(0) exportieren Drucken
Alle erweitern
20 von 29 fanden dies hilfreich - Dieses Thema bewerten.

Active Directory-Zertifikatsdienste (Übersicht)

Letzte Aktualisierung: März 2008

Betrifft: Windows Server 2008

Mit den Active Directory-Zertifikatsdiensten (AD CS) stehen anpassbare Dienste zum Ausstellen und Verwalten von Zertifikaten mit öffentlichen Schlüsseln zur Verfügung. Diese Zertifikate werden in Softwaresicherheitssystemen mit öffentlichen Schlüsseln verwendet.

In den folgenden Abschnitten erfahren Sie mehr über AD CS, über die erforderlichen und optionalen Features und über die Hardware und Software, die zum Ausführen von AD CS verwendet wird. Am Ende dieses Themas erfahren Sie, wie die Verwaltungsschnittstelle für AD CS geöffnet wird und wie Sie weitere Informationen erhalten.

Features in AD CS

Mit dem Server-Manager können Sie die folgenden Komponenten von AD CS installieren:

  • Zertifizierungsstellen (Certification Authorities, CAs): Stammzertifizierungsstellen und untergeordnete Zertifizierungsstellen werden verwendet, um Zertifikate für Benutzer, Computer und Dienste auszustellen und um die Gültigkeit von Zertifikaten zu verwalten.

  • Zertifizierungsstellen für Webregistrierung: Die Webregistrierung ermöglicht Benutzern, mithilfe eines Webbrowsers eine Verbindung mit einer Zertifizierungsstelle herzustellen, um Zertifikate anzufordern und Zertifikatsperrlisten (Certificate Revocation Lists, CRL) abzurufen.

  • Online-Responder: Der Online-Responder-Dienst lässt Sperrstatusanfragen für bestimmte Zertifikate zu, wertet den Status dieser Zertifikate aus und sendet eine signierte Antwort mit den angeforderten Zertifikatstatusinformationen zurück.

  • Registrierungsdienst für Netzwerkgeräte: Der Registrierungsdienst für Netzwerkgeräte ermöglicht Routern und anderen Netzwerkgeräten, die nicht über Domänenkonten verfügen, das Abrufen von Zertifikaten.

  • Zertifikatregistrierungs-Webdienst: Der Zertifikatregistrierungs-Webdienst ermöglicht Benutzern und Computern das Ausführen der Zertifikatregistrierung, bei der das HTTPS-Protokoll verwendet wird. Zusammen mit dem Zertifikatregistrierungsrichtlinien-Webdienst wird dadurch eine richtlinienbasierte Zertifikatregistrierung ermöglicht, wenn der Clientcomputer nicht Mitglied einer Domäne ist oder wenn für ein Domänenmitglied keine Verbindung mit der Domäne besteht.

  • Zertifikatregistrierungsrichtlinien-Webdienst: Der Zertifikatregistrierungsrichtlinien-Webdienst ermöglicht Benutzern und Computern das Abrufen von Informationen zur Zertifikatregistrierungsrichtlinie. Zusammen mit dem Zertifikatregistrierungs-Webdienst wird dadurch eine richtlinienbasierte Zertifikatregistrierung ermöglicht, wenn der Clientcomputer nicht Mitglied einer Domäne ist oder wenn für ein Domänenmitglied keine Verbindung mit der Domäne besteht.

Vorteile von AD CS

Organisationen können AD CS zum Optimieren der Sicherheit verwenden, indem sie die Identität einer Person, eines Geräts oder Diensts an einen entsprechenden privaten Schlüssel binden. AD CS bietet Organisationen eine kostengünstige, effiziente und sichere Möglichkeit zum Verwalten der Verteilung und der Verwendung von Zertifikaten.

Zu den Anwendungen, die von den AD CS unterstützt werden, zählen Secure/Multipurpose Internet Mail Extensions (S/MIME), sichere Drahtlosnetzwerke, virtuelle private Netzwerke (VPN), IP-Sicherheit (Internet Protocol Security, IPSec), verschlüsselnde Dateisysteme (Encrypting File System, EFS), Smartcard-Anmeldung, Secure Socket Layer/Transport Layer Security (SSL/TLS) und digitale Signaturen.

Die neuen Features von AD CS in Windows Server 2008 R2 umfassen Folgendes:

  • Die Zertifikatregistrierung, bei der das HTTPS-Protokoll verwendet wird.

  • Die Zertifikatregistrierung über die Grenzen der Active Directory-Domänendienste-Gesamtstruktur (Active Directory Domain Services, AD DS) hinaus.

  • Eine verbesserte Unterstützung für die Ausstellung von einer großen Anzahl von Zertifikaten.

  • Die Unterstützung für Zertifizierungsstellen auf einer Server Core-Installation von Windows Server 2008 R2.

Hardware- und Softwareanforderungen

Obwohl AD CS auf einem einzelnen Server bereitgestellt werden kann, bestehen viele Bereitstellungen aus mehreren als Zertifizierungsstellen konfigurierten Servern, weiteren als Online-Responder konfigurierten Servern und Servern, die als Webregistrierungsportale dienen. Zertifizierungsstellen können auf Servern unter einer Vielzahl von Betriebssystemen (einschließlich Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 und Windows 2000 Server) installiert werden. Es werden jedoch nicht alle Features oder Entwurfsanforderungen von allen Betriebssystemen unterstützt. Zudem erfordert ein optimaler Entwurf eine genaue Planung und Überprüfung, bevor Sie AD CS in einer Produktionsumgebung bereitstellen.

Installieren von AD CS

Nachdem Sie die Installation eines Betriebssystems abgeschlossen haben, können Sie mit dem Server-Manager eine Zertifizierungsstelle und andere optionale Komponenten einrichten.

Zusätzliche Konfigurationsschritte müssen mithilfe des entsprechenden Snap-Ins abgeschlossen werden, bevor eine Zertifizierungsstelle oder ein Online-Responder funktionsfähig ist. Weitere Informationen erhalten Sie in den entsprechenden Hilfethemen zu den Snap-Ins Zertifizierungsstelle und Online-Responder.

Verwalten von AD CS

Sie können die AD CS-Rollendienste mit dem Server-Manager oder mithilfe von Snap-Ins der Microsoft Management Console (MMC) verwalten. Führen Sie die folgenden Schritte aus, um die Snap-Ins zu öffnen:

  • Verwenden Sie zum Verwalten einer Zertifizierungsstelle das Snap-In Zertifizierungsstelle. Klicken Sie zum Öffnen des Snap-Ins Zertifizierungsstelle auf Start, klicken Sie auf Ausführen, geben Sie certsrv.msc ein, und klicken Sie auf OK.

  • Verwenden Sie zum Verwalten von Zertifikaten das Snap-In Zertifikate. Klicken Sie zum Öffnen des Snap-Ins Zertifikate auf Start, klicken Sie auf Ausführen, geben Sie certmgr.msc ein, und klicken Sie auf OK.

  • Verwenden Sie zum Verwalten von Zertifikatvorlagen das Snap-In Zertifikatvorlagen. Klicken Sie zum Öffnen des Snap-Ins Zertifikatvorlagen auf Start, klicken Sie auf Ausführen, geben Sie certtmpl.msc ein, und klicken Sie auf OK.

  • Verwenden Sie zum Verwalten eines Online-Responders das Snap-In Online-Responder. Klicken Sie zum Öffnen des Snap-Ins Online-Responder auf Start, klicken Sie auf Ausführen, geben Sie ocsp.msc ein, und klicken Sie auf OK.

noteHinweis
Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) sind für Windows Vista und Windows 7 verfügbar:

Weitere Informationen

  • Weitere Informationen zu AD CS finden Sie in der Hilfe auf Ihrem Server. Öffnen Sie dazu das Snap-In Zertifizierungsstelle, und drücken Sie dann F1, um die Hilfe anzuzeigen.

  • Weitere Informationen (möglicherweise in englischer Sprache) zu AD CS finden Sie in den Artikeln zu den Active Directory-Zertifikatsdiensten (http://go.microsoft.com/fwlink/?LinkId=48545).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.