(0) exportieren Drucken
Alle erweitern
5 von 9 fanden dies hilfreich - Dieses Thema bewerten.

Schrittweise Anleitung zu den Windows Server Active Directory-Zertifikatdiensten

Letzte Aktualisierung: November 2008

Betrifft: Windows Server 2008

noteHinweis
Sie können eine Kopie dieses Dokuments unter http://go.microsoft.com/fwlink/?LinkId=90856 (möglicherweise in englischer Sprache) herunterladen.

In dieser schrittweisen Anleitung ist beschrieben, wie Sie eine Basiskonfiguration der Active Directory®-Zertifikatdienste (Active Directory Certificate Services, AD CS) in einer Testumgebung einrichten.

Mit AD CS unter Windows Server® 2008 stehen anpassbare Dienste zum Erstellen und Verwalten von Zertifikaten mit öffentlichen Schlüsseln zur Verfügung. Diese Zertifikate werden in Softwaresicherheitssystemen mit öffentlichen Schlüsseln verwendet.

Inhalt dieses Dokuments:

  • Übersicht über die AD CS-Features

  • Anforderungen für die Verwendung von AD CS

  • Vorgehensweisen zum Einrichten einer Basistestumgebung für das Testen von AD CS auf einer geringen Anzahl an Computern

  • Vorgehensweise zum Einrichten einer erweiterten Testumgebung für das Testen von AD CS auf einer größeren Anzahl an Computern zum Zwecke einer realistischeren Simulation von wirklichkeitsgetreuen Konfigurationen

Übersicht über die AD CS-Technologie

Mit der Option Active Directory-Zertifikatdienste im Assistenten zum Hinzufügen von Rollen können Sie die folgenden Komponenten von AD CS einrichten:

  • Zertifizierungsstellen (Certification Authorities, CAs) Stammzertifizierungsstellen und untergeordnete Zertifizierungsstellen werden verwendet, um Zertifikate für Benutzer, Computer und Dienste auszustellen und um deren Gültigkeit zu verwalten.

  • Webregistrierung von Zertifizierungsstellen Mithilfe der Webregistrierung können Benutzer über einen Webbrowser eine Verbindung mit einer Zertifizierungsstelle herstellen, um folgende Aktionen auszuführen:

    • Anfordern von Zertifikaten und Überprüfen von Zertifikatanforderungen

    • Abrufen von Zertifikatsperrlisten

    • Ausführen der Smartcard-Zertifikatregistrierung

  • Online-Responderdienst Der Online-Responderdienst implementiert das Online Certificate Status-Protokoll (OCSP) durch Entschlüsseln von Sperrstatusanforderungen für bestimmte Zertifikate, Auswerten des Status dieser Zertifikate und Zurücksenden einer signierten Antwort mit den angeforderten Zertifikatstatusinformationen.

    ImportantWichtig
    Online-Responder können als Alternative zu Zertifikatsperrlisten oder als Erweiterung davon verwendet werden, um Clients Zertifikatsperrdaten bereitzustellen. Online-Responder von Microsoft basieren auf RFC 2560 für OCSP und sind damit kompatibel. Weitere Informationen zu RFC 2560 finden Sie auf der IETF-Website (http://go.microsoft.com/fwlink/?LinkID=67082, möglicherweise in englischer Sprache).

  • Registrierungsdienst für Netzwerkgeräte Mit dem Registrierungsdienst für Netzwerkgeräte können Router und andere Netzwerkgeräte auf SCEP (Simple Certificate Enrollment-Protokoll) basierende Zertifikate von Cisco Systems Inc. abrufen.

    noteHinweis
    SCEP wurde entwickelt, um die sichere skalierbare Ausstellung von Zertifikaten für Netzwerkgeräte mithilfe von vorhandenen Zertifizierungsstellen zu unterstützen. Das Protokoll unterstützt die Verteilung öffentlicher Schlüssel durch Zertifizierungsstellen und Registrierungsstellen, die Zertifikatregistrierung und Zertifikatsperrung, Zertifikatabfragen und Zertifikatsperrungsabfragen.

Anforderungen für die Verwendung von AD CS

Zertifizierungsstellen können auf Servern unter einer Vielzahl von Betriebssystemen, einschließlich Windows® 2000 Server, Windows Server® 2003 und Windows Server 2008, eingerichtet werden. Es werden jedoch nicht alle Features oder Entwurfsanforderungen von allen Betriebssystemen unterstützt. Zudem erfordert ein optimaler Entwurf eine genaue Planung und Überprüfung, bevor Sie AD CS in einer Produktionsumgebung bereitstellen. Obwohl Sie zur Bereitstellung von AD CS nur einen einzigen Server für eine einzige Zertifizierungsstelle benötigen, sind für viele Bereitstellungen mehrere Server erforderlich, die als Stamm-, Richtlinien- und Ausstellungszertifizierungsstellen oder Online-Responder konfiguriert sind.

noteHinweis
Für eine Server Core-Installation von Windows Server 2008 und für Windows Server 2008 für Itanium-basierte Systeme ist eine begrenzte Anzahl von Serverrollen verfügbar.

In der Tabelle sind die AD CS-Komponenten aufgeführt, die unter verschiedenen Editionen von Windows Server 2008 konfiguriert werden können.

 

Komponenten Web Standard Enterprise Datacenter

Zertifizierungsstelle

Nein

Ja

Ja

Ja

Registrierungsdienst für Netzwerkgeräte

Nein

Nein

Ja

Ja

Online-Responderdienst

Nein

Nein

Ja

Ja

Die folgenden Features sind auf Servern unter Windows Server 2008 verfügbar, die als Zertifizierungsstellen konfiguriert wurden.

 

AD CS-Features Web Standard Enterprise Datacenter

Zertifikatvorlagen der Version 2 und der Version 3

Nein

Nein

Ja

Ja

Schlüsselarchivierung

Nein

Nein

Ja

Ja

Rollentrennung

Nein

Nein

Ja

Ja

Zertifikatverwaltungseinschränkungen

Nein

Nein

Ja

Ja

Einschränkungen für delegierte Registrierungs-Agents

Nein

Nein

Ja

Ja

Szenario einer AD CS-Basistestumgebung

In den nachfolgenden Abschnitten wird beschrieben, wie Sie eine Testumgebung zum Testen von AD CS einrichten können.

Sie sollten die Schritte in dieser Anleitung zuerst in einer Testumgebung ausführen. Schrittweise Anleitungen dienen nicht unbedingt dem Bereitstellen von Windows Server-Features ohne zusätzliche Begleitdokumentation. Sie sollten daher unter Vorbehalt als eigenständiges Dokument verwendet werden.

Schritte zum Einrichten einer Basistestumgebung

Sie benötigen nur zwei Server, auf denen Windows Server 2008 ausgeführt wird sowie einen Clientcomputer, der unter Windows Vista® ausgeführt wird, um mit dem Testen zahlreicher AD CS-Features in einer Testumgebung beginnen zu können. Die Computer sind in dieser Anleitung folgendermaßen benannt:

  • LH_DC1: Dieser Computer stellt den Domänencontroller für Ihre Testumgebung dar.

  • LH_PKI1: Dieser Computer hostet eine Stammzertifizierungsstelle im Unternehmen für die Testumgebung. Diese Zertifizierungsstelle stellt Zertifikate für den Online-Responder und den Client-Computer aus.

noteHinweis
Unternehmenszertifizierungsstellen und Online-Responder können nur auf Servern installiert werden, auf denen Windows Server 2008 Enterprise oder Windows Server 2008 Datacenter ausgeführt wird.

  • LH_CLI1: Dieser Clientcomputer, auf dem Windows Vista ausgeführt wird, registriert sich automatisch für Zertifikate von LH_PKI1 und überprüft den Zertifikatstatus von LH_ PKI1.

Zum Konfigurieren der Basistestumgebung für AS CS müssen Sie zuvor die folgenden Schritte ausführen:

  • Richten Sie auf LH_DC1 einen Domänencontroller für contoso.com, einschließlich einiger Organisationseinheiten für einen oder mehrere Benutzer des Clientcomputers, Clientcomputer in der Domäne, und für Server ein, die Zertifizierungsstellen und Online-Responder hosten.

  • Installieren Sie Windows Server 2008 auf LH_PKI1, und fügen Sie LH_PKI1 der Domäne hinzu.

  • Installieren Sie Windows Vista auf LH_CLI1, und fügen Sie LH_CLI1 der Domäne contoso.com hinzu.

Wenn Sie diese vorbereitenden Einrichtungsverfahren abgeschlossen haben, können Sie mit der Ausführung der folgenden Schritte beginnen:

Schritt 1: Einrichten einer Stammzertifizierungsstelle im Unternehmen

Schritt 2: Installieren des Online-Responders

Schritt 3: Konfigurieren der Zertifizierungsstelle zum Ausstellen von OCSP-Antwortsignaturzertifikaten

Schritt 4: Erstellen einer Sperrkonfiguration

Schritt 5: Überprüfen der ordnungsgemäßen Funktionsweise der eingerichteten AD CS-Testumgebung

Schritt 1: Einrichten einer Stammzertifizierungsstelle im Unternehmen

Eine Stammzertifizierungsstelle im Unternehmen ist die Grundlage für die Vertrauenswürdigkeit beim Einrichten der Basistestumgebung. Sie wird zum Ausgeben von Zertifikaten an den Online-Responder und den Clientcomputer sowie zum Veröffentlichen von Zertifikatinformationen in Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) verwendet.

noteHinweis
Unternehmenszertifizierungsstellen und Online-Responder können nur auf Servern installiert werden, auf denen Windows Server 2008 Enterprise oder Windows Server 2008 Datacenter ausgeführt wird.

So richten Sie eine Stammzertifizierungsstelle im Unternehmen ein

  1. Melden Sie sich bei LH_PKI1 als Domänenadministrator an.

  2. Klicken Sie auf Start, zeigen Sie auf Verwaltung,und klicken Sie dann auf Server-Manager.

  3. Klicken Sie im Abschnitt Rollenübersicht auf Rollen hinzufügen.

  4. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Zertifikatdienste. Klicken Sie zweimal auf Weiter.

  5. Aktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Zertifizierungsstelle,undklicken Sie dann auf Weiter.

  6. Klicken Sie auf der Seite Setuptyp angeben auf Unternehmen,und klicken Sie dann auf Weiter.

  7. Klicken Sie auf der Seite Zertifizierungsstellentyp angeben auf Stammzertifizierungsstelle und dann auf Weiter.

  8. Auf den Seiten Privaten Schlüssel einrichten und Kryptografie für ZS konfigurieren können Sie optionale Konfigurationseinstellungen, einschließlich Kryptografiedienstanbieter, konfigurieren. Übernehmen Sie für grundlegende Testzwecke jedoch die Standardwerte, indem Sie zweimal auf Weiter klicken.

  9. Geben Sie in das Feld Allgemeiner Name dieser Zertifizierungsstelle den allgemeinen Namen der Zeritfizierungsstelle RootCA1 ein, und klicken Sie dann auf Weiter.

  10. Übernehmen Sie auf der Seite Festlegen der Gültigkeitsdauer die Standardgültigkeitsdauer für die Stammzertifizierungsstelle, und klicken Sie dann auf Weiter.

  11. Übernehmen Sie auf der Seite Zertifikatdatenbank konfigurieren die Standardwerte, oder geben Sie andere Speicherorte für die Zertifikatdatenbank und das Zertfikatdatenbankprotokoll an. Klicken Sie dann auf Weiter.

  12. Nachdem Sie die Informationen auf der Seite Installationsoptionen bestätigen überprüft haben, klicken Sie auf Installieren.

  13. Überprüfen Sie die Informationen auf dem Bestätigungsbildschirm, um sicherzustellen, dass die Installation erfolgreich ausgeführt wurde.

Schritt 2: Installieren des Online-Responders

Ein Online-Responder kann auf jedem Computer unter Windows Server 2008 Enterprise oder Windows Server 2008 Datacenter installiert werden. Die Daten zur Zertifikatsperrung können von einer Zertifizierungsstelle auf einem Computer unter Windows Server 2008 oder unter Windows Server 2003 oder von einer Zertifizierungsstelle eines Drittanbieters stammen.

noteHinweis
Bevor der Online-Responder installiert werden kann, müssen zunächst die Internetinformationsdienste (Internet Information Services, IIS) auf diesem Computer installiert werden.

So installieren Sie den Online-Responder

  1. Melden Sie sich bei LH_PKI1 als Domänenadministrator an.

  2. Klicken Sie auf Start, zeigen Sie auf Verwaltung,und klicken Sie dann auf Server-Manager.

  3. Klicken Sie auf Rollen verwalten. Klicken Sie im Abschnitt Active Directory-Zertifikatdienste auf Rollendienste hinzufügen.

  4. Aktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Online-Responder.

    Sie werden aufgefordert, IIS und den Windows-Aktivierungsdienst zu installieren.

  5. Klicken Sie auf Erforderliche Rollendienste hinzufügen und anschließend dreimal auf Weiter.

  6. Klicken Sie auf der Seite Installationsoptionen bestätigen auf Installieren.

  7. Überprüfen Sie nach Abschluss der Installation anhand der Statusseite, ob die Installation erfolgreich ausgeführt wurde.

Schritt 3: Konfigurieren der Zertifizierungsstelle zum Ausstellen von OCSP-Antwortsignaturzertifikaten

Beim Konfigurieren einer Zertifizierungsstelle für die Unterstütung von Online-Responderdiensten müssen auch Zertifikatvorlagen und Ausstellungseigenschaften für OCSP-Antwortsignaturzertifikate konfiguriert werden. Anschließend müssen weitere Schritte an der Zertifizierungsstelle abgeschlossen werden, damit der Online-Responder und die Zertifikatausstellung unterstützt werden.

noteHinweis
Diese Zertifikatvorlage und die Schritte zur automatischen Registrierung können auch zum Konfigurieren von Zertifikaten verwendet werden, die für einen Clientcomputer oder dessen Benutzer ausgestellt werden sollen.

So konfigurieren Sie Zertifikatvorlagen für Ihre Testumgebung

  1. Melden Sie sich bei LH_PKI1 als Administrator der Zertifizierungsstelle an.

  2. Öffnen Sie das Zertifikatvorlagen-Snap-In.

  3. Klicken Sie mit der rechten Maustaste auf die Vorlage OCSP-Antwortsignatur, und klicken Sie dann auf Doppelte Vorlage.

  4. Geben Sie den neuen Namen für die duplizierte Vorlage ein, wie beispielsweise OCSP_Verantwortliche_Signierung_2.

  5. Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage OCSP-Antwortsignatur_2, und klicken Sie dann auf Eigenschaften.

  6. Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie unter Gruppen- oder Benutzername auf Hinzufügen, und geben Sie dann den Namen des Computers ein, oder navigieren Sie zu dem Computer, auf dem sich der Online-Responderdienst befindet.

  7. Klicken Sie auf den Computernamen LH_PKI1, und aktivieren Sie im Dialogfeld Berechtigungen die Kontrollkästchen Lesen und Automatisch registrieren.

  8. Wenn das Zertifikatvorlagen-Snap-In geöffnet ist, können Sie Zertifikatvorlagen für Benutzer und Computer konfigurieren. Ersetzen Sie dazu in Schritt 3 die gewünschten Vorlagen, und wiederholen Sie die Schritte 4 bis 7, um Berechtigungen für LH_CLI1 und Ihre Testbenutzerkonten zu konfigurieren.

Wenn Sie die Zertifizierungsstelle für die Unterstützung von Online-Respondern konfigurieren möchten, müssen Sie mithilfe des Zertifikatvorlagen-Snap-In die beiden folgenden wichtigen Schritte ausführen:

  • Fügen Sie der Erweiterung des Stelleninformationszugriffs ausgestellter Zertifikate den Speicherort des Online-Responders hinzu.

  • Aktivieren Sie die Zertifikatvorlagen, die Sie im voherigen Verfahren für die Zertifizierungsstelle konfiguriert haben.

So konfigurieren Sie eine Zertifizierungsstelle für die Unterstützung des Online-Responderdiensts

  1. Öffnen Sie das Zertifizierungsstellen-Snap-In.

  2. Klicken Sie in der Konsolenstruktur auf den Namen der Zertifizierungsstelle.

  3. Klicken Sie im Menü Aktion auf Eigenschaften.

  4. Klicken Sie auf die Registerkarte Erweiterungen. Klicken Sie in der Liste Erweiterung auswählen auf Zugriff auf Stelleninformationen.

  5. Aktivieren Sie die Kontrollkästchen In AIA-Erweiterung des augestellten Zertifikats einbeziehen und In Online Certificate Status-Protokoll (OCSP)-Erweiterungen einbeziehen.

  6. Geben Sie die Speicherorte an, von denen Benutzer Zertifikatsperrdaten beziehen können. Der Speicherort für diese Einrichtung lautet http://LH_PKI1/ocsp.

  7. Klicken Sie in der Konsolenstruktur des Zertifizierungsstellen-Snap-Ins mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Neue auszustellende Zertifikatvorlagen.

  8. Wählen Sie unter Zertifikatvorlagen aktivieren die Vorlage OCSP-Antwortsignatur und andere zuvor konfigurierte Zertifikatvorlagen aus, und klicken Sie dann auf OK.

  9. Öffnen Sie Zertifikatvorlagen, und überprüfen Sie, ob die geänderten Zertifikatvorlagen in der Liste angezeigt werden.

Schritt 4: Erstellen einer Sperrkonfiguration

Eine Sperrkonfiguration umfasst alle Einstellungen, die für die Beantwortung von Statusanforderungen in Bezug auf Zertifikate, die mit einem speziellen Zertifizierungsstellenschlüssel ausgestellt wurden, erforderlich sind.

Diese Konfigurationseinstellungen schließen das Zertifizierungsstellenzertifikat, das Signaturzertifikat für den Online-Responder und die Speicherorte ein, an die die Clients zum Senden ihrer Statusanforderungen verwiesen werden.

ImportantWichtig
Stellen Sie vor dem Erstellen einer Sperrkonfiguration sicher, dass die Zertifikatregistrierung vorgenommen wurde, damit ein Signaturzertifikat auf dem Computer vorhanden ist. Passen Sie die Berechtigungen für das Signaturzertifikat zudem so an, dass es vom Online-Responder verwendet werden kann.

So überprüfen Sie die ordnungsgemäße Konfiguration des Signaturzertifikats

  1. Starten Sie LH_PKI1, oder führen Sie einen Neustart aus, um sich für Zertifikate zu registrieren.

  2. Melden Sie sich als Administrator der Zertifizierungsstelle an.

  3. Öffnen Sie das Zertifikat-Snap-In für das Computerkonto. Öffnen Sie den persönlichen Zertifikatspeicher für den Computer, und überprüfen Sie, ob er ein Zertifikat mit der Bezeichnung OCSP-Antwortsignatur enthält.

  4. Klicken Sie mit der rechten Maustaste auf dieses Zertifikat, und klicken Sie dann auf Private Schlüssel verwalten.

  5. Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie im Dialogfeld Gruppen- oder Benutzernamen auf Hinzufügen, fügen Sie den Netzwerkdienst hinzu, und klicken Sie dann auf OK.

  6. Klicken Sie auf Netzwerkdienst, und aktivieren Sie im Dialogfeld Berechtigungen das Kontrollkästchen Vollzugriff.

  7. Klicken Sie zweimal auf OK.

Beim Erstellen einer Sperrkonfiguration müssen die folgenden Aufgaben ausgeführt werden:

  • Identifizieren des Zertifizierungsstellenzertifikat für die Zertifizierungsstelle, die den Online-Responder unterstützt

  • Identifizieren des Zertifikatsperrlisten-Verteilungspunkts für die Zertifizierungsstelle

  • Auswählen eines Signaturzertifikats, das zum Signieren von Sperrstatusantworten verwendet wird

  • Auswählen eines Sperranbieters, der die Komponente darstellt, die für das Abrufen und Zwischenspeichern der vom Online-Responder verwendeten Sperrinformationen verantwortlich ist

So erstellen Sie eine Sperrkonfiguration

  1. Öffnen Sie das Online-Responder-Snap-In.

  2. Klicken Sie im Bereich Aktionen auf Sperrkonfiguration hinzufügen, um den Assistentenzum Hinzufügen einer Sperrkonfiguration zu starten, und klicken Sie dann auf Weiter.

  3. Geben Sie auf der Seite Sperrkonfiguration benennen einen Namen für die Sperrkonfiguration ein, beispielsweise LH_RC1, und klicken Sie dann auf Weiter.

  4. Klicken Sie auf der Seite Pfad des Zertifizierungsstellenzertifikats auswählen auf Zertifikat für eine vorhandene Unternehmenszertifizierungsstelle auswählen, und klicken Sie dann auf Weiter.

  5. Auf der folgenden Seite sollte der Name der Zertifizierungsstelle (LH_PKI1) im Feld In Active Directory veröffentlichte Zertifizierungsstellenzertifikate suchen angezeigt werden.

    • Wenn dies der Fall ist, klicken Sie auf den Namen der Zertifizierungsstelle, die Sie Ihrer Sperrkonfiguration zuordnen möchten, und klicken Sie dann auf Weiter.

    • Wenn der Name nicht angezeigt wird, klicken Sie auf Anhand des Computernamens nach einer Zertifizierungsstelle suchen, und geben Sie den Namen des Computers ein, auf dem LH_PKI1 gehostet wird, oder klicken Sie auf Durchsuchen, um diesen Computer zu suchen. Wenn Sie den Computer gefunden haben, klicken Sie auf Weiter.

      noteHinweis
      Möglicherweise können Sie auch vom lokalen Zertifikatspeicher aus eine Verknüpfung zum Zertifizierungsstellenzertifikat erstellen oder indem Sie es in Schritt 4 von einem Wechseldatenträger importieren.

  6. Zeigen Sie das Zertifikat an, und kopieren Sie den Zertifikatsperrlisten-Verteilungspunkt für die übergeordnete Stammzertifizierungsstelle (RootCA1). Gehen Sie hierzu folgendermaßen vor:

    1. Öffnen Sie das Zertifikatdienste-Snap-In. Wählen Sie ein ausgestelltes Zertifikat aus.

    2. Doppelklicken Sie auf das Zertifikat, und klicken Sie dann auf die Registerkarte Details.

    3. Führen Sie einen Bildlauf nach unten aus, und wählen Sie das Feld Zertifikatsperrlisten-Verteilungspunkte aus.

    4. Wählen Sie die URL des gewünschten Zertifikatsperrlisten-Verteilungspunkts aus, und kopieren Sie sie.

    5. Klicken Sie auf OK.

  7. Übernehmen Sie auf der Seite Signierendes Zertifikat auswählen die Standardoption Signaturzertifikat automatisch auswählen, und klicken Sie dann auf Weiter.

  8. Klicken Sie auf der Seite Sperranbieter auf Anbieter.

  9. Klicken Sie auf der Seite Sperranbietereigenschaften auf Hinzufügen, geben Sie die URL des Zertifikatsperrlisten-Verteilungspunkts ein, und klicken Sie dann auf OK.

  10. Klicken Sie auf Fertig stellen.

  11. Wählen Sie mithilfe des Online-Responder-Snap-Ins die Sperrkonfiguration aus, und überprüfen Sie anhand der Statusinformationen, ob sie ordnungsgemäß ausgeführt wird. Außerdem sollten Sie anhand der Eigenschaften des Signaturzertifikats überprüfen können, ob der Online-Responder ordnungsgemäß konfiguriert ist.

Schritt 5: Überprüfen der ordnungsgemäßen Funktionsweise der eingerichteten AD CS-Testumgebung

Sie können die zuvor beschriebenen Einrichtungsschritte überprüfen, während Sie sie ausführen.

Nachdem die Installation abgeschlossen ist, sollten Sie überprüfen, ob die Einrichtung Ihrer Basis-Testumgebung ordnungsgemäß ausgeführt wird. Versuchen Sie dazu, Zertifikate automatisch zu registrieren, Zertifikate zu sperren und genaue Sperrdaten über den Online-Responder bereitzustellen.

So überprüfen Sie die ordnungsgemäße Funktionsweise der eingerichteten AD CS-Testumgebung

  1. Konfigurieren Sie in der Zertifizierungsstelle mehrere Zertifikatvorlagen, um Zertifikate für LH_CLI1 und die Benutzer auf diesem Computer automatisch zu registrieren.

  2. Wenn Informationen zu den neuen Zertifikaten für AD DS bereitgestellt wurden, öffnen Sie auf dem Clientcomputer eine Eingabeaufforderung, und geben Sie den folgenden Befehl ein, um die automatische Zertifikatregistrierung zu starten:

    certutil -pulse

  3. Überprüfen Sie auf LH_CLI1 mithilfe des Zertifikat-Snap-Ins, ob die Zertifikate für den Benutzer und den Computer ausgestellt wurden.

  4. Verwenden Sie auf der Zertifizierungsstelle das Zertifizierungsstellen-Snap-In, um ein oder mehrere ausgestellte Zertifikate anzuzeigen und zu sperren, indem Sie auf Zertifizierungsstelle (Computer)/Zertifizierungsstellenname/Ausgestellte Zertifikate klicken und das Zertifikat auswählen, das Sie sperren möchten. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und klicken Sie dann auf Zertifikat sperren. Wählen Sie den Grund für die Zertifikatsperrung aus, und klicken Sie auf Ja.

  5. Veröffentlichen Sie im Zertifizierungsstellen-Snap-In eine neue Zertifikatsperrliste, indem Sie in der Konsolenstruktur auf Zertifizierungsstelle (Computer)/Zertifizierungsstellenname/Gesperrte Zertifikate klicken. Zeigen Sie dann im Menü Aktion auf Alle Aufgaben, und klicken Sie anschließend auf Veröffentlichen.

  6. Entfernen Sie alle Erweiterungen der Zertifikatsperrlisten-Verteilungspunkte aus der ausstellenden Zertifizierungsstelle, indem Sie Sie das Zertifizierungsstellen-Snap-In öffnen und anschließend die Zertifizierungsstelle auswählen. Klicken Sie im Menü Aktion auf Eigenschaften.

  7. Vergewissern Sie sich, dass auf der Registerkarte Erweiterungen die Option Erweiterung auswählen auf Zertifikatsperrlisten-Verteilungspunkt festgelegt ist.

  8. Klicken Sie auf einen beliebigen Zertifikatsperrlisten-Verteilungspunkt, klicken Sie auf Entfernen und dann auf OK.

  9. Stoppen Sie AD CS, und starten es neu.

  10. Wiederholen Sie Schritt 1 und 2, und überprüfen Sie dann, ob die Clientcomputer noch Sperrdaten abrufen können. Verwenden Sie dazu das Zertifikat-Snap-In, um das Zertifikat in eine CER-Datei zu exportieren. Geben Sie an einer Eingabeaufforderung Folgendes ein:

    certutil -url <exportedcert.cer>

  11. Klicken Sie im angezeigten Dialogfeld zum Überprüfen und Abrufen auf Vom CDP und Vom OCSP, und vergleichen Sie die Ergebnisse.

Szenario einer erweiterten AD CS-Testumgebung

In den nachfolgenden Abschnitten wird beschrieben, wie Sie eine Testumgebung einrichten, in der mehr AC CS-Features als in der Basistestumgebung ausgewertet werden können.

Schritte zum Einrichten einer erweiterten Testumgebung

Zum Testen zusätzlicher AD CS-Features in einer Testumgebung benötigen Sie fünf Computer, auf denen Windows Server 2008 ausgeführt wird, sowie einen Clientcomputer, auf dem Windows Vista ausgeführt wird. Die Computer sind in dieser Anleitung folgendermaßen benannt:

  • LH_DC1: Dieser Computer stellt den Domänencontroller für Ihre Testumgebung dar.

  • LH_CA_ROOT1: Dieser Computer hostet eine eigenständige Stammzertifizierungsstelle für die Testumgebung.

  • LH_CA_ISSUE1: Diese Unternehmenszertifizierungsstelle ist LH_CA_ROOT1 untergeordnet und stellt Clientzertifikate für den Online-Responder und den Clientcomputer aus.

noteHinweis
Unternehmenszertifizierungsstellen und Online-Responder können nur auf Servern installiert werden, auf denen Windows Server 2008 Enterprise oder Windows Server 2008 Datacenter ausgeführt wird.

  • LH_ORS1: Dieser Server hostet den Online-Responder.

  • LH_NDES: Dieser Server hostet den Registrierungsdienst für Netzwerkgeräte, der das Ausstellen und Verwalten von Zertifikaten für Router und andere Netzwerkgeräte ermöglicht.

  • LH_CLI1: Dieser Clientcomputer, auf dem Windows Vista ausgeführt wird, registriert sich automatisch für Zertifikate von LH_CA_ISSUE1 und überprüft den Zertifikatstatus von LH_ORS1.

Zum Konfigurieren der erweiterten Testumgebung für AS CS müssen Sie zuvor die folgenden Schritte ausführen:

  1. Richten Sie auf LH_DC1 einen Domänencontroller für contoso.com, einschließlich einiger Organisationseinheiten für einen oder mehrere Benutzer von LH_CLI, Clientcomputer in der Domäne, und für Server ein, die Zertifizierungsstellen und Online-Responder hosten.

  2. Installieren Sie Windows Server 2008 auf den anderen Servern der Testkonfiguration, und fügen Sie sie der Domäne hinzu.

  3. Installieren Sie Windows Vista auf LH_CLI1, und fügen Sie LH_CLI1 der Domäne contoso.com hinzu.

Wenn Sie diese vorbereitenden Einrichtungsverfahren abgeschlossen haben, können Sie mit der Ausführung der folgenden Schritte beginnen:

Schritt 1: Einrichten der eigenständigen Stammzertifizierungsstelle

Schritt 2: Einrichten der untergeordneten ausstellenden Unternehmenszertifizierungsstelle

Schritt 3: Installieren und Konfigurieren des Online-Responders

Schritt 4: Konfigurieren der ausstellenden Zertifizierungsstelle zum Ausstellen von OCSP-Antwortsignaturzertifikaten

Schritt 5: Konfigurieren der Erweiterung des Stelleninformationszugriffs für die Unterstützung des Online-Responders

Schritt 6: Zuweisen der OCSP-Antwortsignaturzertifikatvorlage zu einer Zertifizierungsstelle

Schritt 7: Registrieren für ein OCSP-Antwortsignaturzertifikat

Schritt 8: Erstellen einer Sperrkonfiguration

Schritt 9: Einrichten und Konfigurieren des Registrierungsdiensts für Netzwerkgeräte

Schritt 10: Überprüfen der ordnungsgemäßen Funktionsweise der eingerichteten erweiterten AD CS-Testumgebung

Schritt 1: Einrichten der eigenständigen Stammzertifizierungsstelle

Eine eigenständige Stammzertifizierungsstelle ist die Grundlage für die Vertrauenswürdigkeit beim Einrichten der Basistestumgebung. Sie wird zum Ausstellen von Zertifikaten an die untergeordnete ausstellende Zertifizierungsstelle verwendet. Da diese Zertifizierungsstelle für die Sicherheit der Public Key-Infrastruktur (PKI) wichtig ist, ist sie auf vielen PKIs nur dann online verfügbar, wenn sie zum Ausstellen von Zertifikaten an untergeordnete Zertifizierungsstellen benötigt wird.

So richten Sie eine eigenständige Stammzertifizierungsstelle ein

  1. Melden Sie sich als Administrator bei LH_CA_ROOT1 an.

  2. Starten Sie den Assistentenzum Hinzufügen von Rollen. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Zertifikatdienste, und klicken Sie dann zweimal auf Weiter.

  3. Aktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Zertifizierungsstelle, und klicken Sie dann auf Weiter.

  4. Klicken Sie auf der Seite Setuptyp angeben auf Eigenständig, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf der Seite Zertifizierungsstellentyp angeben auf Stammzertifizierungsstelle und dann auf Weiter.

  6. Auf den Seiten Privaten Schlüssel einrichten und Kryptografie für ZS konfigurieren können Sie optionale Einstellungen, einschließlich Kryptografiedienstanbieter, konfigurieren. Übernehmen Sie für grundlegende Testzwecke jedoch die Standardwerte, indem Sie zweimal auf Weiter klicken.

  7. Geben Sie in das Feld Allgemeiner Name dieser Zertifizierungsstelle den allgemeinen Namen der Zeritfizierungsstelle RootCA1 ein, und klicken Sie dann auf Weiter.

  8. Übernehmen Sie auf der Seite Festlegen der Gültigkeitsdauer die Standardgültigkeitsdauer für die Stammzertifizierungsstelle, und klicken Sie dann auf Weiter.

  9. Übernehmen Sie auf der Seite Zertifikatdatenbank konfigurieren die Standardwerte, oder geben Sie andere Speicherorte für die Zertifikatdatenbank und das Zertfikatdatenbankprotokoll an. Klicken Sie dann auf Weiter.

  10. Nachdem Sie die Informationen auf der Seite Installationsoptionen bestätigen überprüft haben, klicken Sie auf Installieren.

Schritt 2: Einrichten der untergeordneten ausstellenden Unternehmenszertifizierungsstelle

Die meisten Unternehmen verwenden mindestens eine untergeordnete Zertifizierungsstelle, um die Stammzertifizierungsstelle vor unnötigen Risiken zu schützen. Eine Unternehmenszertifizierungsstelle ermöglicht Ihnen außerdem die Verwendung von Zertifikatvorlagen und das Registrieren und Veröffentlichen von Zertifikaten mithilfe von AD DS.

So richten Sie eine untergeordnete ausstellende Unternehmenszertifizierungsstelle ein

  1. Melden Sie sich bei LH_CA_ISSUE1 als Domänenadministrator an.

  2. Starten Sie den Assistentenzum Hinzufügen von Rollen. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Zertifikatdienste, und klicken Sie dann zweimal auf Weiter.

  3. Aktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Zertifizierungsstelle, und klicken Sie dann auf Weiter.

  4. Klicken Sie auf der Seite Setuptyp angeben auf Unternehmen, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf der Seite Zertifizierungsstellentyp festlegen auf Untergeordnete Zertifizierungsstelle und dann auf Weiter.

  6. Auf den Seiten Privaten Schlüssel einrichten und Kryptografie für ZS konfigurieren können Sie optionale Einstellungen, einschließlich Kryptografiedienstanbieter, konfigurieren. Übernehmen Sie für grundlegende Testzwecke jedoch die Standardwerte, indem Sie zweimal auf Weiter klicken.

  7. Navigieren Sie auf der Seite Zertifikat anfordern zu LH_CA_ROOT1, oder speichern Sie die Zertifikatanforderung für eine spätere Verarbeitung in einer Datei, wenn für die Stammzertifizierungsstelle keine Verbindung mit dem Netzwerk besteht. Klicken Sie auf Weiter.

    Die Einrichtung der untergeordneten Zertifizierungsstelle kann erst verwendet werden, wenn ihr ein Stamm-Zertifizierungsstellenzertifikat ausgestellt und sie mit diesem Zertifikat erfolgreich installiert wurde.

  8. Geben Sie in das Feld Allgemeiner Name dieser Zertifizierungsstelle den allgemeinen Namen der Zeritfizierungsstelle,LH_Zertifizierungsstelle_PROBLEM1 ein.

  9. Übernehmen Sie auf der Seite Festlegen der Gültigkeitsdauer die Standardgültigkeitsdauer für die Zertifizierungsstelle, und klicken Sie dann auf Weiter.

  10. Übernehmen Sie auf der Seite Zertifikatdatenbank konfigurieren die Standardwerte, oder geben Sie andere Speicherorte für die Zertifikatdatenbank und das Zertfikatdatenbankprotokoll an. Klicken Sie dann auf Weiter.

  11. Nachdem Sie die Informationen auf der Seite Installationsoptionen bestätigen überprüft haben, klicken Sie auf Installieren.

Schritt 3: Installieren und Konfigurieren des Online-Responders

Ein Online-Responder kann auf jedem Computer unter Windows Server 2008 Enterprise oder Windows Server 2008 Datacenter installiert werden. Die Daten zur Zertifikatsperrung können von einer Zertifizierungsstelle auf einem Computer unter Windows Server 2008 oder unter Windows Server 2003 oder von einer Zertifizierungsstelle eines Drittanbieters stammen. Ein Online-Responder wird im Allgemeinen nicht auf demselben Computer wie eine Zertifizierungsstelle installiert.

noteHinweis
Bevor der Online-Responder installiert werden kann, müssen zunächst die Internetinformationsdienste (Internet Information Services, IIS) auf diesem Computer installiert werden. Als Teil des Einrichtungsvorgangs wird in IIS ein virtuelles Verzeichnis mit der Bezeichnung OCSP erstellt, und der Webproxy wird als ISAPI-Erweiterung (Internet Server Application Programming Interface) registriert.

So installieren Sie den Online-Responderdienst

  1. Melden Sie sich als Administrator bei LH_ORS1 an.

  2. Starten Sie den Assistenten zum Hinzufügen von Rollen. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Zertifikatdienste, und klicken Sie dann zweimal auf Weiter.

  3. Deaktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Zertifizierungsstelle, aktivieren Sie das Kontrollkästchen Online-Responder, und klicken Sie dann auf Weiter.

    Sie werden aufgefordert, IIS und den Windows-Aktivierungsdienst zu installieren.

  4. Klicken Sie auf Erforderliche Rollendienste hinzufügen und anschließend dreimal auf Weiter.

  5. Klicken Sie auf der Seite Installationsoptionen bestätigen auf Installieren.

  6. Überprüfen Sie nach Abschluss der Installation anhand der Statusseite, ob die Installation erfolgreich ausgeführt wurde.

Schritt 4: Konfigurieren der ausstellenden Zertifizierungsstelle zum Ausstellen von OCSP-Antwortsignaturzertifikaten

Die OCSP-Antwortsignaturvorlage muss wie jede andere Zertifikatvorlage zuerst mit den Registrierungsberechtigungen zum Lesen, Registrieren, automatischen Registrieren und zum Schreiben konfiguriert werden, bevor Zertifikate basierend auf der Vorlage ausgestellt werden können.

So konfigurieren Sie Zertifikatvorlagen für Ihre Testumgebung

  1. Melden Sie sich bei LH_CA_ISSUE1 als Administrator der Zertifizierungsstelle an.

  2. Öffnen Sie das Zertifikatvorlagen-Snap-In.

  3. Klicken Sie mit der rechten Maustaste auf die Vorlage OCSP-Antwortsignatur, und klicken Sie dann auf Doppelte Vorlage.

  4. Geben Sie den neuen Namen für die duplizierte Vorlage ein, wie beispielsweise OCSP_Verantwortliche_Signierung_2.

  5. Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage OCSP-Antwortsignatur_2, und klicken Sie dann auf Eigenschaften.

  6. Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie unter Gruppen- oder Benutzername auf Hinzufügen, und geben Sie dann den Namen des Computers ein, oder navigieren Sie zu dem Computer, auf dem sich der Online-Responderdienst befindet.

  7. Klicken Sie auf den Computernamen LH_ORS1, und aktivieren Sie im Dialogfeld Berechtigungen die Kontrollkästchen Lesen und Automatisch registrieren.

  8. Wenn das Zertifikatvorlagen-Snap-In geöffnet ist, können Sie Zertifikatvorlagen für Benutzer und Computer konfigurieren. Ersetzen Sie dazu in Schritt 3 die gewünschten Vorlagen, und wiederholen Sie die Schritte 4 bis 7, um Berechtigungen für LH_CLI1 und Ihre Testbenutzerkonten zu konfigurieren.

Schritt 5: Konfigurieren der Erweiterung des Stelleninformationszugriffs für die Unterstützung des Online-Responders

Sie müssen die Zertifizierungsstellen so konfigurieren, dass die URL für den Online-Responder als Teil der Erweiterung des Stelleninformationszugriffs des ausgestellten Zertifikats eingeschlossen wird. Die URL wird vom Online-Responder-Client zum Überprüfen des Zertifikatstatus verwendet.

So konfigurieren Sie die Erweiterung des Stelleninformationszugriffs für die Unterstützung des Online-Responders

  1. Melden Sie sich bei LH_CA_ISSUE1 als Administrator der Zertifizierungsstelle an.

  2. Öffnen Sie das Zertifizierungsstellen-Snap-In.

  3. Klicken Sie in der Konsolenstruktur auf den Namen der Zertifizierungsstelle.

  4. Klicken Sie im Menü Aktion auf Eigenschaften.

  5. Wählen Sie auf der Registerkarte Erweiterungen die Option Erweiterung auswählen aus, und klicken Sie dann auf Zugriff auf Stelleninformationen.

  6. Aktivieren Sie die Kontrollkästchen In AIA-Erweiterung des augestellten Zertifikats einbeziehen und In Online Certificate Status-Protokoll (OCSP)-Erweiterungen einbeziehen.

  7. Geben Sie die Speicherorte an, von denen Benutzer Zertifikatsperrdaten beziehen können. Der Speicherort für diese Einrichtung lautet http://LH_ORS1/ocsp.

  8. Klicken Sie in der Konsolenstruktur des Zertifizierungsstellen-Snap-Ins mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Neue auszustellende Zertifikatvorlagen.

  9. Wählen Sie unter Zertifikatvorlagen aktivieren die Vorlage OCSP-Antwortsignatur und andere zuvor konfigurierte Zertifikatvorlagen aus, und klicken Sie dann auf OK.

  10. Öffnen Sie Zertifikatvorlagen, und überprüfen Sie, ob die geänderten Zertifikatvorlagen in der Liste angezeigt werden.

Schritt 6: Zuweisen der OCSP-Antwortsignaturzertifikatvorlage zu einer Zertifizierungsstelle

Sobald die Vorlagen ordnungsgemäß konfiguriert wurden, muss die Zertifizierungsstelle zum Ausstellen der entsprechenden Vorlage konfiguriert werden.

So konfigurieren Sie die Zertifizierungsstelle zum Ausstellen von auf der neu erstellten OCSP-Antwortsignaturvorlage basierenden Zertifikaten

  1. Öffnen Sie das Zertifizierungsstellen-Snap-In.

  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Auszustellende Zertifikatvorlage.

  3. Wählen Sie die Vorlage OCSP-Antwortsignatur_2 aus der Liste der verfügbaren Vorlagen aus, und klicken Sie dann auf OK.

Schritt 7: Registrieren für ein OCSP-Antwortsignaturzertifikat

Die Registrierung findet möglicherweise nicht sofort statt. Bevor Sie den Vorgang mit dem nächsten Schritt fortsetzen, sollten Sie sich vergewissern, dass die Zertifikatregistrierung vorgenommen wurde, damit ein Signaturzertifikat auf dem Computer vorhanden ist. Stellen Sie außerdem sicher, dass das Zertifkat gemäß den Berechtigungen für das Signaturzertifikat vom Online-Responder verwendet werden kann.

So überprüfen Sie die ordnungsgemäße Konfiguration des Signaturzertifikats

  1. Starten Sie LH_ORS1, oder führen Sie einen Neustart aus, um sich für Zertifikate zu registrieren.

  2. Melden Sie sich als Administrator der Zertifizierungsstelle an.

  3. Öffnen Sie das Zertifikat-Snap-In für den Computer. Öffnen Sie den persönlichen Zertifikatspeicher für den Computer, und überprüfen Sie, ob er ein Zertifikat mit der Bezeichnung OCSP-Antwortsignatur_2 enthält.

  4. Klicken Sie mit der rechten Maustaste auf dieses Zertifikat, und klicken Sie dann auf Private Schlüssel verwalten.

  5. Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie im Dialogfeld Gruppen- oder Benutzernamen auf Hinzufügen, geben Sie den Namen für den Netzwerkdienst ein, fügen Sie ihn hinzu, und klicken Sie dann auf OK.

  6. Klicken Sie auf Netzwerkdienst, und aktivieren Sie im Dialogfeld Berechtigungen das Kontrollkästchen Vollzugriff. Klicken Sie zweimal auf OK.

Schritt 8: Erstellen einer Sperrkonfiguration

Beim Erstellen einer Sperrkonfiguration müssen die folgenden Aufgaben ausgeführt werden:

  • Identifizieren des Zertifizierungsstellenzertifikat für die Zertifizierungsstelle, die den Online-Responder unterstützt

  • Identifizieren des Zertifikatsperrlisten-Verteilungspunkts für die Zertifizierungsstelle

  • Auswählen eines Signaturzertifikats, das zum Signieren von Sperrstatusantworten verwendet wird

  • Auswählen eines Sperranbieters, der die Komponente darstellt, die für das Abrufen und Zwischenspeichern der vom Online-Responder verwendeten Sperrinformationen verantwortlich ist

So erstellen Sie eine Sperrkonfiguration

  1. Melden Sie sich bei LH_ORS1 als Domänenadministrator an.

  2. Öffnen Sie das Online-Responder-Snap-In.

  3. Klicken Sie im Bereich Aktionen auf Sperrkonfiguration hinzufügen, um den Assistenten zum Hinzufügen einer Sperrkonfiguration zu starten, und klicken Sie dann auf Weiter

  4. Geben Sie auf der Seite Sperrkonfiguration benennen einen Namen für die Sperrkonfiguration ein, beispielsweise LH_RC1, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf der Seite Pfad des Zertifizierungsstellenzertifikats auswählen auf Zertifikat für eine vorhandene Unternehmenszertifizierungsstelle auswählen, und klicken Sie dann auf Weiter.

  6. Auf der folgenden Seite sollte der Name der Zertifizierungsstelle (LH_CA_ISSUE1) im Feld In Active Directory veröffentlichte Zertifizierungsstellenzertifikate suchen angezeigt werden.

    • Wenn dies der Fall ist, klicken Sie auf den Namen der Zertifizierungsstelle, die Sie Ihrer Sperrkonfiguration zuordnen möchten, und klicken Sie dann auf Weiter.

    • Wenn der Name nicht angezeigt wird, klicken Sie auf Anhand des Computernamens nach einer Zertifizierungsstelle suchen, und geben Sie den Namen des Computers ein auf dem LH_Zertifizierungsstelle_PROBLEM1 gehostet wird, oder klicken Sie auf Durchsuchen, um diesen Computer zu suchen. Wenn Sie den Computer gefunden haben, klicken Sie auf Weiter.

      noteHinweis
      Möglicherweise können Sie auch vom lokalen Zertifikatspeicher aus eine Verknüpfung zum Zertifizierungsstellenzertifikat erstellen oder indem Sie es in Schritt 5 von einem Wechseldatenträger importieren.

  7. Zeigen Sie das Zertifikat an, und kopieren Sie den Zertifikatsperrlisten-Verteilungspunkt für die übergeordnete Stammzertifizierungsstelle (RootCA1). Gehen Sie hierzu folgendermaßen vor:

    1. Öffnen Sie das Zertifikatdienste-Snap-In, und wählen Sie ein ausgestelltes Zertifikat aus.

    2. Doppelklicken Sie auf das Zertifikat, und klicken Sie dann auf die Registerkarte Details.

    3. Führen Sie einen Bildlauf nach unten aus, und wählen Sie das Feld Zertifikatsperrlisten-Verteilungspunkte aus.

    4. Wählen Sie die URL des gewünschten Zertifikatsperrlisten-Verteilungspunkts aus, und kopieren Sie sie.

    5. Klicken Sie auf OK.

  8. Übernehmen Sie auf der Seite Signierendes Zertifikat auswählen die Standardoption Signaturzertifikat automatisch auswählen, und klicken Sie dann auf Weiter.

  9. Klicken Sie auf der Seite Sperranbieter auf Anbieter.

  10. Klicken Sie auf der Seite Sperranbietereigenschaften auf Hinzufügen, geben Sie die URL des Zertifikatsperrlisten-Verteilungspunkts ein, und klicken Sie dann auf OK.

  11. Klicken Sie auf Fertig stellen.

  12. Wählen Sie mithilfe des Online-Responder-Snap-Ins die Sperrkonfiguration aus, und überprüfen Sie anhand der Statusinformationen, ob sie ordnungsgemäß ausgeführt wird. Außerdem sollten Sie anhand der Eigenschaften des Signaturzertifikats überprüfen können, ob der Online-Responder ordnungsgemäß konfiguriert ist.

Schritt 9: Einrichten und Konfigurieren des Registrierungsdiensts für Netzwerkgeräte

Der Registrierungsdienst für Netzwerkgeräte ermöglicht Software auf Routern und anderen Netzwerkgeräten, die ohne Domänenanmeldeinformationen ausgeführt werden, das Abrufen von Zertifikaten.

Der Registrierungsdienst für Netzwerkgeräte fungiert als ISAPI-Filter für IIS und führt die folgenden Funktionen aus:

  • Er generiert einmalige Registrierungskennwörter für Administratoren und stellt diese Kennwörter bereit.

  • Er verarbeitet SCEP-Registrierungsanforderungen.

  • Er ruft ausstehende Anforderungen von der Zertifizierungsstelle ab.

SCEP wurde als Erweiterung zu den vorhandenen Standards HTTP, PKCS #10, PKCS #7, RFC 2459 und anderen Standards entwickelt, um die Zertifikatregistrierung von Netzwerkgeräten und Anwendungen bei Zeritfizierungsstellen zu ermöglichen. Eine Erläuterung und Dokumentation zu SCEP finden Sie auf der IETF-Website (http://go.microsoft.com/fwlink/?LinkId=71055, möglicherweise in englischer Sprache).

Bevor Sie mit diesem Verfahren beginnen, erstellen Sie einen Benutzer ndes_user1, und fügen Sie ihn der IIS-Benutzergruppe hinzu. Konfigurieren Sie anschließend in der IPSEC-Zertifikatvorlage (Offlineanforderung) mithilfe des Zertifikatvorlagen-Snap-Ins Lese- und Registrierungsberechtigungen für diesen Benutzer.

So richten Sie den Registrierungsdienst für Netzwerkgeräte ein und konfigurieren ihn

  1. Melden Sie sich als Administrator bei LH_NDES an.

  2. Starten Sie den Assistentenzum Hinzufügen von Rollen. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Zertifikatdienste, und klicken Sie dann zweimal auf Weiter.

  3. Deaktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Zertifizierungsstelle, und wählen Sie dann Registrierungsdienst für Netzwerkgeräte aus.

    Sie werden aufgefordert, IIS und den Windows-Aktivierungsdienst zu installieren.

  4. Klicken Sie auf Erforderliche Rollendienste hinzufügen und anschließend dreimal auf Weiter.

  5. Klicken Sie auf der Seite Installationsoptionen bestätigen auf Installieren.

  6. Überprüfen Sie nach Abschluss der Installation anhand der Statusseite, ob die Installation erfolgreich ausgeführt wurde.

  7. Da es sich hierbei um eine Neuinstallation handelt und somit keine ausstehenden SCEP-Zertifikatanforderungen vorliegen, wählen Sie die Option zum Ersetzen der vorhandenen Zertifizierungsstellenzertifikate aus, und klicken Sie anschließend auf Weiter.

    Wenn der Registrierungsdienst für Netzwerkgeräte auf einem Computer installiert wird, auf dem bereits eine Registrierungsstelle besteht, wird die vorhandene Registrierungsstelle zusammen mit den ausstehenden Zertifikatanforderungen gelöscht.

  8. Klicken Sie auf der Seite Benutzerkonto festlegen auf Benutzer auswählen, und geben Sie den Benutzernamen ndes_Benutzer1 und das Kennwort für das Konto ein, das vom Registrierungsdienst für Netzwerkgeräte verwendet wird, um Zertifikatanforderungen zu autorisieren. Klicken Sie auf OK und dann auf Weiter.

  9. Aktivieren Sie auf der Seite Zertifizierungsstelle angeben das Kontrollkästchen Zertifizierungsstellenname oder Computernamen, klicken Sie auf Durchsuchen, um die Zertifizierungsstelle (LH_CA_ISSUE1) zu suchen, von der die Zertifikate des Registrierungsdiensts für Netzwerkgeräte ausgestellt werden, und klicken Sie dann auf Weiter.

  10. Geben Sie im Feld Registrierungsstellenname auf der Seite Informationen zur Registrierungsstelle festlegen den Text ndes_1 ein. Aktivieren Sie unter Land/Regiondas Kontrollkästchen für Ihr Land bzw. Ihre Region, und klicken Sie dann auf Weiter.

  11. Übernehmen Sie auf der Seite Kryptografie für Registrierungsstelle die Standardwerte für die Signatur- und Verschlüsselungsschlüssel, und klicken Sie dann auf Weiter.

  12. Überprüfen Sie die Zusammenfassung der Konfigurationsoptionen, und klicken Sie dann auf Installieren.

Schritt 10: Überprüfen der ordnungsgemäßen Funktionsweise der eingerichteten erweiterten AD CS-Testumgebung

Sie können die zuvor beschriebenen Einrichtungsschritte überprüfen, während Sie sie ausführen.

Nachdem die Installation abgeschlossen ist, sollten Sie überprüfen, ob die eingerichtete erweiterte Testumgebung ordnungsgemäß ausgeführt wird.

So überprüfen Sie die ordnungsgemäße Funktionsweise der eingerichteten erweiterten AD CS-Testumgebung

  1. Konfigurieren Sie in der Zertifizierungsstelle mehrere Zertifikatvorlagen, um Zertifikate für LH_CLI1 und die Benutzer auf diesem Computer automatisch zu registrieren.

  2. Wenn Informationen zu den neuen Zertifikaten für AD DS bereitgestellt wurden, öffnen Sie auf dem Clientcomputer eine Eingabeaufforderung, und geben Sie den folgenden Befehl ein, um die automatische Zertifikatregistrierung zu starten:

    certutil -pulse

  3. Verwenden Sie auf dem Clientcomputer das Zertifikat-Snap-In, um zu überprüfen, ob die Zertifikate für den Benutzer und den Computer ausgestellt wurden.

  4. Verwenden Sie auf der Zertifizierungsstelle das Zertifizierungsstellen-Snap-In, um ein oder mehrere ausgestellte Zertifikate anzuzeigen und zu sperren, indem Sie auf Zertifizierungsstelle (Computer)/Zertifizierungsstellenname/Ausgestellte Zertifikate klicken und das Zertifikat auswählen, das Sie sperren möchten. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und klicken Sie dann auf Zertifikat sperren. Wählen Sie den Grund für die Zertifikatsperrung aus, und klicken Sie auf Ja.

  5. Veröffentlichen Sie im Zertifizierungsstellen-Snap-In eine neue Zertifikatsperrliste, indem Sie in der Konsolenstruktur auf Zertifizierungsstelle (Computer)/Zertifizierungsstellenname/Gesperrte Zertifikate klicken. Zeigen Sie dann im Menü Aktion auf Alle Aufgaben, und klicken Sie anschließend auf Veröffentlichen.

  6. Entfernen Sie alle Erweiterungen der Zertifikatsperrlisten-Verteilungspunkte aus der ausstellenden Zertifizierungsstelle, indem Sie Sie das Zertifizierungsstellen-Snap-In öffnen und anschließend die Zertifizierungsstelle auswählen. Klicken Sie im Menü Aktion auf Eigenschaften.

  7. Vergewissern Sie sich, dass auf der Registerkarte Erweiterungen die Option Erweiterung auswählen auf Zertifikatsperrlisten-Verteilungspunkt festgelegt ist.

  8. Klicken Sie auf einen beliebigen Zertifikatsperrlisten-Verteilungspunkt, klicken Sie auf Entfernen und dann auf OK.

  9. Stoppen Sie AD CS, und starten es neu.

  10. Wiederholen Sie Schritt 1 und 2, und überprüfen Sie dann, ob die Clientcomputer noch Sperrdaten abrufen können. Verwenden Sie dazu das Zertifikat-Snap-In, um das Zertifikat in eine CER-Datei zu exportieren. Geben Sie an einer Eingabeaufforderung Folgendes ein:

    certutil -url <exportedcert.cer>

  11. Klicken Sie im angezeigten Dialogfeld zum Überprüfen und Abrufen auf Vom CDP und Vom OCSP, und vergleichen Sie die Ergebnisse.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.