Let's Encrypt betreibt eine freie und mittlerweile sehr populäre CA für SSL-Zerti­fikate. Deren größte Ein­schränkung besteht in der Gültig­keit von nur 90 Tagen. Daher wird man das Ver­längern und Instal­lieren der Zertifikate mög­lichst automa­tisieren. Der ACME2-Client für Windows bietet ent­sprechende Funktionen.

Wenn man Zertifikate für interne Web-Server, RD Web Access oder WSUS über eine Windows-CA ausstellt, dann kann man diesen Prozess auto­matisieren. Dadurch ver­hindert man zudem, dass Services wegen abge­laufener Zertifi­kate aus­fallen. Benötigt werden dafür ent­sprechende Templates und ein GPO.

Läuft etwa ein SSL-Zertifikat auf einem Web-Server, RD Gateway oder WSUS-Server ab, dann ist deren Service in der Regel nicht mehr zu­gänglich. Um solche Situa­tionen zu ver­meiden, sollte man die Gültig­keit von Zertifi­katen laufend prüfen. Das lässt sich auch mit einem PowerShell-Script erledigen.

Wenn Benutzer aus unsicheren Netz­werken (primär über das Internet) auf eine Remote-Desktop-Bereit­stellung zu­greifen möchten, dann schaltet man ein RD Gateway da­zwischen. Die mit Windows Server 2012 einge­führte Szenario-basierte RDS-Installation verein­facht auch die Ein­richtung des Gateways.

Das Zertifikat-Management bereitet vielen vSphere-Admini­stratoren Bauch­schmerzen. Grün­de dafür waren bis dato die große Zahl an benö­tigten Zertifi­katen sowie die spar­tanische Tools-Aus­stattung. Die Version 7 bringt hier deut­lichen Verbes­serungen und bietet eine Ver­waltung über die GUI.

Für bestimmte Zwecke muss man eine eigene Vor­lage für das An­fordern von Zerti­fikaten erstellen, zum Beispiel für das Sig­nieren oder Ver­schlüsseln von Scripts. Wenn man dann ein Zerti­fikat von einer Windows-CA auf Basis eines solchen Temp­lates anfordert, dann ist dieses aber meistens nicht ver­fügbar.

Power­Shell 5.x unterstützt den IETF-Standard Crypto­graphic Message Syntax (CMS) zur Ver­schlüs­selung von Da­teien oder Log-Einträgen. Dafür be­nötigt es ein Zerti­fikat, das speziell für diesen Zweck ausge­stellt wurde. Möchte man es von einer Windows-CA anfordern, dann muss man dafür erst ein Temp­late ein­richten.

Mozilla stattet Fire­fox mit einer Daten­bank für Zertifikate aus, die ab Werk eine Reihe von Stamm­zertifikaten ent­hält. Ver­teilt man etwa selbst­signierte Zerti­fikate mittels GPO an Clients, dann bleiben sie deshalb für Firefox unbe­kannt. Über eine Ein­stellung kann Firefox aber Zertifi­kate aus dem Windows-Speicher impor­tieren.

Nutzt man auf dem Server zur Ab­sicherung von Ver­bindungen ein Zerti­fikat, dessen Heraus­geber die Clients nicht trauen, dann werden die Be­nutzer mit einer War­nung kon­frontiert. Um dies zu ver­meiden, kann man das Zertifikat in den Store der PCs über­tragen, bevor­zugt über GPO oder auch via PowerShell.

Neben den gängigen GUI- und CLI-Tools ist unter den Bord­mitteln von Windows auch Power­Shell in der Lage, die Aus­stellung eines Zertifikats anzu­fordern. Das dafür zuständige Cmdlet weist zwar einige Ein­schränkungen auf, eignet sich aber zum Beispiel dazu, ein SSL-Zertifikat von einer internen CA aus­stellen zu lassen.