein Benutzereingriff ist in den meisten Fällen erforderlich.

  • Probleme bei Auswahl von Zertifikaten auf Smartcards. Bei mehreren Zertifikaten auf einer Smartcard zählt Windows die Zertifikate auf und wählt dann immer das letzte Zertifikat aus der Liste aus. In vielen Fällen handelt es sich dabei nicht um das richtige Zertifikat für den Authentifizierungsversuch. Dies ist problematisch, wenn dieselbe Smartcard für mehrere Zwecke verwendet wird und jeweils ein Zertifikat für jeden Fall enthält. Es gibt keine Problemumgehung für die Auswahl des richtigen Zertifikats.

  • Registrierungszertifikate können nicht für die zweistufige Authentifizierung verwendet werden. Obwohl sie ideal für eine zweistufige Authentifizierung geeignet sind, können Registrierungszertifikate, die hohen Schutz für private Schlüssel bieten und die bestgeeigneten Zertifikate für die zweistufige Authentifizierung sind, nicht verwendet werden. Der Grund hierfür ist, dass Windows Registrierungszertifikate nicht unterstützt und sie komplett ignoriert. Folglich müssen Organisationen anstelle von Registrierungszertifikaten komplexe und teure Smartcard-Lösungen bereitstellen und verwalten.

In Windows Server 2012 und Windows 8 kann Windows durch die Zertifikatfilterung das richtige Zertifikat für die zertifikatbasierte Authentifizierung beim Netzwerkverbindungsprozess auswählen.

Die Zertifikatfilterung ermöglicht die Konfiguration von Regeln beim Erstellen von Drahtlos- oder VPN-Profilen unter Windows Server 2012. Wenn ein Drahtlos- oder VPN-Profil auf einen Computer unter Windows 8 angewendet wird, wird durch diese Regeln die Anzahl von Zertifikaten, die Windows 8 beim Authentifizierungsprozess auswählen kann, eingeschränkt.

Sie können die Zertifikatfilterung in Windows Server 2012 so konfigurieren, dass Computer unter Windows 8 bei der Zertifikatauswahl für ein Authentifizierungsversuch nur das von Ihnen gewünschte Zertifikat berücksichtigen und alle anderen Zertifikate automatisch ignorieren. Durch diese Zertifikatfilterung können Clientcomputer eine höhere Anzahl von erfolgreichen Authentifizierungsversuchen erreichen, da Windows 8 das richtige Zertifikat für den Versuch auswählt.

Kriterien, die Sie für die Zertifikatfilterung auswählen, können für Registrierungs-, Smartcard- und Clientcomputerzertifikate gelten.

Beim Konfigurieren eines Drahtlos- oder VPN-Profils in Windows Server 2012 können Sie folgende neue Filter verwenden:

  • Zertifikataussteller. Beim Konfigurieren des Filters für Zertifikataussteller können Sie angeben, dass Computer unter Windows 8 ein von der angegebenen Zertifizierungsstelle ausgestelltes Zertifikat auswählen müssen. Wenn Sie diesen Filter konfigurieren, zählt der Filter den Stamm und die Zwischenstammzertifizierungsstellen für alle Zertifikate im Zertifikatspeicher des lokalen Computers auf und ermöglicht Ihnen die Auswahl der richtigen Zertifizierungsstelle.

  • Erweiterte Schlüsselverwendung (Extended Key Usage, EKU). Der EKU-Filter ermöglicht die Auswahl von EKUs, die im Zertifikat vorhanden sein müssen. Beim Konfigurieren des EKU-Filters können Sie angeben, dass Computer unter Windows 8 alle EKU-Eigenschaften für alle Zertifikate im Zertifikatspeicher des lokalen Computers aufzählen müssen. Sie können ebenfalls eine benutzerdefinierte EKU zur Filterregel hinzufügen, indem Sie die Objektkennung (OID) der EKU angeben.

noteHinweis
Erweiterungen für die erweiterte Schlüsselverwendung (im Englischen auch Enhanced Key Usage genannt) werden mit EKU abgekürzt.

In der folgenden Abbildung wird das Dialogfeld Zertifikatauswahl konfigurieren dargestellt, wo sie die Zertifikatfilterung anwenden können.

Dialogfeld „Zertifikatauswahl konfigurieren“

 

Wenn ein Drahtlosprofil, bei dem diese Regeln konfiguriert sind, auf einen Computer unter Windows 8 angewendet wird und der Client versucht, eine Netzwerkverbindung herzustellen, wendet Windows die Filterregeln an und wählt die diesen Regeln entsprechenden Zertifikate aus. Wenn mehrere passende Zertifikate gefunden werden, zeigt Windows ein Dialogfeld mit der Zertifikatliste an, so dass Sie ein Zertifikat auswählen können. Dieses Dialogfeld wird für Registrierungs-, Smartcard- und Clientcomputerzertifikate angezeigt.

Wenn ein Smartcardzertifikat für PLAP (Pre-Logon-Access Provider)-Szenarien verwendet wird, wird die Gewichtung des Zertifikats auch für die Filterung verwendet. Die Gewichtung eines Zertifikats wird durch den Zertifikatsperrlisten-Verteilungspunkt (CDP) und durch die Eigenschaften des Zugriffs auf Zertifizierungsstelleninfos (AIA) bestimmt. AIA hat die Gewichtung 2 und CDP die Gewichtung 1. Wenn beide Eigenschaften vorhanden sind, addiert Windows die beiden Werte, um die Gewichtung des Zertifikats zu bestimmen. Nach diesem Prozess wählt Windows das Zertifikat mit dem höchsten Gewichtungswert aus und verwendet es.

Windows 8 erkennt durch private Schlüssel geschützte Registrierungszertifikate im Zertifikatspeicher des aktuellen Benutzers auf dem lokalen Computer. Diese Zertifikate können für die zweistufige Authentifizierung verwendet werden. Windows sucht in keinem anderen Zertifikatspeicher nach Zertifikaten, die durch private Schlüssel geschützt sind.

Unter Windows Server 2012 erstellte Drahtlos- und VPN-Profile mit Zertifikatfiltern können auf Computern unter einem früheren Betriebssystem als Windows 8, wie z. B. Windows 7 und Windows Vista, angewendet werden. Die Filter können nicht von diesen früheren Betriebssystemen ausgewertet werden und nur die veraltete rudimentäre Filterung wird beim Authentifizierungsprozess angewendet.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft