Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.106 Entfernen nicht vertrauenswürdiger Root-Zertifikate beim IIS-Einsatz - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.106 Entfernen nicht vertrauenswürdiger Root-Zertifikate beim IIS-Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

In einer Public-Key-Infrastruktur wird die Sicherheit u. a. durch die zugelassenen Root-Zertifikate bestimmt. Wenn einem solchen Root-Zertifikat vertraut werden soll, muss es im Betriebssystem geladen werden. Zertifikate, denen nicht vertraut wird, sollten aus dem System gelöscht werden.

Die Verwaltung der Zertifikate hängt von den eingesetzten Systemen ab:

IIS 4.0 + Internet Explorer 4 + Windows NT 4 + SP4 oder höher

In diesem Szenario werden alle Root-Zertifikate von der Komponente schannel.dll verwaltet. Diese DLL speichert die Daten in der Registrierung. Unter dem in der Tabelle dargestellten Schlüssel befinden sich eine Reihe von registrierten Schlüsseln, einer für jedes vorinstallierte Root-Zertifikat. Jedes Root-Zertifikat hat einen Eintrag namens Enabled mit dem Wert 0x1, wenn dem Zertifikat vertraut wird. Wird dem Zertifikat nicht vertraut, ist der Wert auf 0x0 zu setzen.

 
Registrierung 
Bereich 

HKEY_LOCAL_MACHINE\SYSTEM

 
Schlüssel 

CurrentControlSet\Control\SecurityProviders\
SCHANNEL\CertificationAuthorities

 
Name 

Enabled

 
Type 

REG_DWORD

 
Wert 

0

 

Die Registrierungseinträge sollten nicht gelöscht werden, da schannel.dll die fehlenden Einträge neu erstellen wird.

IIS 4.0 + Internet Explorer 5 + Windows NT 4 + SP4 oder höher

In diesem Szenario sollten die folgenden Schritte ausgeführt und die Root-Zertifikate entsprechend bearbeitet werden:

  1. Öffnen des Internet Explorer 5
  2. Extras | Internetoptionen
  3. Reiter Inhalt wählen
  4. Schaltfläche Zertifikate wählen
  5. Reiter vertrauenswürdige Stammzertifizierungsstellen wählen
  6. Alle nicht vertrauenswürdigen Zertifikate entfernen
  7. IIS 4.0 stoppen: net stop iisadmin /j
  8. IIS 4.0 starten: net start w3svc

Beim IIS 5.0 können die Zertifikate auf zwei unterschiedliche Arten entfernt werden:

IIS 5.0: Entfernen der Zertifikate mittels Internet Explorer

In diesem Szenario sollten die folgenden Schritte ausgeführt und die Root-Zertifikate entsprechend bearbeitet werden:

  1. Öffnen des Internet Explorer 5
  2. Extras | Internetoptionen
  3. Reiter Inhalt wählen
  4. Schaltfläche Zertifikate wählen
  5. Reiter Vertrauenswürdige Stammzertifizierungsstellen wählen
  6. Alle nicht vertrauenswürdigen Zertifikate entfernen
  7. IIS 5.0 stoppen: net stop iisadmin /j
  8. IIS 5.0 starten: net start w3svc

IIS 5.0: Entfernen der Zertifikate mittels MMC

In diesem Szenario sollten die folgenden Schritte ausgeführt und die Root-Zertifikate entsprechend bearbeitet werden:

  1. Öffnen der Microsoft Management Console (MMC)
  2. Das Snap-in Zertifikate hinzufügen
  3. Das Computerkonto zur Verwaltung auswählen
  4. Lokalen Computer zur Verwaltung auswählen
  5. Fertigstellen
  6. Fenster schließen
  7. Die Struktur Zertifikate | Vertrauenswürdige Stammzertifizierungsstellen | Zertifikate auswählen
  8. Alle nicht vertrauenswürdigen Zertifikate entferne
  9. IIS 5.0 stoppen: net stop iisadmin /j
  10. IIS 5.0 starten: net start w3svc

Es dürfen keine Microsoft- oder VeriSign-Zertifikate entfernt werden, da diese vom Betriebssystem verwendet werden.

Ergänzende Kontrollfragen: