Freigeben über


Zertifikatsspeicher der vertrauenswürdiger Stammzertifizierungsstellen

Ab Windows Vista führt der Plug-and-Play-Manager (PnP) während der Geräte- und Treiberinstallation die Überprüfung der Treibersignatur durch. Die Überprüfung ist erfolgreich, wenn:

  • Das zum Erstellen der Signatur verwendete Signaturzertifikat wurde von einer Zertifizierungsstelle ausgestellt.

  • Das entsprechende Stammzertifikat für die Zertifizierungsstelle wird im Zertifikatspeicher vertrauenswürdiger Stammzertifizierungsstellen installiert. Daher enthält der Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen die Stammzertifikate aller Zertifizierungsstellen, denen Windows vertraut.

Um auf den Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen auf einem Windows-Computer zuzugreifen, können Sie die Microsoft Management Console (MMC) mit dem Zertifikat-Snap-In verwenden. Hier sind die Schritte, um dies auf einem Windows 10/11-Computer auszuführen:

  1. Öffnen Sie das Dialogfeld „Ausführen“: Drücken Sie dazu Windows key + R.

  2. Öffnen Sie MMC: Geben Sie in das Dialogfeld „Ausführen“ mmc ein, und drücken Sie die Eingabetaste. Die Microsoft Management Console wird geöffnet. Wenn Sie von der Benutzerkontensteuerung (User Account Control, UAC) aufgefordert werden, klicken Sie auf „Ja“, um zuzulassen, dass MMC Änderungen an Ihrem Gerät vornehmen kann.

  3. Hinzufügen des Zertifikate-Snap-in:

    • Klicken Sie im MMC-Fenster auf File die Menüleiste, und wählen Sie Add/Remove Snap-in aus.
    • Scrollen Sie im Fenster „Snap-Ins hinzufügen oder entfernen“ nach unten, wählen Sie Certificates aus, und klicken Sie dann auf Add >.
    • Ein Popup fragt, welche Zertifikate Sie verwalten möchten. Wählen Sie Computer account aus, und klicken Sie dann auf Next.
    • Wählen Sie Local computer: (the computer this console is running on) aus, und klicken Sie dann auf Finish.
    • Sie können auch My user account oder Service account je nach Ihren Anforderungen wählen, aber für den Zugriff auf die vertrauenswürdigen Stammzertifizierungsstellen wählen Sie in der Regel Computer account aus.
    • Klicken Sie auf OK, um das Fenster „Snap-Ins hinzufügen oder entfernen“ zu schließen.
  4. Zugriff auf vertrauenswürdige Stammzertifizierungsstellen:

    • Erweitern Sie im MMC unter der Struktur Certificates (Local Computer) den Ordner Trusted Root Certification Authorities.
    • Klicken Sie auf Certificates unter Trusted Root Certification Authorities. Dadurch werden alle Zertifikate angezeigt, die derzeit vom Computer als vertrauenswürdig eingestuft werden.
  5. Verwalten der Zertifikate:

    • Von hier aus können Sie Details zu jedem Zertifikat anzeigen, neue vertrauenswürdige Zertifikate importieren oder vorhandene entfernen. Seien Sie jedoch vorsichtig, wenn Sie Zertifikate hinzufügen oder entfernen, da sie sich auf die Sicherheit und Funktionalität Ihres Systems auswirken können.
  6. MMC schließen:

    • Wenn Sie fertig sind, schließen Sie das MMC-Fenster einfach. Wenn Sie Änderungen vorgenommen haben und gefragt werden, ob Sie die Konsoleneinstellungen speichern möchten, wählen Sie diese Option No aus, es sei denn, Sie planen, dieses Konsolensetup wieder zu verwenden.

Denken Sie daran, dass die Verwaltung er Zertifikate und des Speichers für vertrauenswürdige Stammzertifizierungsstellen sorgfältig durchgeführt werden sollte und in der Regel Administratorrechte erfordert. Unsachgemäße Änderungen können die Sicherheit Ihres Systems beeinträchtigen.

Standardmäßig ist der Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen mit mehreren öffentlichen Zertifizierungsstellen konfiguriert, welche die Anforderungen des Microsoft-Programms für Stammzertifikate erfüllen. Administratoren können den Standardsatz vertrauenswürdiger Zertifizierungsstellen konfigurieren und ihre eigene private Zertifizierungsstelle für die Überprüfung der Software installieren.

Hinweis: Es ist unwahrscheinlich, dass einer privaten Zertifizierungsstelle außerhalb der Netzwerkumgebung vertraut wird.

Das Vorhandensein einer gültigen digitalen Signatur stellt die Authentizität und Integrität eines Treiberpakets sicher. Es bedeutet jedoch nicht, dass der Endbenutzer oder ein Systemadministrator dem Softwareherausgeber implizit vertraut. Ein Benutzer oder Administrator muss entscheiden, ob eine Anwendung je nach Einzelfall installiert oder ausgeführt werden soll, basierend auf ihrem Wissen über den Softwareherausgeber und die Anwendung. Standardmäßig ist ein Herausgeber nur vertrauenswürdig, wenn sein Zertifikat im Zertifikatspeicher für vertrauenswürdige Herausgeber installiert ist.

Der Name des Zertifikatspeichers für vertrauenswürdige Stammzertifizierungsstellen ist root. Sie können das Stammzertifikat einer privaten Zertifizierungsstelle manuell in den Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen auf einem Computer installieren, indem Sie das CertMgr-Tool verwenden.

Achtung: Die vom PnP-Manager verwendete Treibersignaturüberprüfungsrichtlinie erfordert, dass das Stammzertifikat einer privaten Zertifizierungsstelle zuvor in der lokalen Computerversion des Zertifikatspeichers für Stammzertifizierungsstellen installiert wurde. Weitere Informationen finden Sie unter Local Machine and Current User Certificate Stores (Zertifikatspeicher des lokalen Computers bzw. des aktuellen Benutzers).

Weitere Informationen zur Treibersignierung finden Sie unter Treibersignaturrichtlinie.