Sie können eine Zertifikatsvertrauensliste wie beschrieben erstellen und bereitstellen.Hier, aber ich versuche, die Vorteile davon gegenüber der normalen Bereitstellung von Stamm- und Zwischenzertifikaten mit Gruppenrichtlinien zu verstehen. Warum sollte ich das tun wollen/müssen?
Antwort1
Eine Enterprise Certificate Trust List (CTL) bietet Ihnen mehr Detailgenauigkeit und Kontrolle darüber, welche Zertifikatstypen und für welche Zwecke diese Zertifikate als vertrauenswürdig eingestuft werden können. Die einfache Verteilung von Zertifikaten über Gruppenrichtlinien gibt Ihnen nicht viel Kontrolle darüber, wie und unter welchen Umständen diese Zertifikate auf Ihren Clients als vertrauenswürdig eingestuft werden.
Mithilfe einer Zertifikatsvertrauensliste (CTL) können Sie die Vertrauenswürdigkeit hinsichtlich Zweck und Gültigkeitsdauer von Zertifikaten kontrollieren, die von externen Zertifizierungsstellen (CAs) ausgestellt wurden.
Normalerweise kann eine Zertifizierungsstelle Zertifikate für eine Vielzahl von Zwecken ausstellen, z. B. für sichere E-Mails oder Clientauthentifizierung. Es kann jedoch Situationen geben, in denen Sie die Vertrauenswürdigkeit von Zertifikaten einschränken möchten, die von einer bestimmten Zertifizierungsstelle ausgestellt wurden, insbesondere wenn sich die Zertifizierungsstelle außerhalb Ihrer Organisation befindet. In diesen Situationen kann es hilfreich sein, eine CTL zu erstellen und sie über die Gruppenrichtlinie zu verwenden.
Angenommen, eine Zertifizierungsstelle namens „Meine Zertifizierungsstelle“ kann Zertifikate für Serverauthentifizierung, Clientauthentifizierung, Codesignatur und sichere E-Mail ausstellen. Sie möchten jedoch nur Zertifikaten vertrauen, die von „Meine Zertifizierungsstelle“ für die Clientauthentifizierung ausgestellt wurden. Sie können eine CTL erstellen und den Zweck einschränken, für den Sie Zertifikaten vertrauen, die von „Meine Zertifizierungsstelle“ ausgestellt wurden, sodass sie nur für die Clientauthentifizierung gültig sind. Zertifikate, die von „Meine Zertifizierungsstelle“ für einen anderen Zweck ausgestellt wurden, werden von keinem Computer oder Benutzer im Bereich des Gruppenrichtlinienobjekts (Group Policy Object, GPO) akzeptiert, auf das die CTL angewendet wird.
In einer Organisation können mehrere CTLs vorhanden sein. Da die Verwendung und Vertrauensstellung von Zertifikaten für bestimmte Domänen oder Organisationseinheiten unterschiedlich sein kann, können Sie separate CTLs erstellen, um diese Verwendung widerzuspiegeln, und bestimmte CTLs bestimmten GPOs zuweisen.
Durch die Verwendung von Gruppenrichtlinien in Ihrer Organisation haben Sie die Möglichkeit, Vertrauenswürdigkeit in Zertifizierungsstellen festzulegen, indem Sie entweder die Richtlinie für vertrauenswürdige Stammzertifizierungsstellen oder die Unternehmensvertrauensrichtlinie (CTLs) verwenden. Bestimmen Sie anhand der folgenden Richtlinien, welche Richtlinie Sie verwenden möchten: • Wenn Ihre Organisation über eigene Stammzertifizierungsstellen verfügt und Active Directory verwendet, müssen Sie den Gruppenrichtlinienmechanismus nicht verwenden, um diese Stammzertifikate zu verteilen.
• Wenn Ihre Organisation über eigene Stammzertifizierungsstellen verfügt, die nicht auf Servern installiert sind, sollten Sie die Richtlinie für vertrauenswürdige Stammzertifizierungsstellen verwenden, um die Stammzertifikate Ihrer Organisation zu verteilen. Weitere Informationen finden Sie unter Richtlinie für vertrauenswürdige Stammzertifizierungsstellen.
• Wenn Ihre Organisation keine eigenen Zertifizierungsstellen hat, verwenden Sie die Unternehmensvertrauensrichtlinie, um CTLs zu erstellen und so das Vertrauen Ihrer Organisation in externe Stammzertifizierungsstellen herzustellen. Weitere Informationen finden Sie unter Verwenden der Unternehmensvertrauensrichtlinie.