Entfernen des US-Zertifikats für gemeinsame Richtlinienzertifizierungsstelle aus dem vertrauenswürdigen Microsoft-Stamm

In diesem Artikel wird das Entfernen des Us-Amerikanischen Common Policy CA-Stammzertifikats im Microsoft-Stammzertifikat vom 24. Mai 2022 erläutert. Dieser Artikel enthält auch Lösungen, um Probleme zu vermeiden oder zu beheben, die auftreten, wenn Unternehmen bis zum 24. Mai 2 bis zum 24. Mai 2022 nicht auf das Stammzertifikat der Federal Common Policy CA G2 umgestellt sind.

Notiz

Das Stammzertifikat, das vom Microsoft-Stammzertifikatupdate entfernt wird, heißt "Federal Common Policy CA" und wird häufig als "G1"-Stammzertifikat bezeichnet, obwohl "G1" nicht im Zertifikatnamen angezeigt wird.

Das Stammzertifikat, das das Stammzertifikat "G1" ersetzt, heißt "Federal Common Policy CA G2" und wird häufig als "G2"-Stammzertifikat bezeichnet.

Gilt für: Alle Versionen von Windows

Einführung

Das USA Federal PKI (FPKI)-Team, das die US-Amerikanische Gemeinsame Richtlinien-Zertifizierungsstelle regelt, forderten formal die Entfernung des unten aufgeführten "G1"-Stammzertifikats aus dem Microsoft Trusted Root Program ab.

Zertifikatsname	SHA1-Fingerabdruck
Federal Common Policy CA	905F942FD9F28F679B378180FD4F846347F645C1

Anwendungen und Vorgänge, die vom "G1"-Stammzertifikat abhängig sind, schlagen nach Erhalt der Stammzertifikataktualisierung nur einen bis sieben Tage fehl. Administratoren sollten von dem vorhandenen "G1"-Stammzertifikat zum ersatzbasierten "G2"-Stammzertifikat migrieren, das unten als Federal Trust Anchor Ihrer Agentur aufgeführt ist.

Zertifikatsname	SHA1-Fingerabdruck
Gemeinsame Politik CA G2	99B4251E2EEE05D8292E8397A90165293D116028

Notiz

Das Stammzertifikat "G2" kann direkt aus dem Dateidownload des Stammzertifikats "G2" heruntergeladen werden.

Mögliche Probleme

Nachdem das Stammzertifikat "G1" entfernt wurde, können Benutzer in Umgebungen, die nicht in das Stammzertifikat "G2" umgestellt wurden, Probleme auftreten, die sich auf die folgenden Szenarien auswirken:

• TLS- oder SSL-Verbindungen.
• Sichere oder mehrzweckige Internet-Mail-Erweiterungen (S/MIME) oder sichere E-Mails.
• Signierte Dokumente in Microsoft Word. (PDF- und Adobe Acrobat-Dateien sind nicht betroffen.)
• Clientauthentifizierung, einschließlich der Einrichtung von VPN-Verbindungen.
• Smartcard- oder PIV-authentifizierter Zugriff, einschließlich Signalzugriff, der vollständig auf Windows-Software basiert.

Die folgenden Fehlermeldungen werden möglicherweise in Popupfenstern und Dialogfeldern angezeigt:

• Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig.

• Das von dieser Website vorgelegte Sicherheitszertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.

• Eine Zertifikatkette wurde verarbeitet, aber in einem STAMMzertifikat beendet, das vom Vertrauensanbieter nicht vertrauenswürdig ist.

• Fehler beim Verketten von Zertifikaten.

• Die Zertifikatkette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt.

• Das Zertifikat oder die zugeordnete Kette ist ungültig.

Schritte zur Vermeidung dieser Probleme

1. Überprüfen Sie die Änderungen im Abschnitt "Konfiguration testen" , um zu testen, was mit der Entfernung von "G1" aus der CTL vor dem Veröffentlichungsdatum des Updates auftritt.
2. Nachdem Sie den Abschnitt zum Einrichten der Testkonfiguration verwendet haben, um zu überprüfen, ob alle relevanten Szenarien funktionieren, führen Sie die Schritte im Abschnitt "Produktionskonfigurationseinrichtung" in Ihrer Produktionskonfiguration aus.

Notiz

Anwendungs-as-Service-Szenarien wie Azure SQL oder Azure-App Service, die mit dem "G1"-Stammzertifikat verkettet sind, schlagen fehl, nachdem das "G1"-Stammzertifikat entfernt wurde.

Testkonfigurationssetup

Vor der Veröffentlichung des Updates können Administratoren die folgenden Schritte ausführen, um die Windows-Registrierung direkt auf einen Vorabversions- oder mehrstufigen Speicherort des neuesten Zertifikatupdates zu konfigurieren. Sie können die Einstellungen auch mithilfe von Gruppenrichtlinien konfigurieren. Informationen zum Konfigurieren einer benutzerdefinierten administrativen Vorlage für ein Gruppenrichtlinienobjekt finden Sie unter

Notiz

Die Vorschau der Mai-Version, die das Entfernen des G1-Stammzertifikats enthält, wird am 11. Mai 2022 bereitgestellt.

1. Öffnen Sie regedit, und navigieren Sie dann zum folgenden Registrierungsunterschlüssel:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

2. Fügen Sie die folgenden Registrierungswerte hinzu oder ändern Sie sie:

   • Legen Sie RootDirUrl auf http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.
   • Set SyncFromDirUrl to http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.

3. Löschen Sie die folgenden Registrierungswerte:

   • EncodedCtl
   • LastSyncTime

4. Löschen Sie den HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates Unterschlüssel. In diesem Schritt werden alle gespeicherten Stammzertifikate gelöscht.

   Notiz

   Indem Sie alle gespeicherten Stammzertifikate HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificateslöschen, können Sie sicherstellen, dass alle gespeicherten Stammzertifikate entfernt werden. Dieser Vorgang zwingt Windows, neue Stammzertifikate herunterzuladen, wenn zugeordnete PKI-Ketten (Public Key Infrastructure) verwendet werden, die neue Eigenschaften aufweisen (sofern geändert). Da das Stammzertifikat "G1" entfernt wird, wird dieses Stammzertifikat nicht heruntergeladen.

5. Überprüfen Sie alle Szenarien, die mit dem Stammzertifikat "G1" verkettet sind, einschließlich der Szenarien, die in potenziellen Problemen aufgeführt sind.

Notiz

Der Link zur Testwebsite ändert sich nie. Die Änderungen, die auf der Testwebsite bereitgestellt werden, ändern sich jedoch von Monat zu Monat.

Einrichtung der Produktionskonfiguration

Die folgenden Schritte konfigurieren die Windows-Registrierung direkt für die Verwendung der Produktionsversion der CTL, wenn die Test-URL aus dem vorherigen Abschnitt verwendet wird:

1. Öffnen Sie regedit, und navigieren Sie dann zum folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

2. Fügen Sie die folgenden Registrierungswerte hinzu oder ändern Sie sie:

   • Legen Sie RootDirUrl auf http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.
   • Set SyncFromDirUrl to http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.

3. Löschen Sie die folgenden Registrierungswerte:

   • EncodedCtl
   • LastSyncTime

4. Löschen Sie den HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates Registrierungsunterschlüssel. In diesem Schritt werden alle gespeicherten Stammzertifikate gelöscht.

Konfigurieren des G2-Stammzertifikats

Administratoren sollten das "G2"-Stammzertifikat gemäß den folgenden Anweisungen konfigurieren, bevor das Stammzertifikat "G1" durch die OOB-Stammzertifikataktualisierung entfernt wird.

1. Befolgen Sie die Anweisungen unter "Abrufen und Überprüfen des FCPCA-Stammzertifikats", um das "G2"-Stammzertifikat auf allen Windows-Arbeitsgruppen-, Mitglieds- und Domänencontrollercomputern herunterzuladen und zu installieren.
2. Es gibt mehrere Möglichkeiten, den Stammspeicher auf Unternehmensgeräten bereitzustellen. Weitere Informationen finden Sie im Abschnitt "Microsoft-Lösungen" unter "Verteilen an Betriebssysteme".

Notiz

In Unternehmen, die über zertifizierungsübergreifende Abhängigkeiten für Smartcardanmeldungen oder andere Szenarien auf Windows-Geräten verfügen, aber keinen Internetzugang haben, lesen Sie die Abschnitte "Muss ich die Zertifikate der Zwischenzertifizierungsstelle verteilen?" und "Zertifikate, die von der Federal Common Policy CA G2 ausgestellt wurden" der Abschnitte "Verteilen von Zwischenzertifikaten".

Viele Bundesunternehmen müssen entweder über die Zertifikate der US-Finanzzertifizierungsstelle oder über die Zertifikate der Entrust Managed Services CA verfügen. Beide Zertifizierungsstellenzertifikate sind im Artikel "Verteilen der Zertifizierungsstellenzertifikate" wie folgt dokumentiert:

Wichtig: Um sicherzustellen, dass PIV-Anmeldeinformationszertifikate, die vor dem 13. August 2019 vom 13. August 2 ausgestellt wurden, an die Federal Common Policy CA G2 überprüft werden, müssen Sie ein zusätzliches Zertifizierungsstellenzertifikat an Systeme verteilen, die keine dynamische Pfadüberprüfung durchführen können. Weitere Informationen finden Sie auf unserer Seite "Häufig gestellte Fragen".

Manuelle Schritte zum Abrufen der CTL

Führen Sie für getrennte Umgebungen, in denen Windows-Geräte nicht auf Windows Update oder das Internet zugreifen dürfen, die folgenden Schritte aus, um die CTL manuell abzurufen:

1. Laden Sie die CTL herunter:
   1. Führen Sie certutil -generateSSTFromWU c:\roots\trustedcerts.sst aus.
   2. Wenn Sie die Datei trustedcerts.sst auswählen, sollte dies das Zertifikat-Manager-Snap-In öffnen, um die vollständige CTL anzuzeigen.
2. Zertifikat nicht zulässige Liste herunterladen:
   1. Führen Sie certutil -syncwithwu c:\roots aus.
   2. Führen Sie certutil -verifyctl -v c:\roots\disallowedstl.cab c:\roots\disallowedcert.sst aus.
   3. Wenn Sie "disallowedcert.sst" auswählen, sollte das Zertifikat-Manager-Snap-In geöffnet werden, um alle Wurzeln in der Liste "Unzulässig" anzuzeigen.
3. Um Einstellungen auszuwerten, die nicht in der Benutzeroberfläche angezeigt werden, konvertieren Sie die SST-Datei in eine Textdatei. Führen Sie hierzu certutil -dump -gmt -v c:\roots\trustedcerts.sst > c:\roots\trustedcerts.txt aus.
4. Laden Sie das "G2"-Stammzertifikat von "Abrufen" herunter, und überprüfen Sie das FCPCA-Stammzertifikat , und fügen Sie es Zu Ihrer persönlichen CTL hinzu.

Behandeln und Analysieren von Problemen mit der Stammkette

Die folgenden Daten können Ihnen bei der Problembehandlung von Vorgängen helfen, die von der Entfernung des Stammzertifikats "G1" betroffen sind:

1. Aktivieren Sie die CAPI2-Protokollierung. Siehe Windows PKI-Problembehandlung und CAPI2-Diagnose.

2. Erstellen Sie Filter in Ereignisanzeige in den folgenden Ereignisprotokollen, Ereignisquellen und Ereignis-IDs.

   Unter den Anwendungs- und Dienstprotokollen\Microsoft\Windows\CAPI2\Betriebsprotokoll , das CAPI2 als Quelle verwendet:

   • Ereignis-ID 11: Dieses Ereignis zeigt Verkettungsfehler an.
   • Ereignis-ID 30: Dieses Ereignis zeigt Richtlinienkettenfehler an, z. B. NTAuth-Fehler und SSL-Richtlinienüberprüfung.
   • Ereignis-ID 90: Dieses Ereignis zeigt Ihnen alle Zertifikate an, die zum Erstellen aller möglichen Zertifikatketten auf dem System verwendet wurden.
   • Ereignis-ID 40–43: In dieser Ereignisreihe werden alle gespeicherten CRLs und Ereigniszertifikate angezeigt, auf die über AIA-Pfade zugegriffen wird.
   • Ereignis-ID 50–53: In dieser Ereignisreihe werden alle Versuche angezeigt, über das Netzwerk auf die CRLs zuzugreifen. Das Ereignis bezieht sich auf die folgende Fehlermeldung:

     Eine zertifikatskette verarbeitet, aber in einem STAMMzertifikat beendet, das vom Vertrauensanbieter nicht als vertrauenswürdig eingestuft wird

   Im Systemereignisprotokoll, das Microsoft-Windows-Kerberos-Key-Distribution-Center als Quelle verwendet:

   • Fehler 19: Dieses Ereignis gibt an, dass versucht wurde, eine Smartcardanmeldung zu verwenden, aber der KDC kann das PKINIT-Protokoll nicht verwenden, da ein geeignetes Zertifikat fehlt.
   • Ereignis 21: Eine Zertifikatkette konnte nicht zu einer vertrauenswürdigen Stammzertifizierungsstelle erstellt werden.
   • Ereignis 29: Das Key Distribution Center (KDC) kann kein geeignetes Zertifikat finden, das für Smartcardanmeldungen verwendet werden kann, oder das KDC-Zertifikat konnte nicht überprüft werden. Die Smartcardanmeldung funktioniert möglicherweise nicht ordnungsgemäß, wenn dieses Problem nicht behoben ist. Um dieses Problem zu beheben, überprüfen Sie entweder das vorhandene KDC-Zertifikat mithilfe von Certutil.exe, oder registrieren Sie sich für ein neues KDC-Zertifikat.