How Automatic Root Certificates Update works in Vista / Windows 7
Hallo zusammen,
K�rzlich bin ich bei den Vorbereitungen einer SSL Website mit einem Public Zertifikat �ber etwas interessantes gestossen. Bei Windows XP/2003 muss man die Stammzertifikate regelm�ssig updaten. Mehr Infos und das entsprechende Stammzertifikatupdate gibt es hier:�http://support.microsoft.com/kb/931125
Das Update der Stammzertifikate aus obenstehendem Link kann man �brigens auch �ber WSUS oder mit dem /q Parameter (Quiet mode) installieren. Die Installation mit rootsupd.exe funktioniert �brigens auch bei Windows Vista und Windows 7 noch.
Ab Windows Vista ist es nicht mehr notwendig die Root Zertifikate regelm�ssig upzudaten, denn hier werden diese sozusagen "On Demand" aktualisiert.
Greift man Beispielsweise auf eine HTTPS Website zu, bei der das Zertifikat von einer Stammzertifizierungsstelle ausgestellt ist, welche nicht in den "Vertrauensw�rdigen Stammzertifizierungsstellen" des Zertifikatsspeichers abgelegt ist, so gleicht sich Vista mit der Windows Update Seite ab und installiert das Stammzertifikat�falls�es ein Mitglied des "Windows-Programms f�r Stammzertifikate" ist.
Mehr Informationen zum Automatischen Stammzertifikate Update gibt es hier: http://technet.microsoft.com/de-de/library/cc749331(WS.10).aspx
Das Automatische�update der Stammzertifikatekann aber �ber die Gruppenrichtlinien deaktiviert werden - Standardm�ssig ist das Automatische Update aber eingeschaltet.
Machen wir doch die Probe aufs Exempel:
Einer der Mitglieder des Windows-Programms f�r Stammzertifikate ist https://www.a-trust.at/. Mit dem Browser auf diese Seite zugreifen und ein Refresh der Anzeige in der MMC machen.
Und tats�chlich, das A-Trust Zertifikat wurde instaliert. Danke Windows!
Sieht man sich das im Network Monitor an, so sieht man dass Windows auf die folgende URL zugreift
http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20Secure%20Server%20Authority(8).crl
