Tags: Active Directory, Zertifikate
Betreibt man RD Session Hosts oder IIS-Web-Server in größerer Zahl, dann müsste man für jede Maschine ein eigenes SSL-Zertifikat ausstellen, um einen Namenskonflikt zwischen dem Hostname und dem im Zertifikat gespeicherten Antragsteller zu vermeiden. Die X.509-Erweiterung Subject Alternative Name (SAN) vereinfacht diese Aufgabe, indem man mit einem einzigen Zertifikat mehrere Rechner schützen kann.
Grundsätzlich ließe sich eine Farm von Terminal- oder Web-Servern auch mit einem Wildcard-Zertifikat abdecken, solange sie sich innerhalb einer Domäne befinden. Ist es beispielsweise auf *.contoso.com ausgestellt, dann könnte man es auf www1.contoso.com oder auf rdsh.contoso.com installieren.
SAN-Zertifikate unabhängig von Domänen
In dieser Hinsicht sind SAN-Zertifikate flexibler, weil sie sich auch auf Hosts nutzen lassen, die unterschiedlichen Domänen angehören, also etwa www.contoso.com und www.contoso.de. Außerdem bieten sie eine Lösung für Virtual Hosting, wo mehrere Domänen auf einem Server unter einer IP-Adresse betrieben werden.
Die Certificate Authority des AD unterstützt die SAN-Erweiterungen, so dass man derartige Zertifikate auch selbst ausstellen kann. Für SSL-Zertifikate, die man auf einer RDS-Bereitstellung oder für HTTP-Server verwendet, wird man in der Regel das WebServer-Template oder eine davon abgeleitete Schablone verwenden.
MMC-Konfiguration
Das Tool für diesen Zweck ist das MMC-Snapin Zertifikate. Dieses lädt man nach dem Start von mmc.exe über das Menü Datei => Snap-ins hinzufügen oder entfernen und entscheidet sich im folgenden Dialog dafür, das Zertifikat unter dem Computerkonto anzufordern.
Nun wechselt man im Konsolenstamm zu Zertifikate (Lokaler Computer) => Eigene Zertifikate und führt im Kontextmenü des rechten Fensters den Befehl Alle Aufgaben => Neues Zertifikat anfordern aus.
Die beiden anschließenden Dialoge bestätigt man mit der Schaltfläche Weiter und landet dann auf einer Übersicht über die verfügbaren Templates.
Fehlende Rechte für Vorlagen
Allerdings kann es sein, dass die gewünschte Schablone nicht aufscheint. Aktiviert man in diesem Fall die Option Alle Vorlagen anzeigen, dann ist die gewünschte Vorlage zwar sichtbar, aber wahrscheinlich aufgrund mangelnder Rechte als nicht verfügbar markiert. In diesem Fall muss man dem Computerkonto die nötigen Privilegien einräumen.
Dazu lädt man das Snapin Zertifikatsvorlagen in die MMC und öffnet die Eigenschaften des betreffenden Templates. Im folgenden Dialog wechselt man zur Registerkarte Sicherheit und fügt den für die Anforderung verwendeten Computer hinzu. Diesem Konto erteilt man die Rechte Lesen, Schreiben und Registrieren.
Namen der Hosts eintragen
Entscheidet man sich für die Vorlage Webserver, dann muss man nach dem Aktivieren der Checkbox folgenden Link öffnen: Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt. Klicken Sie hier, um die Einstellungen zu konfigurieren. Daraufhin öffnet sich ein weiterer Dialog, in dem die Subject Alternative Names eingetragen werden.
Auf der Registerkarte Antragsteller wählt man zu diesem Zweck im Pulldown-Menü Typ unter Antragstellername den Eintrag Allgemeiner Name und trägt als Wert den Distinguished Name eines (lokalen) Computers ein. Danach legt man DNS als Typ unter Alternativer Name fest und gibt hier die FQDNs aller Hosts ein, die dieses Zertifikat nutzen sollen.
Privaten Schlüssel exportierbar machen
Nachdem das Zertifikat auf andere Computer übertragen werden soll, muss der Private Key exportierbar sein. Um dies zu erreichen, wechselt man zur Registerkarte Privater Schlüssel und aktiviert die Checkbox Privaten Schlüssel exportierbar machen. Der besseren Verwaltbarkeit wegen ist es schließlich noch sinnvoll, noch unter dem Reiter Allgemein den Anzeigenamen und die Beschreibung für das Zertifikat einzugeben.
Nun kann man den Request über die Schaltfläche Registrieren abschicken, und nach erfolgreichem Abschluss des Vorgangs sollte sich das Zertifikat im lokalen Speicher befinden. Von dort kann man es exportieren, indem man in seinem Kontextmenü unter Alle Aufgaben den entsprechenden Befehl ausführt.
Je nachdem für welche Server-Rollen man es verwenden möchte, stehen auf den Zielrechnern die nötigen Tools für den Import zur Verfügung. Für einen Web-Server wird man in der Regel dafür den IIS Manager bemühen, für RD Session Hosts muss man zu diesem Zweck auf die Kommandozeile zurückgreifen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- Mit Zertifikaten an Azure Active Directory authentifizieren
- Authentifizierung ohne Passwörter mit Windows Hello for Business
- Nicht mehr existierende Zertifizierungsstellen aus dem Active Directory entfernen
- AD-Zertifikatsdienste (AD CS) von SHA-1 auf SHA-2 migrieren: Gründe und Hindernisse