Tags: Sicherheit, Zertifikate
Während private oder Workgroup-Rechner für viele Zwecke, wie etwa die EFS-Verschlüsselung von Dateien, selbstgenerierte Schlüssel und selbstsignierte Zertifikate einsetzen, will man diese in einer Organisation in Form einer PKI zentral verwalten. Der erste Schritt in diese Richtung ist der Aufbau einer Zertifizierungsstelle. Dieser beginnt mit der Installation der Active-Directory-Zertifikatdienste, einer Rolle des Windows Server 2008 R2.
Das folgende Setup ist mindestens vonnöten, um Zertifikate im Active Directory zentral zu verwalten.
Active-Directory-Zertifikatdienste installieren
Im Server-Manager findet man bei den hinzuzufügenden Rollen die Zertifikatdienste im oberen Drittel, wählt sie aus und klickt auf "Weiter". Für eine Active-Directory-integrierte Zertifizierungsstelle genügt die Minimaloption „Zertifizierungsstelle“ bei den Rollendiensten, die Web-basierten Zertifikatverteiler benötigt man nicht zwingend. Daraus ergibt sich, als Installationstyp „Unternehmen“ zu wählen, um die Active-Directory-Infrastruktur zum Verteilen und Verwalten der Zertifikate auch zu verwenden. Handelt es sich um eine Erstinstallation, wählt man auf der nächsten Seite die Option, einen neuen privaten Schlüssel zu erstellen.
Bei den zu verwendenden Kryptografie-Einstellungen kann man es bei den vom Assistenten gemachten Vorlagen belassen. Wichtig wird die Eingabe auf der nächsten Seite: Hier wird der Name der Zertifizierungsstelle vergeben, der danach nicht mehr geändert werden kann. Auch der Name des Servers selbst kann nicht mehr geändert werden, nachdem er zur Zertifizierungsstelle ernannt wurde. Die Vorgabe ist ‹Domänenname ohne Gesamtstruktursuffix›-‹Server-Name›-CA. Danach ist die Einrichtung beendet, neu gestartet werden muss der Server nicht.
Verwenden der Zertifizierungsstelle
Active-Directory-Benutzer können die neue Zertifizierungsstelle sofort verwenden. Um dies zu testen, öffnet man auf dem Client eine Management-Console per mmc.exe, und fügt dort das Snap-In „Zertifikate“ für den aktuellen Benutzer hinzu. Mit der linken Maustaste klickt man auf den Knoten „Eigene Zertifikate“ auf „Alle Aufgaben → Neues Zertifikat anfordern“. Arbeitet der Zertifikatserver, sieht man die Liste der von ihm angebotenen Zertifikattypen aus den Server-Zertifikatvorlagen und kann ein entsprechendes Zertifikat für den Benutzer anfordern.
Funktioniert dies noch nicht, muss man gegebenenfalls per gpupdate /force die die Computer- und Benutzer-Gruppenrichtlinien neu laden. Damit der neue Zertifikatserver als vertrauenswürdige Stammzertifizierungsstelle akzeptiert wird, ist es außerdem notwendig, den Benutzer ab- und wieder anzumelden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- RDP-Dateien mit einem Zertifikat signieren
- AD-Zertifikatsdienste (AD CS) von SHA-1 auf SHA-2 migrieren: Gründe und Hindernisse
- PowerShell-Scripts signieren mit Zertifikaten einer AD-Zertifizierungsstelle
- Ausführungsrichtlinien (Execution Policy) für PowerShell-Scripts über GPO setzen
- WSUS für SSL-Verbindung konfigurieren
Weitere Links
3 Kommentare
Hallo, ich habe eine Zertifizierungsstelle unter Windows Server 2003 Enterprise, nun würde ich aber gerne den Web Verteiler etwas umgestalten (in in meine bestehende Website integrieren) damit man den Usern, die sich an System einloggen können, alle Dienste über eine zentralisierte Weboberfläche zur Verfügung stellen kann, geht das??
Hallo,
wir würden root CA für unsere Domäne haben, dh. wir haben eine interne CA-Stelle in Unternehmen, ist aber nur internes Gebraucht. Nun wollen wir, dass unsere domäne root CA zertifiziert wird. Und wir für unsere emailserver und andere Server Zertifikate ausstellen können. Also einen PKI. Wo können wir root CA uns besorgen ?
LG
HA
Hi Hakan,
musst Du bei offizieller CA Zertifikart beantragen.
Machst Du PKI auf separate Maschine nix auf domän Controller
Liest du vorher PKI Doku.
Alles ischt dann gut. Guckst du you tube zu PKI.
Viele Grüss
Machlied alias Hans Peter