SAN-Zertifikate ausstellen über Active Directory CA

    , 03.09.2014
    Tags: ,

    SSL-ZertifikateBetreibt man RD Session Hosts oder IIS-Web-Server in größerer Zahl, dann müsste man für jede Ma­schine ein eigenes SSL-Zerti­fikat aus­stellen, um einen Namens­konflikt zwischen dem Host­name und dem im Zerti­fikat ge­speicher­ten Antrag­steller zu ver­meiden. Die X.509-Erweiterung Subject Alternative Name (SAN) ver­ein­facht diese Auf­gabe, indem man mit einem ein­zigen Zerti­fikat mehrere Rech­ner schützen kann.

    Grundsätzlich ließe sich eine Farm von Terminal- oder Web-Servern auch mit einem Wildcard-Zertifikat abdecken, solange sie sich innerhalb einer Domäne befinden. Ist es beispielsweise auf *.contoso.com ausgestellt, dann könnte man es auf www1.contoso.com oder auf rdsh.contoso.com installieren.

    SAN-Zertifikate unabhängig von Domänen

    In dieser Hinsicht sind SAN-Zertifikate flexibler, weil sie sich auch auf Hosts nutzen lassen, die unterschiedlichen Domänen angehören, also etwa www.contoso.com und www.contoso.de. Außerdem bieten sie eine Lösung für Virtual Hosting, wo mehrere Domänen auf einem Server unter einer IP-Adresse betrieben werden.

    Die Certificate Authority des AD unterstützt die SAN-Erweiterungen, so dass man derartige Zertifikate auch selbst ausstellen kann. Für SSL-Zertifikate, die man auf einer RDS-Bereitstellung oder für HTTP-Server verwendet, wird man in der Regel das WebServer-Template oder eine davon abgeleitete Schablone verwenden.

    MMC-Konfiguration

    Das Tool für diesen Zweck ist das MMC-Snapin Zertifikate. Dieses lädt man nach dem Start von mmc.exe über das Menü Datei => Snap-ins hinzufügen oder entfernen und entscheidet sich im folgenden Dialog dafür, das Zertifikat unter dem Computerkonto anzufordern.

    Das Zertifikat soll im Namen des Computerkontos angefordert werden.

    Nun wechselt man im Konsolenstamm zu Zertifikate (Lokaler Computer) => Eigene Zertifikate und führt im Kontextmenü des rechten Fensters den Befehl Alle Aufgaben => Neues Zertifikat anfordern aus.

    Im nächsten Schritt fordert startet man den Wizard zur Anforderung eines Zertifikats.

    Die beiden anschließenden Dialoge bestätigt man mit der Schaltfläche Weiter und landet dann auf einer Übersicht über die verfügbaren Templates.

    Das Snap-in zeigt standardmäßig nur die tatsächlich nutzbaren Vorlagen.

    Fehlende Rechte für Vorlagen

    Allerdings kann es sein, dass die gewünschte Schablone nicht aufscheint. Aktiviert man in diesem Fall die Option Alle Vorlagen anzeigen, dann ist die gewünschte Vorlage zwar sichtbar, aber wahrscheinlich aufgrund mangelnder Rechte als nicht verfügbar markiert. In diesem Fall muss man dem Computerkonto die nötigen Privilegien einräumen.

    Fehlen die Rechte zur Verwendung einer Vorlage, dann ist dieses als nicht verfügbar markiert.

    Dazu lädt man das Snapin Zertifikatsvorlagen in die MMC und öffnet die Eigenschaften des betreffenden Templates. Im folgenden Dialog wechselt man zur Registerkarte Sicherheit und fügt den für die Anforderung verwendeten Computer hinzu. Diesem Konto erteilt man die Rechte Lesen, Schreiben und Registrieren.

    Dem Computerkonto müssen in der Vorlagenverwaltung die nötigen Rechte erteilt werden.

    Namen der Hosts eintragen

    Entscheidet man sich für die Vorlage Webserver, dann muss man nach dem Aktivieren der Checkbox folgenden Link öffnen: Es werden zusätzliche Informationen für diese Zertifikats­registrierung benötigt. Klicken Sie hier, um die Einstellungen zu konfigurieren. Daraufhin öffnet sich ein weiterer Dialog, in dem die Subject Alternative Names eingetragen werden.

    Auf der Registerkarte Antragsteller gibt man den Hostnamen und die alternativen Namen ein.

    Auf der Registerkarte Antragsteller wählt man zu diesem Zweck im Pulldown-Menü Typ unter Antragstellername den Eintrag Allgemeiner Name und trägt als Wert den Distinguished Name eines (lokalen) Computers ein. Danach legt man DNS als Typ unter Alternativer Name fest und gibt hier die FQDNs aller Hosts ein, die dieses Zertifikat nutzen sollen.

    Privaten Schlüssel exportierbar machen

    Nachdem das Zertifikat auf andere Computer übertragen werden soll, muss der Private Key exportierbar sein. Um dies zu erreichen, wechselt man zur Registerkarte Privater Schlüssel und aktiviert die Checkbox Privaten Schlüssel exportierbar machen. Der besseren Verwaltbarkeit wegen ist es schließlich noch sinnvoll, noch unter dem Reiter Allgemein den Anzeigenamen und die Beschreibung für das Zertifikat einzugeben.

    Um das Zertifikat auf anderen Maschinen importieren zu können, muss man den privaten Schlüssel exportierbar machen.

    Nun kann man den Request über die Schaltfläche Registrieren abschicken, und nach erfolgreichem Abschluss des Vorgangs sollte sich das Zertifikat im lokalen Speicher befinden. Von dort kann man es exportieren, indem man in seinem Kontextmenü unter Alle Aufgaben den entsprechenden Befehl ausführt.

    Nach dem erfolgreichen Abschluss des Vorgangs kann man sich das Zertifikat anzeigen lassen.

    Je nachdem für welche Server-Rollen man es verwenden möchte, stehen auf den Zielrechnern die nötigen Tools für den Import zur Verfügung. Für einen Web-Server wird man in der Regel dafür den IIS Manager bemühen, für RD Session Hosts muss man zu diesem Zweck auf die Kommandozeile zurückgreifen.

    Keine Kommentare