10.3. Zertifikate auf Clients installieren

Wenn Sie neue Zertifikate selbst erstellt haben, sind sie auf dem Client noch nicht bekannt. Die Clientsoftware warnt Sie daher vor einem Schlüssel von unbekannter Zertifizierungsstelle.

Bauen Sie die Verbindung auf und installieren Sie das Zertifikat im Client. Bei folgenden Sitzungen darf Sie das Programm nicht mehr vor ungültigen Zertifikaten warnen.

10.3.1. Installation unter Windows

Im Folgenden wird beschrieben, wie Sie das Zertifikat des Intra2net Systems in das Zertifikatssystem von Windows installieren. Beachten Sie, dass einige Programme (wie z.B. Mozilla Firefox) ihr eigenes Zertifikatssystem mitbringen. Sollen solche Programme mit dem Intra2net System genutzt werden, muss das Zertifikat dort zusätzlich installiert werden.

  1. Öffnen Sie die Weboberfläche des Intra2net Systems. Dabei müssen Sie unter Umständen das (noch) nicht vertrauenswürdige Zertifikat temporär akzeptieren und die Verbindung dennoch öffnen.

  2. Öffnen Sie das Menü System > Weboberfläche > Sicherheit und klicken auf das Lupen-Symbol hinter der Option "SSL Serverschlüssel (lokale Verbindungen)".

  3. Exportieren Sie das Zertifikat "als .cer" und speichern es als Datei.

  4. Öffnen Sie die eben exportierte Datei über den Windows Explorer mit einem Doppelklick.

  5. Klicken Sie in der Zertifikatsanzeige auf "Zertifikat installieren". Ist diese Schaltfläche nicht vorhanden, so fehlen die nötigen Administrationsrechte.

  6. Es öffnet sich ein Assistent zum Zertifikatsimport. Lassen Sie das Zertifikat in einem ausgewählten Speicher speichern und klicken auf "Durchsuchen..." zur Auswahl des Zertifikatsspeichers.

  7. Wählen Sie den Zertifikatsspeicher "Vertrauenswürdige Stammzertifizierungsstellen".

  8. Schließen Sie den Assistent ab. Sie bekommen eine Sicherheitswarnung vom Betriebssystem angezeigt. Bestätigen Sie, dass Sie das Zertifikat installieren möchten.

  9. Schließen Sie den Internet Explorer.

  10. Öffnen Sie den Internet Explorer erneut, diesmal nicht mit Administratorrechten, sondern mit normalen Benutzerrechten.

  11. Öffnen Sie wieder die Oberfläche des Intra2net Systems. Diesmal darf keine Zertifikatswarnung erscheinen. Neben der URL wird ein Schlosssymbol angezeigt.

Sollte es bei der Installation des Zertifikats zu Problemen kommen, finden Sie hier einige Punkte, die Sie kontrollieren sollten:

  • Öffnen Sie im Internet Explorer die "Internetoptionen", Reiter "Inhalte" und klicken auf "Zertifikate". Das Zertifikat des Intra2net Systems sollte im Reiter "Vertrauenswürdige Stammzertifizierungsstellen" enthalten sein.

  • Wird das Zertifikat dort nicht angezeigt, suchen Sie, ob es nicht in einem anderen Zertifikatsspeicher enthalten ist. Installieren Sie es dann erneut und wählen diesmal "Vertrauenswürdige Stammzertifizierungsstellen" als Ziel aus.

  • Bei einigen Versionen von Windows gibt es einen bekannten Fehler bei den Berechtigungen zum Zertifikatsspeicher. Weitere Informationen finden Sie unter http://support.microsoft.com/kb/932156.

  • Bei einigen Systemen haben wir im Zusammenhang mit Imaging-Systemen Probleme mit dem Eigentümer des Zertifikatsspeichers beobachtet. In diesem Falle muss über den Registry-Editor der Eigentümer dieses Schlüssels auf den aktuellen Benutzer umgestellt werden: HKCU\Software\Microsoft\SystemCertificates\Root\ProtectedRoots. Vergeben Sie danach Leserechte für den Benutzer.

10.3.2. Verteilen von Zertifikaten über Active Directory

Werden die Client-PCs mit einem Active Directory verwaltet, kann man dieses nutzen um das Zertifikat des Intra2net Systems an alle zu verteilen.

Exportieren Sie dazu das verwendete Zertifikat aus dem Intra2net System über das Menü System > Schlüssel > Eigene Schlüssel als .cer-Datei.

Befolgen Sie dann die Hinweise von Microsoft zur Verteilung des Zertifikats: https://docs.microsoft.com/de-de/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy

Verteilen Sie das Zertifikat als vertrauenswürdige Stammzertifizierungsstelle.

Durch die dort beschriebenen Schritte wird eine Gruppenrichtlinie erstellt. Weisen Sie diese dann den Benutzern und Computern im lokalen Netz zu.

Nach dem Bereitstellen der Gruppenrichtline dauert es normal bis zu 2 Stunden bis diese bei den Client-PCs automatisch aktiv wird. Über den Befehl gpupdate /force kann man auf einem Client-PC die sofortige Aktualisierung starten. Wenige Minuten danach sollte dort das Zertifikat im Zertifikatsspeicher vorhanden sein.