AIA-URL-Abruf in Windows

Die AIA-Erweiterung (Authority Information Access) in X.509-Zertifikaten gibt eine URL an, über die das ausstellende Zertifizierungsstelle-Zertifikat abgerufen werden kann. Wenn ein System keine vollständige Zertifikatvertrauenskette mit nur den Zertifikaten im lokalen Speicher erstellen kann, kann es versuchen, fehlende Zwischenzertifikate aus dem Netzwerk mithilfe der AIA-URL herunterzuladen. AIA automatisiert den Abruf fehlender Zertifikate und minimiert den manuellen Aufwand, der zum Aktualisieren lokaler Zertifikatspeicher erforderlich ist.

Der automatische Abruf hilft beim Abschließen der Vertrauenskette, kann aber Sicherheitsrisiken darstellen, wenn sie nicht ordnungsgemäß verwaltet werden. Um die Sicherheit zu verbessern, stellen Sie sicher, dass Ihre Zertifikatspeicher ordnungsgemäß konfiguriert sind und nur Zertifikate von vertrauenswürdigen Zertifizierungsstellen enthalten. Sie können Ihre Systemumgebung weiter stärken, indem Sie das AIA-Abrufsystem systemweit deaktivieren. Dadurch werden Windows-APIs gezwungen, Zertifikatketten ausschließlich von Zertifikaten zu erstellen, die bereits im lokalen Speicher vorhanden sind, wodurch das Risiko verringert wird, dass nicht überprüfte oder böswillige Zertifikate, die aus externen Quellen abgerufen werden, versehentlich als vertrauenswürdig eingestuft werden. Durch die Einführung dieser Tiefenverteidigungsstrategie können Sie Ihre Systeme vor nicht autorisierten oder unerwarteten Zertifikatvertrauenspfaden schützen.

Zu den bewährten Methoden für die Verwaltung Ihrer CAs gehören:

• Vergewissern Sie sich, dass die Liste der Zertifikate der Stamm- und Zwischenzertifizierungsstelle immer auf dem neuesten Stand ist. Dies umfasst die regelmäßige Aktualisierung des lokalen Zertifikatspeichers mit neuen oder aktualisierten Zertifikaten aus vertrauenswürdigen Quellen.

• Stellen Sie sicher, dass Zwischenzertifikate konsistent zum lokalen Speicher hinzugefügt werden, insbesondere, wenn der AIA-Abruf deaktiviert ist. Dadurch werden potenzielle Unterbrechungen bei der Zertifikatüberprüfung verhindert.

• Führen Sie regelmäßige Prüfungen des Zertifikatspeichers durch, um abgelaufene oder nicht vertrauenswürdige Zertifikate zu identifizieren und zu entfernen. Diese Praxis trägt dazu bei, Vertrauenswürdigkeit aufrechtzuerhalten und Sicherheitsrisiken zu reduzieren, die mit veralteten Zertifikaten verbunden sind.

Voraussetzungen

Um Änderungen an der AIA vorzunehmen, müssen Sie Mitglied der Sicherheitsgruppe "Administratoren", "Domänenadministratoren" oder "Unternehmensadministratoren" sein.

Verwalten des AIA-Abrufs

Befolgen Sie eine der nachstehenden Methoden, um das AIA-Abrufsystem in Ihrer Umgebung zu deaktivieren:

Gruppenrichtlinie

1. Wählen Sie "Start" aus, geben Sie "gpedit" ein, und wählen Sie " Gruppenrichtlinie bearbeiten" aus.

2. Navigieren Sie zu Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für öffentliche Schlüssel , und öffnen Sie die Überprüfungseinstellungen für den Zertifikatpfad.

3. Wählen Sie die Registerkarte "Netzwerkabruf" aus . Wählen Sie " Diese Richtlinieneinstellungen definieren" aus, deaktivieren Sie den Abruf des Ausstellerzertifikats (AIA) während der Pfadüberprüfung, und wählen Sie dann "OK" aus.

Wenn Sie den AIA-Abruf erneut aktivieren müssen, deaktivieren Sie " Diese Richtlinieneinstellungen definieren ", und wählen Sie dann "OK" aus.

Registrierungs-Editor

1. Wählen Sie "Start", geben Sie "regedit" ein, und wählen Sie "Registrierungs-Editor" aus.

   Alternativ können Sie im Server-ManagerTools und dann den Registrierungs-Editor auswählen.

2. Navigieren Sie zum folgenden Pfad, und erweitern Sie ihn HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates.

Wenn Sie die AIA-Einstellung zum ersten Mal bearbeiten, müssen der Ordner "ChainEngine\Config" und die Einträge manuell erstellt werden.

1. Klicken Sie mit der rechten Maustaste auf SystemCertificates. Wählen Sie "Neue Taste"> aus, geben Sie "ChainEngine" ein, und drücken Sie dann die EINGABETASTE.

2. Klicken Sie mit der rechten Maustaste auf ChainEngine wählen Sie "Neuer>Schlüssel" aus, geben Sie "Config" ein, und drücken Sie dann die EINGABETASTE.

3. Klicken Sie mit der rechten Maustaste auf "Config select New>DWORD", geben Sie "Options" ein, und drücken Sie dann die EINGABETASTE.

4. Öffnen Sie "Optionen" im Feld "Wert" , geben Sie "2" ein, und drücken Sie dann die EINGABETASTE.

Wenn Sie die AIA-Einstellung zuvor bearbeitet haben, sind diese Einträge bereits vorhanden. Während Sie sich in HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config befinden, setzen Sie den Options-Wert auf 2.

Wenn Sie den AIA-Abruf erneut ausführen müssen, legen Sie den Optionswert auf 0 fest.

PowerShell

Öffnen Sie PowerShell in einem Fenster mit erhöhten Rechten und führen Sie die folgenden Schritte aus:

1. Führen Sie den folgenden Befehl aus, um den Registrierungspfad und einträge hinzuzufügen, um den AIA-Abruf zu deaktivieren, falls er nicht vorhanden ist :

   $registryPath = "HKLM:\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config"
   
   New-Item -Path $registryPath -Force | Out-Null
   New-ItemProperty -Path $registryPath -Name "Options" -PropertyType DWORD -Value 2 -Force | Out-Null
   

2. Führen Sie den folgenden Befehl aus, wenn der Registrierungspfad und die Einträge vorhanden sind, um den AIA-Abruf zu deaktivieren:

   $registryPath = "HKLM:\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config"
   
   New-ItemProperty -Path $registryPath -Name "Options" -PropertyType DWORD -Value 2 -Force | Out-Null
   

3. Führen Sie den folgenden Befehl aus, wenn Sie den AIA-Abruf erneut ausführen müssen:

   $registryPath = "HKLM:\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config"
   
   Set-ItemProperty -Path $registryPath -Name "Options" -Value 0 -Force | Out-Null
   

AIA-Status abrufen

Standardmäßig ist AIA auf Ihrem Gerät aktiviert. Der AIA-Abruf wird durch die CCertChainEngine::GetIssuerUrlStore()- Funktion in crypt32.dllausgelöst. Der CERT_CHAIN_DISABLE_AIA und der CERT_CHAIN_ENABLE_AIA wird in dwFlags festgelegt, das zum Erstellen der Engine oder im Aufruf von CertGetCertificateChain übergeben wird. Führen Sie den folgenden Befehl aus, um den aktuellen AIA-Status abzurufen:

$registryPath = "HKLM:\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config"
$propertyName = "Options"
 
try {
    $regCheck = (Get-ItemProperty -Path $registryPath -Name $propertyName -ErrorAction Stop).$propertyName
 
    switch ($value) {
        0 { "AIA is Enabled" }
        2 { "AIA is Disabled" }
        default { "Unexpected value: $regCheck" }
    }
} catch {
    "AIA has not been set"
}

Siehe auch

• Dokumentation zu Active Directory-Zertifikatdiensten

• Bewährte Methoden für Zero Trust von Microsoft