Selbstsigniertes Zertifikat per Gruppenrichtlinie verteilen

In den meisten Fällen werden selbstsignierte Zertifikate verwendet, da ein „echtes“ Zertifikat natürlich auch Geld kostet. Im folgenden wird anhand eines Exchange-Servers erklärt, wie man das selbstsignierte Zertifikat so verteilt, dass dieses von den Clients (Outlook) als vertrauenswürdig eingestuft wird.

Im Fall von Outlook, bzw. Exchange wird ein Zertifikat verwendet, um die Verbindung zwischen den Clients, auf denen Outlook läuft, und dem Exchange Server verschlüsselt. Bei einem selbstsignierten Zertifikat erscheint dann folgenden Fehlermeldung:

Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie als nicht vertrauenswürdig eingestuft haben
Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie als nicht vertrauenswürdig eingestuft haben

Um nicht jedes Mal erst auf ja klicken zu müssen, gibt es die Möglichkeit, das Zertifikat als vertrauenswürdige Stammzertifizierungsstelle zu importieren:

  • Klicken Sie auf Zertifikat anzeigen
  • Unter Allgemein/Zertifikat installieren/Weiter
  • Option auswählen Zertifikate in folgendem Speicher speichern/Durchsuchen
  • Wählen Sie als Zertifikatsspeicherort „Vertrauenswürdige Stammzertifizierungsstellen“ aus/OK
  • Weiter und dann Fertigstellen drücken

Schon wird Sie Outlook nicht mehr danach fragen. Das Problem an dieser Methode ist: Als Administrator muss dieser Vorgang auf jedem Client einzeln gemacht werden. Doch es geht auch einfacher, denn man kann das selbstsignierte Zertifikat auch per Gruppenrichtlinie verteilen.

Gruppenrichtlinien sind für Mitglieder in einer Active Directory ein zentrales Mittel um jedem Client Standardeinstellungen mit zu übertragen. Über diesen Weg können die selbstsignierten Zertifikate nun an alle Clients in der Domäne verteilt werden.

Schritt 1 – selbstsigniertes Zertifikat exportieren:

  • Gehen Sie auf den Windows Server auf dem Exchange installiert ist auf Start/Ausführen (alternativ [Win]+[R])
  • Geben Sie „mmc“ ein / OK
  • Klicken Sie auf Datei/“Snap-In hinzufügen/entfernen“
  • Wählen Sie auf der Seite der verfügbaren Snap-Ins „Zertifikate“ aus
  • Klicken Sie auf Hinzufügen
  • Geben Sie „Computerkonto“ an
  • Klicken Sie auf Weiter / Fertigstellen / OK

Zertrifikate Snap-In hinzufügenGehen Sie dann im Konsolenstamm auf: „Eigene Zertifikate“ und dann auf den Ordner Zertifikate. Hier sehen Sie jetzt das selbstsigniertes Zertifikat vom Exchange Server. Zum exportieren gehen Sie nun wie folg vor:

  • Rechtsklick auf das Zertifikat
  • Wählen Sie Alle aufgaben/exportieren
  • Wählen Sie dann die Option „Nein, privaten Schlüssel nicht exportieren“ / Weiter
  • DER-codiert-binär X.509 (.CER) / Weiter
  • Geben Sie einen Speicherort an (am besten C: und als Dateinamen den Servername verwenden)
  • Klicken Sie auf weiter/Fertig stellen.

Nun ist das Zertifkat exportiert.

Schritt 2 – exportiertes Zertifikat per Gruppenrichtlinienobjekt (GPO) verteilen

  • Als nächsten öffen Sie die Gruppenrichtlinienverwaltung (auf dem Domain Controller oder als installierte Remteverwaltungstools auf einem Client)
  • Rechtsklick auf den Namen Ihrer Domain/neue „Gruppenrichtlinienobjekt hier erstellen oder verknüpfen“
  • Vergeben Sie einen aussagekräftigen Namen wie „Exchange selbstsigniertes Zertifikat verteilen“
  • Dann Rechtsklick auf die Erstellte Gruppenrichtlinie/Bearbeiten
  • Gehen Sie nacheinander auf folgende Einstellungen: Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien für öffentliche Schlüssel
  • Rechtsklick auf Vertrauenswürdige Stammzertifizierungsstellen / Importieren
  • Wählen Sie das exportierte Zertifikat aus (\\Servername\c$\Servername.cer)
  • Belassen Sie die auf der nächsten Seite die Option „Alle Zertifikate in folgendem Speicher speichern“ / Weiter / Fertigstellen
Selbstsigniertes Zertifikat importieren per Gruppenrichtlinie (GPO)
Selbstsigniertes Zertifikat importieren per Gruppenrichtlinie (GPO)

Schritt 3 – Gruppenrichtilinie anwenden

Die Richtilinie greift erst,

  • wenn der PC neugestartet wird
  • der Benutzer sich neu anmeldet
  • oder folgender Befehl ausgeführt wird: „gpupdate /force“

Fertig 😉