Menü schliessen
Created: August 15th 2012
Last updated: May 1st 2020
Categories: IT Support,  Windows 7
Author: Marcus Fleuti

Self-Signed SSL Zertifikat auf einem Windows 7 Client einbinden der sich NICHT in einer Domäne befindet

Tags:  self-signed,  SSL,  Windows 7,  Zertifikat
Donation Section: Background
Monero Badge: QR-Code
Monero Badge: Logo Icon Donate with Monero Badge: Logo Text
82uymVXLkvVbB4c4JpTd1tYm1yj1cKPKR2wqmw3XF8YXKTmY7JrTriP4pVwp2EJYBnCFdXhLq4zfFA6ic7VAWCFX5wfQbCC

Das Problem

Normalerweise können Zertifikate mit dem folgenden Vorgehen in den Zertifikate-Speicher "Vertrauenswürdige Zertifizierungsstellen" geladen werden:

  1. Starten des Internet Explorer mit Admin-Rechten
  2. Die Seite öffnen, die das self-signed Zertifikat enthält (https://self-signed.domain.com)
  3. Im IE auf das Zertifikat-Icon klicken -> Zertifikat installieren
  4. Zertifikat im Speicher für "Vertrauenswürdige Zertifizierungsstellen" abspeichern.

In einigen Fällen aber erkennt das System darauf hin das self-signed Zertifikat noch immer nicht als vertrauenswürdig an. In diesem Fall empfiehlt sich das folgende Vorgehen für die Installation des Zertifikates:

  1.  iexplore mit Admin-Rechten starten und die https-Site des Kunden aufrufen
  2. Im Suchfeld des Startmenüs "iexplore" eingeben und mit CTRL+SHIFT+ENTER (als Admin) ausführen
  3.  Zertifikat in eine .cer-Datei exportieren
  4. In den lokalen Gruppenrichtlinien des Clients die Einstellungen gemäss Screenshot wie folgt setzen (siehe Screenshot).
    1. Im Suchfeld des Startmenüs "gpedit.msc" eingeben und mit CTRL+SHIFT-ENTER (als Admin) ausführen
    2. Folgende Einstellungen setzen:
  5. Für das Hinzufügen der Zertifikate gibt es nun 2 Möglichkeiten:
    1. Hinzufügen des Zertifikates zum Computerkonto (Admin-Rechte notwendig) → Das Zertifikat gilt dann für alle Benutzer des Computers
      1. Im Suchfeld des Startmenüs "mmc" eingeben, mit Enter Bestätigen und den UAC-Dialog für die Admin-Rechte ebenfalls abnicken
      2. Im Menü Datei->Snap-In hinzufügen/entfernen auswählen
      3. Das Snap-In "Zertifikate" hinzufügen (c:\windows\system32\certmgr.msc)
        1. Auswählen, dass das Snap-In für ein Computerkonto Zertifikate verwaltet (mmc muss deshalb als Admin-User gestartet worden sein)
        2. Alle anderen Einstellung so übernehmen wie vorgeschlagen -> Fertig stellen
      4. Unter "Vertrauenswürdige Stammzertifizierungsstellen"->"Zertifikate" das zuvor exportierte Zertifikat importieren (Rechtsklick auf den Ordner "Zertifikate"->"Alle Aufgaben"->"importieren":
    2. Hinzufügen des Zertifikates zum angemeldeten Benutzerkonto
      1. Im Suchfeld des Startmenüs "certmgr.msc" eingeben und mit ENTER ausführen (KEINE Admin-Rechte!).
      2. Rechtsklick auf "Vertrauenswürdige Stammzertifizierungsstellen"->"Zertifikate". Auswählen von "Alle Aufgaben"->"importieren":