So aktualisieren Sie die Liste der vertrauenswürdigen Stammzertifikate in Windows

Haben Sie schon herausgefunden, wie Windows mit Stammzertifikaten umgeht? Windows aktualisiert sich regelmäßig, indem es im Rahmen der Windows-Updates vertrauenswürdige Stammzertifikate von Microsoft-Servern abruft. Dies ist Teil des Microsoft-Programms für vertrauenswürdige Stammzertifikate. Wenn Sie eine Website besuchen, die SSL verwendet, und die Stammzertifizierungsstelle in der Zertifikatskette Teil dieses Programms ist, ruft Windows dieses Stammzertifikat automatisch ab und fügt es dem Zertifikatsspeicher hinzu. Sie müssen sich also nicht manuell darum kümmern. Normalerweise erfolgt die Aktualisierung einmal pro Woche. Kann Windows jedoch nicht auf die Update-Server zugreifen – beispielsweise, weil der Computer offline ist oder sich hinter einer restriktiven Firewall befindet –, wird die Liste nicht aktualisiert. Dies kann zu SSL-Fehlern, fehlerhaften Skripten oder dazu führen, dass Anwendungen nicht mehr ausgeführt werden, da sie den Zertifikaten nicht mehr vertrauen. Und ja, die manuelle Behebung solcher Probleme kann mühsam sein, insbesondere in isolierten Netzwerken. Diese Anleitung beschreibt Möglichkeiten, die Stammzertifikate manuell zu aktualisieren oder zu verwalten, selbst wenn Ihr System keine Internetverbindung hat.

So reparieren Sie vertrauenswürdige Stammzertifikate unter Windows im Offline-Modus oder bei veralteten Zertifikaten

Verwaltung vertrauenswürdiger Stammzertifikate in Windows 10 und 11

Um die Liste der Stammzertifikate anzuzeigen oder zu verwalten, starten Sie am besten mmc.exe. Sobald die Konsole erscheint, wählen Sie „Datei“ > „Snap-In hinzufügen/entfernen“, dann „Zertifikate“ und anschließend das Konto „Computer“. Wählen Sie Ihren lokalen Computer aus, klicken Sie auf „ Hinzufügen“ und dann auf „OK“. Erweitern Sie „Zertifikate“ > „Vertrauenswürdige Stammzertifizierungsstellen“ > „Zertifikate“. Nun sehen Sie die vollständige Liste der vertrauenswürdigen Stammzertifikate. Hier können Sie verdächtige Zertifikate überprüfen, entfernen oder sie bei Bedarf exportieren.

Profi-Tipp: Sie können in PowerShell auch schnell eine Liste der aktuell vertrauenswürdigen Programme abrufen, indem Sie folgenden Befehl verwenden:

Get-ChildItem cert:\LocalMachine\Root | Format-List

Wenn Sie eine kürzere Version bevorzugen, um zu erkennen, was bald abläuft, versuchen Sie Folgendes:

Get-ChildItem cert:\LocalMachine\Root | Where-Object {$_. NotAfter -lt (Get-Date).AddDays(60)} | Select-Object NotAfter, Subject

In der Praxis ist es ratsam, den Zertifikatsspeicher regelmäßig zu überprüfen, insbesondere in kritischen Umgebungen. Verwenden Sie ein Sicherheitstool wie Sigcheck von Sysinternals, um Ihre Zertifikate mit der aktuellen Liste von Microsoft zu vergleichen. Sollten Sie ein verdächtiges oder widerrufenes Zertifikat finden, entfernen Sie es manuell.

Automatische Aktualisierungen von Stammzertifikaten deaktivieren oder aktivieren

Das ist einer dieser Momente, in denen man sich fragt: „Warum funktioniert das nicht?“ Windows aktualisiert normalerweise Stammzertifikate automatisch. Falls Sie dies jedoch deaktivieren müssen – beispielsweise für Testzwecke oder in abgeschotteten Umgebungen – können Sie dies über gpedit.msc oder Registry-Änderungen tun. Gehen Sie zu Computerkonfiguration > Administrative Vorlagen > System > Internetkommunikationsverwaltung > Internetkommunikation. Suchen Sie die Richtlinie „Automatische Aktualisierung von Stammzertifikaten deaktivieren“. Aktivieren Sie diese, um die automatische Aktualisierung von Stammzertifikaten durch Windows zu unterbinden.

Falls Ihre Gruppenrichtlinien nicht greifen, überprüfen Sie diesen Registrierungsschlüssel:

Get-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -Name DisableRootAutoUpdate

Steht dort „1“, ist die automatische Aktualisierung deaktiviert.Ändern Sie den Wert auf „0“, um sie wieder zu aktivieren. Falls Ihnen das kompliziert erscheint: Windows führt Aktualisierungen standardmäßig selbst durch – es sei denn, Sie deaktivieren dies.

Manuelles Erhalten vertrauenswürdiger Stammzertifikate mit Certutil

Dies ist besonders praktisch für Umgebungen ohne Internetverbindung. Das Befehlszeilentool certutil.exe kann die neuesten vertrauenswürdigen Stammzertifikate von Windows Update abrufen und in einer Datei speichern. Führen Sie auf einem Rechner mit Internetzugang folgenden Befehl als Administrator aus:

certutil.exe -generateSSTFromWU C:\Path\roots.sst

Dadurch wird eine Datei namens roots.sst erstellt, die im Grunde alle von Windows abgerufenen vertrauenswürdigen Stammzertifikate enthält. Sie können diese Datei doppelklicken, um die gespeicherten Zertifikate anzuzeigen oder sie auf anderen Rechnern bereitzustellen. Ein Tipp: Anstatt einzelne Zertifikate zu exportieren, verwenden Sie Folgendes:

certutil -syncWithWU

Dadurch wird der lokale Store mit den neuesten Updates von Microsoft synchronisiert, die dann exportiert oder per Skript zur Aktualisierung anderer Systeme verwendet werden können.

Auf Einzelplatzrechnern oder Servern ist es möglicherweise einfacher, die SST-Datei manuell oder per Gruppenrichtlinie bereitzustellen. Mit PowerShell können Sie alle Zertifikate in der SST-Datei gleichzeitig installieren:

$sst = Get-ChildItem -Path C:\Path\roots.sst; $sst | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Dadurch kann die Anzahl Ihrer vertrauenswürdigen Root-Server ziemlich schnell steigen – beispielsweise von den standardmäßigen etwa einem Dutzend auf Hunderte von vertrauenswürdigen Root-Servern.

Die Zertifikatsvertrauensliste (CTL) verstehen

Die Zertifikatsvertrauensliste (CTL) ist keine Liste der eigentlichen Zertifikate, sondern eine von Microsoft signierte Liste ihrer Hashwerte und Metadaten. Windows lädt diese CTL-Datei regelmäßig – etwa zweimal im Monat – von einer Microsoft-Website herunter ( Link hier ), entpackt sie und aktualisiert die vertrauenswürdigen Stammzertifikate entsprechend. Sie können die CAB-Datei auch manuell herunterladen, die Datei „authroot.stl“ extrahieren und importieren certutil -addstore "Root" path\authroot.stl. So bleibt die Liste der vertrauenswürdigen Zertifikate auch ohne Windows Update aktuell. Achten Sie einfach darauf, regelmäßig die neueste Version zu installieren, um alles synchron zu halten.

Aktualisieren von Stammzertifikaten in isolierten Umgebungen

Wenn Sie sich in einem vollständig isolierten Netzwerk befinden, wie beispielsweise in einer streng abgeschotteten Unternehmensumgebung, müssen Sie Ihre Root-Zertifikatsliste manuell aktuell halten. Laden Sie dazu die neueste SST-Datei mit einem mit dem Internet verbundenen PC herunter und kopieren Sie diese anschließend per USB-Stick oder in einen freigegebenen Ordner in das isolierte Netzwerk. Importieren Sie sie danach erneut mit certutil.

certutil -addstore -f Root path\roots.sst

Alternativ können Sie, falls Sie ein freigegebenes Netzlaufwerk eingerichtet haben, auf das alle Ihre isolierten Rechner zugreifen können, die Bereitstellung per Gruppenrichtlinie automatisieren, indem Sie den Registrierungsschlüssel „RootDirURL“ ändern und ihn auf Ihren freigegebenen Ordner verweisen lassen. Anschließend können die Computer die Stammverzeichnisse von dort abrufen und aktualisieren.

Aktualisieren von Stammzertifikaten unter Windows 7 und XP

Ja, Windows 7 wird zwar noch vereinzelt verwendet, aber es ist problematisch, da der Support von Microsoft eingestellt wurde. Um die neuesten Stammzertifikate unter Windows 7 zu erhalten, installieren Sie das Update KB2813430 (das die Aktualisierung vertrauenswürdiger Zertifikate auf Offline-Rechnern ermöglicht).Generieren Sie anschließend Ihre SST-Datei mit folgendem Befehl:

certutil.exe -generateSSTFromWU c:\ps\roots.sst

Importieren Sie nun die SST-Datei in das MMC-Zertifikat-Snap-In unter „ Vertrauenswürdige Stammzertifizierungsstellen“. Unter XP können Sie, wenn Sie sich trauen, das alte Tool rootsupd.exe verwenden. Seien Sie jedoch gewarnt: Die zugehörigen Updates sind veraltet, und das Tool selbst wird möglicherweise nicht mehr unterstützt. Es empfiehlt sich, certutil zu verwenden und die Dateien auf einem neueren Windows-System zu generieren/aktualisieren, bevor Sie sie zurückübertragen.

Ja, das Aktualisieren vertrauenswürdiger Stammschlüssel kann etwas umständlich sein, insbesondere in Umgebungen ohne Internetverbindung. Mit einer Kombination aus certutil-Befehlen, manuellen Importen und sorgfältiger Verwaltung ist es jedoch machbar – und unerlässlich für reibungslose und sichere SSL-Workflows.

Zusammenfassung

  • Verwenden Sie mmc.exe, um einen Blick auf Ihre aktuell vertrauenswürdigen Stammverzeichnisse zu werfen.
  • Deaktivieren Sie automatische Updates im Offline-Modus per Gruppenrichtlinie oder Registry-Anpassung.
  • Die neuesten Stammzertifikate können mit certutil.exe -generateSSTFromWU auf einem mit dem Internet verbundenen Rechner abgerufen werden.
  • Die SST-Datei kann bei Bedarf manuell oder über Gruppenrichtlinien bereitgestellt werden.
  • Um ein fortgeschritteneres Vertrauensmanagement zu ermöglichen, sollten Sie die CTL-Dateien verstehen.

Zusammenfassung

Die Aktualisierung von Root-Zertifikaten ohne Internetzugang ist zwar nicht ganz einfach, aber machbar. Der Trick besteht darin, die neuesten Daten von einem Online-Rechner abzurufen und sie dann sorgfältig an die offline befindlichen Rechner zu verteilen. Nicht gerade elegant, aber in manchen Umgebungen unerlässlich. Hoffentlich spart dies Zeit und Nerven bei der Arbeit mit eingeschränkten Netzwerkressourcen. Hoffentlich trägt es dazu bei, die Vertrauenskette stabil zu halten.