Zertifikate
Von Windows 10 zu Azure-VMs über Point-2-Site-VPN verbinden
Ein virtuelles Netzwerk in Azure kann auf die Cloud beschränkt bleiben, muss also keine Route zum öffentlichen Internet haben. So können Sie Server in der Cloud platzieren, ohne dass diese aus dem Internet erreichbar sind. Um sich mit ihnen zu verbinden, bietet Azure den verwalteten Dienst Gateway für virtuelle Netzwerke.
BitLocker-Laufwerke entsperren mit einem Recovery Agent
Wenn Benutzer auf verschlüsselte Laufwerke nicht mehr zugreifen können, etwa weil sie das Passwort vergessen haben, dann muss man den betreffenden Datenträger über andere Mechanismen entsperren. Dazu zählen Wiederherstellungsagenten, die das Laufwerk mittels Zertifikat freischalten können.
Zertifikat für BitLocker Recovery Agent ausstellen
BitLocker unterstützt mehrere Mechanismen, um ein verschlüsseltes Laufwerk zu entsperren. Dazu gehören auch Wiederherstellungsagenten, mit deren Zertifikat man einen BitLocker-Protector hinzufügen kann. Für die Ausstellung eines solchen Zertifikats benötigt man eine eigens dafür angepasste Vorlage.
Lets Encrypt-Zertifikat mit ACME2-Client ausstellen, installieren, automatisch erneuern
Let's Encrypt betreibt eine freie und mittlerweile sehr populäre CA für SSL-Zertifikate. Deren größte Einschränkung besteht in der Gültigkeit von nur 90 Tagen. Daher wird man das Verlängern und Installieren der Zertifikate möglichst automatisieren. Der ACME2-Client für Windows bietet entsprechende Funktionen.
SSL-Zertifikate über AD-Zertifizierungsstelle und GPO automatisch ausstellen und erneuern
Wenn man Zertifikate für interne Web-Server, RD Web Access oder WSUS über eine Windows-CA ausstellt, dann kann man diesen Prozess automatisieren. Dadurch verhindert man zudem, dass Services wegen abgelaufener Zertifikate ausfallen. Benötigt werden dafür entsprechende Templates und ein GPO.
Alle Windows-Server auf ablaufende Zertifikate prüfen mit PowerShell
Läuft etwa ein SSL-Zertifikat auf einem Web-Server, RD Gateway oder WSUS-Server ab, dann ist deren Service in der Regel nicht mehr zugänglich. Um solche Situationen zu vermeiden, sollte man die Gültigkeit von Zertifikaten laufend prüfen. Das lässt sich auch mit einem PowerShell-Script erledigen.
RD Gateway installieren, Zertifikat zuweisen, CAP und RAP konfigurieren
Wenn Benutzer aus unsicheren Netzwerken (primär über das Internet) auf eine Remote-Desktop-Bereitstellung zugreifen möchten, dann schaltet man ein RD Gateway dazwischen. Die mit Windows Server 2012 eingeführte Szenario-basierte RDS-Installation vereinfacht auch die Einrichtung des Gateways.
Zertifikate für vCenter 7 im vSphere Client ausstellen, erneuern oder ersetzen
Das Zertifikat-Management bereitet vielen vSphere-Administratoren Bauchschmerzen. Gründe dafür waren bis dato die große Zahl an benötigten Zertifikaten sowie die spartanische Tools-Ausstattung. Die Version 7 bringt hier deutlichen Verbesserungen und bietet eine Verwaltung über die GUI.
Lösung für "Die angeforderte Zertifikatvorlage wird von dieser Zertifizierungsstelle (CA) nicht unterstützt"
Für bestimmte Zwecke muss man eine eigene Vorlage für das Anfordern von Zertifikaten erstellen, zum Beispiel für das Signieren oder Verschlüsseln von Scripts. Wenn man dann ein Zertifikat von einer Windows-CA auf Basis eines solchen Templates anfordert, dann ist dieses aber meistens nicht verfügbar.
Zertifikat zur Dokumentenverschlüsselung (Cryptographic Message Syntax) ausstellen
PowerShell 5.x unterstützt den IETF-Standard Cryptographic Message Syntax (CMS) zur Verschlüsselung von Dateien oder Log-Einträgen. Dafür benötigt es ein Zertifikat, das speziell für diesen Zweck ausgestellt wurde. Möchte man es von einer Windows-CA anfordern, dann muss man dafür erst ein Template einrichten.