Während private oder Workgroup-Rechner für viele Zwecke, wie etwa die EFS-Verschlüsselung von Dateien, selbstgenerierte Schlüssel und selbstsignierte Zertifikate einsetzen, will man diese in einer Organisation in Form einer PKI zentral verwalten. Der erste Schritt in diese Richtung ist der Aufbau einer Zertifizierungsstelle. Dieser beginnt mit der Installation der Active-Directory-Zertifikatdienste, einer Rolle des Windows Server 2008 R2. Das folgende Setup ist mindestens vonnöten, um Zertifikate im Active Directory zentral zu verwalten.

Active-Directory-Zertifikatdienste installieren

Im Server-Manager findet man bei den hinzuzufügenden Rollen die Zertifikatdienste im oberen Drittel, wählt sie aus und klickt auf „Weiter“. Für eine Active-Directory-integrierte Zertifizierungsstelle genügt die Minimaloption „Zertifizierungsstelle“ bei den Rollendiensten, die Web-basierten Zertifikatverteiler benötigt man nicht zwingend. Daraus ergibt sich, als Installationstyp „Unternehmen“ zu wählen, um die Active-Directory-Infrastruktur zum Verteilen und Verwalten der Zertifikate auch zu verwenden. Handelt es sich um eine Erstinstallation, wählt man auf der nächsten Seite die Option, einen neuen privaten Schlüssel zu erstellen.

Bei den zu verwendenden Kryptografie-Einstellungen kann man es bei den vom Assistenten gemachten Vorlagen belassen. Wichtig wird die Eingabe auf der nächsten Seite: Hier wird der Name der Zertifizierungsstelle vergeben, der danach nicht mehr geändert werden kann. Auch der Name des Servers selbst kann nicht mehr geändert werden, nachdem er zur Zertifizierungsstelle ernannt wurde. Die Vorgabe ist ‹Domänenname ohne Gesamtstruktursuffix›-‹Server-Name›-CA. Danach ist die Einrichtung beendet, neu gestartet werden muss der Server nicht.

Verwenden der Zertifizierungsstelle

Active-Directory-Benutzer können die neue Zertifizierungsstelle sofort verwenden. Um dies zu testen, öffnet man auf dem Client eine Management-Console per mmc.exe, und fügt dort das Snap-In „Zertifikate“ für den aktuellen Benutzer hinzu. Mit der linken Maustaste klickt man auf den Knoten „Eigene Zertifikate“ auf „Alle Aufgaben → Neues Zertifikat anfordern“. Arbeitet der Zertifikatserver, sieht man die Liste der von ihm angebotenen Zertifikattypen aus den Server-Zertifikatvorlagen und kann  ein entsprechendes Zertifikat für den Benutzer anfordern.

Funktioniert dies noch nicht, muss man gegebenenfalls per gpupdate /force die die Computer- und Benutzer-Gruppenrichtlinien neu laden. Damit der neue Zertifikatserver als vertrauenswürdige Stammzertifizierungsstelle akzeptiert wird, ist es außerdem notwendig, den Benutzer ab- und wieder anzumelden.