Warum der Wazuh-Agent keine Windows Certificate Store Zertifikate nutzen kann – und was das für deine Sicherheitsarchitektur bedeutet

von

Wenn Unternehmen beginnen, Wazuh-Agenten per Zertifikat zu authentifizieren, kommt schnell eine naheliegende Frage auf:

Kann der Wazuh-Agent Zertifikate aus dem Windows Certificate Store nutzen – z. B. aus „Local Machine → Personal“?

Die intuitive Antwort wäre:
„Natürlich – Windows verwaltet Zertifikate doch zentral, warum sollte Wazuh sie nicht einfach dort abholen?“

Die tatsächliche Antwort lautet jedoch:

Nein – der Wazuh-Agent unterstützt aktuell keine Zertifikate aus dem Windows Certificate Store.
Er benötigt zwingend PEM-Zertifikate im Agent-Dateisystem.

Und genau darum geht es in diesem Beitrag.

1. Wie Wazuh Agent Identity Verification heute funktioniert

Wazuh bietet eine zusätzliche Sicherheitsebene für die Agentenregistrierung:
Agent Identity Verification via TLS-Zertifikaten.

Der Mechanismus basiert auf drei Dateien, die lokal auf dem Agent gespeichert werden müssen:

  • sslagent.cert → Zertifikat im PEM-Format
  • sslagent.key → Privater Schlüssel
  • optional: sslagent.ca → CA-Bundle

Diese Dateien müssen …

  1. via OpenSSL erzeugt werden,
  2. auf den Agent kopiert werden,
  3. per ossec.conf referenziert werden.

Typischer Windows-Agent-Pfad:

C:\Program Files (x86)\ossec-agent\sslagent.cert
C:\Program Files (x86)\ossec-agent\sslagent.key

Erst dann kann der Manager während der Enrollment-Phase prüfen:

  • Ist das Zertifikat gültig?
  • Wurde es von der erwarteten CA signiert?
  • Passt der CN zum erwarteten Hostnamen/IP?

2. Warum der Windows Zertifikatsspeicher nicht genutzt werden kann

Der Wazuh-Agent ist nicht an die Windows CryptoAPI angebunden.
Das bedeutet:

  • Er kann keine Zertifikate aus dem Certificate Store lesen
  • Er kann keine Private Keys aus geschützten Key-Containern abrufen
  • Er versteht ausschließlich PEM-Dateien auf dem lokalen Dateisystem

Der entscheidende Satz aus der Community-Antwort:

„Wazuh agents do not natively support using certificates directly from the Windows Certificate Store for identity verification during enrollment.“

Das ist keine Einschränkung von Windows – sondern schlicht eine fehlende Implementierung im Wazuh-Agent.

3. Warum viele Unternehmen genau diese Funktion vermissen

Der Windows Certificate Store bietet starke Vorteile:

  • Zentral verwaltbar via GPO, Intune oder SCCM
  • Private Keys können nicht einfach kopiert werden
  • Zertifikate können automatisch erneuert werden
  • PKI-Standards bereits im Unternehmen vorhanden

Es ist also absolut nachvollziehbar, dass Admins erwarten:

„Warum kann Wazuh nicht das nutzen, was Windows ohnehin schon hat?“

Dieses Feature ist seit Jahren gewünscht – und es gibt sogar ein offizielles Issue dafür:

GitHub Feature Request
https://github.com/wazuh/wazuh/issues/1451

4. Workarounds – was heute möglich ist

Solange Wazuh keine Windows-Crypto-Unterstützung implementiert, gibt es nur folgende Alternativen:

Zertifikate per Skript exportieren und als PEM bereitstellen

z. B. via PowerShell:

$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*agent01*" }
$cert.Export("Cert") | Set-Content "C:\Program Files (x86)\ossec-agent\sslagent.cert"

Beachte: Private Keys im Windows Store sind oft nicht exportierbar → dieser Weg ist nur mit exportierbaren Schlüsseln nutzbar (und damit weniger sicher).

Zertifikate komplett außerhalb von Windows erstellen

Viele Unternehmen machen Folgendes:

  • CA → erstellt Zertifikat + Schlüssel
  • Schlüssel bleibt auf einem sicheren Linux-System
  • Nur PEM-Dateien werden auf den Windows-Agent kopiert

Das funktioniert zuverlässig – entspricht aber nicht immer unternehmensinternen PKI-Richtlinien.

5. Was in Zukunft passieren muss

Die richtige Lösung wäre:

Wazuh-Agent + native Nutzung des Windows Certificate Store
mit Unterstützung für CNG, Protected Key Storage und CryptoAPI.

Das würde ermöglichen:

  • Private Keys bleiben geschützt
  • Automatische Zertifikatrotation per GPO / Intune
  • Keine Klartext-PEM-Dateien mehr auf Windows-Systemen
  • Einfache Integration in bestehende PKI-Landschaften

Das GitHub-Issue ist genau für dieses Feature gedacht. Wenn dein Unternehmen diese Funktion braucht → unbedingt dort upvoten oder kommentieren.

6. Fazit

FrageAntwort
Kann der Wazuh-Agent Zertifikate aus dem Windows Certificate Store nutzen?❌ Nein
Müssen Zertifikate als PEM-Dateien vorliegen?✔ Ja
Gibt es einen Workaround?🔧 Nur via manueller Exporte oder externe Erstellung
Gibt es ein offizielles Feature Request dafür?✔ Ja – Issue #1451

Wenn du heute Sicherheit und Automatisierung möchtest, führt kein Weg an manuellen PEM-Deployments vorbei.
Aber mit zunehmender Verbreitung von Enterprise-Windows-Deployments dürfte dieses Feature langfristig unvermeidlich werden.

https://wazuh.slack.com/archives/C0A933R8E/p1764838327069629

Mehr zu Wazuh …

Mehr zum Wazuh Ambassador Program …