Zertifikate in Windows installieren für mehr Sicherheit

Verfasst von
Artikel vom
Kategorie(n): Aktuelles, Windows
Auffindbar unter: , ,
Kommentare: 0 (da geht noch was!)

Zertifikate in Windows installieren und Sicherheit erhöhen

Du sollst ein Zertifikat unter Windows installieren, weißt aber nicht wie? Okay. Ich erkläre dir, was ein digitales Zertifikat ist, wie du ein neues Zertifikat in Windows einfügen kannst, wo du den Zertifikatsspeicher findest und warum Microsoft empfiehlt, vor Juni 2026 Zertifikate zu aktualisieren.

Die nachfolgende Anleitung richtet sich an Windows 11-Anwender:innen. Arbeitest du mit Server-Umgebungen, Windows 10 oder älteren Windows-Versionen, können die Angaben abweichen. Probiere es trotzdem aus!

Was ist ein digitales Zertifikat?

Im Unterschied zu Zertifikaten aus Papier, die oft die Echtheit eines physischen Produkts bescheinigen (zum Beispiel einer teuren Markenuhr), handelt es sich bei digitalen Zertifikaten in Bezug auf Computer-Anwendungen um Datensätze, die die Einhaltung bestimmter Anforderungen, Verfahren und Standards nachweisen sollen.

Werden diese Anforderungen vom Aussteller des Zertifikats nicht eingehalten, wird das Zertifikat abgewiesen oder als unsicher eingestuft.

Infolgedessen können Fehlermeldungen oder Sicherheitshinweise erscheinen.

Digitale Computer-Zertifikate für Windows haben meistens die Dateiendung „.crt“ oder „.cer“. 

Am häufigsten kommen digitale Zertifikate zum Aufbau einer sicheren TLS-Verbindung über das Internet zum Einsatz, sei es beim Abruf oder Versand von E-Mails oder beim Aufruf von Webseiten. Rufst du zum Beispiel über den Browser eine Internetadresse auf, die nicht mit https, sondern mit http anfängt, wird diese Website als nicht sicher angesehen, da kein digitales Zertifikat integriert wurde. Die Website ist also weder zertifiziert noch verschlüsselt. Aus diesem Grund erscheint ein Warnhinweis, der darauf aufmerksam macht, dass bei Aufruf dieser Website unter Umständen Daten gestohlen oder ausspioniert werden könnten.

Hier ein Beispiel-Warnhinweis bei Aufruf einer unsicheren Website:

Beispielhafter Warnhinweis bei Aufruf einer unsicheren Internetadresse

Deshalb verfügen die meisten Internetseiten über ein integriertes Web-Zertifikat mit RSA-Verschlüsselung (zum Beispiel von Let’s Encrypt), um Warnhinweise im Browser auszuschließen und sicherzustellen, dass die Eingaben von persönlichen Daten, zum Beispiel in ein Kontaktformular, geschützt sind.

Das nützt aber nichts, wenn nicht auch auf dem (Windows-) Computer die passenden aktuellen (WiFi-) Zertifikate installiert sind.

Warum braucht Windows digitale Zertifikate?

Installierst du Windows auf deinem Computer (oder ist das Betriebssystem schon vorinstalliert), werden automatisch zahlreiche Zertifikate mitinstalliert. Mit der Zeit können über Windows-Updates auch welche dazukommen oder aktualisiert werden.

Digitale Zertifikate ermöglichen Microsoft Windows, die Identität einer Person, eines Programms oder (Netzwerk-) Servers auf Echtheit zu überprüfen.

Programme, die nicht von Microsoft stammen (zum Beispiel Antiviren-, E-Mail-, Foto-, oder Messenger-Apps) müssen gegebenenfalls Zertifikate für Windows mit den Installationsdateien bereitstellen (siehe dazu Programmanforderungen von Microsoft), was üblicherweise der Fall ist.

Um sich gegenüber Microsoft authentifizieren zu können, müssen digitale Zertifikate den Namen des Besitzers und Ausstellers (Person oder Unternehmen), das Gültigkeitsdatum (von-bis) und die Zwecke enthalten, für welche das Zertifikat ausgestellt ist. Darüber hinaus können weitere Angaben in dem Zertifikat gespeichert werden.

Ein gültiges digitales Zertifikat kann beispielsweise so aussehen:

Beispiel-Ansicht eines gültigen digitalen Zertifikats für Microsoft Windows

Handelt es sich um ein ungültiges, abgelaufenes oder nicht vertrauenswürdiges Zertifikat, erkennt das Windows mithilfe kryptografischer Codes in der Regel sofort und leitet automatisch entsprechende Schritte ein (gibt eine Fehlermeldung auf der Windows-Oberfläche oder im Browser aus, verweigert die Installation des Zertifikats oder Ähnliches). Um die Code-Integrität zu überprüfen, greift Microsoft auf öffentliche Schlüssel und Zertifikatsvertrauenslisten zurück (siehe Teilnehmerliste von Microsoft).

In der Vergangenheit gab es sogar Fälle, wo abgelaufene Zertifikate dazu geführt haben, dass bestimmte Programme überhaupt nicht mehr nutzbar waren. Solche Probleme werden meist (aber nicht immer) dadurch gelöst, indem Microsoft aktuelle Zertifikate mit den neuesten Windows-Updates zur Verfügung stellt.

Kurz gesagt: Digitale Zertifikate sind wichtig für die Sicherheit und Stabilität deines Computers und bei jedem Schritt im Internet.

Wo findet man Computer-Zertifikate in Windows?

Seit Windows 11 kann man Zertifikate ganz einfach über die Suchfunktion von Windows finden:

  1. Gebe in das Suchfeld auf der Taskleiste den Begriff Zertifikat ein und es werden dir drei Möglichkeiten angezeigt: Benutzerzertifikate, Dateiverschlüsselungszertifikate und Computerzertifikate verwalten.
    Gebe in das Suchfeld "Zertifikat" ein und klicke/tippe auf "Computerzertifikate verwalten"
  2. Klicke oder tippe auf die Zeile Computerzertifikate verwalten, wie oben im Bild zu sehen.
  3. Falls ein Fenster der „Microsoft Management Console“ erscheinen sollte, bestätige die Meldung, indem du auf den Button JA klickst oder tippst.
    Bestätige die Meldung der Microsoft Management Console mit JA

Nun erscheint ein Fenster mit zwei Spalten namens „certim – (Zertifikate – Lokaler Computer)“. Dabei handelt es sich um den sogenannten Zertifikatsspeicher. Hier findest du alle installierten Zertifikate in den entsprechenden Ordnern.

Beispiel-Ansicht des Zertifikatsspeichers in Windows 11

TIPP: Alternativ kannst du den Zertifikatsspeicher über die Funktion „Ausführen“ und anschließender Eingabe von „certmgr.msc“ aufrufen – das klappt auch mit Windows 10.

Schaue dich im Zertifikatsspeicher ruhig mal in Ruhe um (klicke/tippe auf diverse Zeilen, sodass sich weitere Ordner öffnen).

Du kannst auch die Ansicht nach Belieben anpassen und die Spalten (wie bei Excel) breiter ziehen oder nach oben oder unten hin vergrößern, um mehr zu erkennen.

Keine Bange. Du musst dir nicht merken, was alles für Zertifikate in Windows gespeichert sind. Die vertrauenswürdigen und nicht vertrauenswürdigen Zertifikate ordnet Microsoft Windows im Regelfall alleine und automatisch zu. Aber zumindest weißt du jetzt, wo sich diese befinden. 🙂

Microsoft empfiehlt Updates der Zertifikate vor Juni 2026

Nun ist mir aufgefallen, dass Microsoft mit dem Kumulativen Update KB5063878 für Windows 11 Version 24H2 vom 12. August 2025 Windows-Nutzer:innen darüber informiert, dass „die Secure Boot-Zertifikate, die von den meisten Windows-Geräten verwendet werden, ab Juni 2026 auslaufen“ und erklärt, dass sich dies „auf die Fähigkeit bestimmter persönlicher und geschäftlicher Geräte auswirken kann, sicher zu starten, wenn sie nicht rechtzeitig aktualisiert werden. Um Unterbrechungen zu vermeiden“, empfiehlt Microsoft, „Maßnahmen zu ergreifen, um Zertifikate im Voraus zu aktualisieren.“ (Siehe vollständige Information von Microsoft).

Diese wichtige Information habe ich zum Anlass genommen, einen Artikel inklusive Anleitungen zu Zertifikaten in Windows zu schreiben. Denn wer klickt oder tippt schon nach jedem Windows-Update im Updateverlauf auf „Weitere Informationen“ und liest sich auf der Webseite von Microsoft alles durch (und blickt da auch noch durch).

TIPP: Was man bei Windows-Updates (Windows 11 und 10) beachten sollte und wie man Windows 11/10 bereinigen kann, erkläre ich im Artikel Windows schneller starten und aufräumen ohne Zusatzprogramm.

Nachdem ich mich jedenfalls durch weitere Seiten von Microsoft durchgearbeitet habe und auf den Hinweis gestoßen bin, dass ohne Updates der Zertifikate bei Windows (11)-Geräten mit Secure Boot-Funktion die Gefahr bestehe, dass diese Geräte keine Sicherheitsupdates erhalten, haben bei mir alle Alarmglocken geschrillt.

So bin ich schließlich auf die Webseite „Leitfaden zur Erstellung und Verwaltung von Schlüsseln für Windows Sicherer Start“ von Microsoft gestoßen. Dort befinden sich unter dem Kapitel „1.4 Signaturdatenbanken (Db und Dbx)“ diverse Downloadlinks für Windows UEFI-Systeme.

Zur Information:

  • UEFI steht für „Unified Extensible Firmware Interface“ und meint den Nachfolger des BIOS für Windows-PCs. Die UEFI-Oberfläche ist viel moderner gestaltet. Manchmal wird sie auch „UEFI-BIOS“ genannt.
  • Prüfen, ob die Secure Boot (Sicherer Start)-Funktion aktiviert ist, kannst du unter Windows-Sicherheit / Gerätesicherheit / Sicherer Start. Bei erfolgreicher Aktivierung wird Folgendes angezeigt: „Der sichere Start ist aktiviert und verhindert das Laden von Schadsoftware beim Starten Ihres Geräts.“
    "Sicherer Start" ist in Windows 11 aktiviert (unter Windows-Sicherheit / Gerätesicherheit)
  • Sicherer Start ist nur dann aktiviert, wenn im UEFI unter „Booten/Sicheres Booten“ als „Art des Betriebssystems“ der „Windows-UEFI-Modus“ ausgewählt ist (am Beispiel eines ASUS-PCs – auf anderen Marken-Computern können die Angaben abweichen).
    Beispiel-Ansicht aus dem UEFI-BIOS zur Umstellung auf Sicheres Booten (Sicherer Start) in Windows
  • Außerdem muss in Windows unter „Systeminformationen“ der „Sichere Startzustand“ auf EIN geschaltet sein.
    "Systeminformationen" in Windows 11 mit der Konfiguration "Sicherer Startzustand" > EIN

Doch zurück zu den Zertifikaten.

Jetzt folgt die Anleitung, wie man von Microsoft empfohlene Zertifikate aktualisieren kann.

Wie man ein Zertifikat in Windows installiert

Am Beispiel des von Microsoft empfohlenen Zertifikats (wie im vorherigen Abschnitt beschrieben) erkläre ich dir Schritt für Schritt, wie du ein Zertifikat auf deinem Windows (11)-Computer installieren kannst, um ab Juni 2026 weiterhin Sicherheitsupdates zu erhalten und damit das Laden von Schadsoftware beim Starten deines Computers verhindern zu können. Alle anderen Zertifikate kann man auf die gleiche Weise installieren.

Auf geht’s.

  1. Rufe Microsofts Webseite Leitfaden zur Erstellung und Verwaltung von Schlüsseln für Windows Sicherer Start auf.
  2. Scrolle zum Abschnitt 1.4 Signaturdatenbanken (Db und Dbx), wenn du nach Aufruf der o.g. Webseite nicht automatisch dort hingeführt wirst.
  3. Scrolle nun zum Unterabschnitt 1. Windows UEFI CA 2023.

Hier ein Screenshot der unter 2. und 3. genannten Abschnitte:
Auszug aus Microsoft-Seite mit Downloadlink zur Zertifikatsdatei (Stand: 15.08.2025)

  1. Klicke oder tippe auf den dort angegebenen Link (siehe obiger Screenshot) und es öffnet sich automatisch ein Fenster.
  2. Speichere die Zertifikatsdatei windows uefi ca 2023.crt auf deinem Windows-Computer an einer Stelle, wo du sie schnell wiederfinden kannst.
  3. Navigiere nun im (Datei-) Explorer zu der Stelle, wo du die Zertifikatsdatei abgespeichert hast.
  4. Tätige einen Rechtsklick auf die Datei und anschließend einen Linksklick im Auswahlmenü auf Zertifikat installieren (manchmal reicht es auch aus, wenn man einfach einen Doppelklick auf die Datei ausführt). Nun öffnet sich der „Zertifikatimport-Assistent“.
    Wähle "Zertifikat" installieren aus
  5. Wähle in dem sich öffnenden Fenster aus, ob das Zertifikat nur für den „Aktuellen Benutzer“ oder für alle Benutzer auf dem „Lokalen Computer“ gelten soll (ich empfehle „Lokaler Computer“ auszuwählen – schließlich soll dieses Zertifikat dazu dienen, die Secure Boot (Sicherer Start)-Funktion sicherzustellen und zu gewährleisten, dass auch ab Juni 2026 Sicherheitsupdates von Microsoft zur Verfügung gestellt werden – das ist für alle Benutzer:innen nützlich und wichtig). Anschließend bestätige deine Auswahl mit Klick/Tipp auf den Button Weiter.
    Treffe eine Auswahl und klicke/tippe auf den Button Weiter.
  6. Falls eine Meldung von Windows erscheint, wie hier zu sehen, bestätige diese mit JA.
    Bestätige die Meldung des Windows-Hostprozesses mit JA
  7. Nun geht es weiter mit dem „Zertifikatimport-Assistent“. Belasse es an dieser Stelle bei der Auswahl „Zertifikatspeicher automatisch auswählen“ und klicke/tippe auf den Button Weiter.
    Belasse es bei der Vorauswahl "Zertifikatspeicher automatisch auswählen" und klicke/tippe auf Weiter
  8. In dem nächstfolgenden Fenster „Fertigstellen des Assistenten“ klicke/tippe einfach auf den Button Fertig stellen.
    Klicke oder tippe an dieser Stelle einfach auf den Button "Fertig stellen"
  9. Zuguterletzt erscheint ein kleines Fenster „Der Importvorgang war erfolgreich“. Klicke oder tippe auf den Button OK und das Fenster schließt sich.
    Der Importvorgang des Zertifikats wurde erfolgreich abgeschlossen. Schließe das Fenster, indem du auf den Button OK klickst oder tippst.
  10. Fertig. 🙂
  11. Nachprüfen, ob das Zertifikat wirklich installiert wurde, kannst du, indem du den Zertifikatsspeicher aufrufst, wie oben im Abschnitt „Wo findet man Computer-Zertifikate in Windows?“ beschrieben. Das Zertifikat mit der Bezeichnung Windows UEFI CA 2023 muss sich unter Zwischenzertifizierungsstellen > im Ordner Zertifikate befinden.
    Wurde das Zertifikat wie beschrieben installiert, befindet es sich nun im Zertifikatsspeicher von Windows 11

Gratuliere! Hat alles geklappt, konntest du soeben erfolgreich ein (in diesem Fall sehr wichtiges) Zertifikat in Windows 11 installieren und so zu mehr Sicherheit deines Computers beitragen. Außerdem hast du so ganz nebenbei erfahren, an welchen Stellen man die Secure Boot (Sicherer Start)-Funktion aktivieren kann, für die das beschriebene Zertifikat gedacht ist.

So, das war’s für heute von meiner Seite. Mehr passt nicht rein in diesen Artikel. Ich hoffe, ich konnte dir weiterhelfen und sende dir sommerlich heiße Grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht und brauchst du nicht anzugeben. Deine IP-Adresse wird nicht gespeichert. Du darfst ein Pseudonym verwenden. Angenehmer wäre natürlich, dich mit echtem Namen anzusprechen, dein Vorname genügt, denn wir sind hier per "Du". Erforderliche Felder sind mit * markiert.