Windows Server 2008 (R2) Zertifizierungsstelle einrichten

    Active-Directory-Zertifikatdienste sind installiertWährend private oder Workgroup-Rechner für viele Zwecke, wie etwa die EFS-Verschlüsselung von Dateien, selbstgenerierte Schlüssel und selbstsignierte Zertifikate einsetzen, will man diese in einer Organisation in Form einer PKI zentral verwalten. Der erste Schritt in diese Richtung ist der Aufbau einer Zertifizierungs­stelle. Dieser beginnt mit der Installation der Active-Directory-Zertifikatdienste, einer Rolle des Windows Server 2008 R2. Das folgende Setup ist mindestens vonnöten, um Zertifikate im Active Directory zentral zu verwalten.

    Active-Directory-Zertifikatdienste installieren

    Die Zertifikatdienste werden als Serverrolle hinzugefügtIm Server-Manager findet man bei den hinzuzufügenden Rollen die Zertifikatdienste im oberen Drittel, wählt sie aus und klickt auf "Weiter". Für eine Active-Directory-integrierte Zertifizierungsstelle genügt die Minimaloption „Zertifizierungsstelle“ bei den Rollendiensten, die Web-basierten Zertifikatverteiler benötigt man nicht zwingend. Daraus ergibt sich, als Installationstyp „Unternehmen“ zu wählen, um die Active-Directory-Infrastruktur zum Verteilen und Verwalten der Zertifikate auch zu verwenden. Handelt es sich um eine Erstinstallation, wählt man auf der nächsten Seite die Option, einen neuen privaten Schlüssel zu erstellen.

    Bei den zu verwendenden Kryptografie-Einstellungen kann man es bei den vom Assistenten gemachten Vorlagen belassen. Wichtig wird die Eingabe auf der nächsten Seite: Hier wird der Name der Zertifizierungsstelle vergeben, der danach nicht mehr geändert werden kann. Auch der Name des Servers selbst kann nicht mehr geändert werden, nachdem er zur Zertifizierungsstelle ernannt wurde. Die Vorgabe ist ‹Domänenname ohne Gesamtstruktursuffix›-‹Server-Name›-CA. Danach ist die Einrichtung beendet, neu gestartet werden muss der Server nicht.

    Verwenden der Zertifizierungsstelle

    Danach können Clients Zertifikate anfordernWelche Zertifikattypen verfügbar sind, hängt von den konfigurierten Server-Zertifikatvorlagen abActive-Directory-Benutzer können die neue Zertifizierungsstelle sofort verwenden. Um dies zu testen, öffnet man auf dem Client eine Management-Console per mmc.exe, und fügt dort das Snap-In „Zertifikate“ für den aktuellen Benutzer hinzu. Mit der linken Maustaste klickt man auf den Knoten „Eigene Zertifikate“ auf „Alle Aufgaben → Neues Zertifikat anfordern“. Arbeitet der Zertifikatserver, sieht man die Liste der von ihm angebotenen Zertifikattypen aus den Server-Zertifikatvorlagen und kann ein entsprechendes Zertifikat für den Benutzer anfordern.

    Funktioniert dies noch nicht, muss man gegebenenfalls per gpupdate /force die die Computer- und Benutzer-Gruppenrichtlinien neu laden. Damit der neue Zertifikatserver als vertrauenswürdige Stammzertifizierungsstelle akzeptiert wird, ist es außerdem notwendig, den Benutzer ab- und wieder anzumelden.

    3 Kommentare

    Bild von Aleksandar Herbrich
    12. Februar 2012 - 15:20

    Hallo, ich habe eine Zertifizierungsstelle unter Windows Server 2003 Enterprise, nun würde ich aber gerne den Web Verteiler etwas umgestalten (in in meine bestehende Website integrieren) damit man den Usern, die sich an System einloggen können, alle Dienste über eine zentralisierte Weboberfläche zur Verfügung stellen kann, geht das??

    Bild von Hakan AKIN
    Hakan AKIN sagt:
    12. August 2014 - 10:37

    Hallo,
    wir würden root CA für unsere Domäne haben, dh. wir haben eine interne CA-Stelle in Unternehmen, ist aber nur internes Gebraucht. Nun wollen wir, dass unsere domäne root CA zertifiziert wird. Und wir für unsere emailserver und andere Server Zertifikate ausstellen können. Also einen PKI. Wo können wir root CA uns besorgen ?
    LG
    HA

    Bild von Hans Peter
    Hans Peter sagt:
    13. August 2014 - 22:08

    Hi Hakan,

    musst Du bei offizieller CA Zertifikart beantragen.
    Machst Du PKI auf separate Maschine nix auf domän Controller

    Liest du vorher PKI Doku.

    Alles ischt dann gut. Guckst du you tube zu PKI.

    Viele Grüss
    Machlied alias Hans Peter