(0) exportieren Drucken
Alle erweitern

Neues in Active Directory-Zertifikatdiensten

Letzte Aktualisierung: August 2009

Betrifft: Windows Server 2008 R2

Welches sind die wichtigsten Änderungen?

Active Directory®-Zertifikatdienste (AD CS) in Windows Server® 2008 R2 verfügen über Features und Dienste, die eine flexiblerer Bereitstellung von Public-Key-Infrastrukturen (PKI) ermöglichen, Verwaltungskosten senken und eine bessere Unterstützung für die Bereitstellung von Netzwerkzugriffsschutz (Network Access Protection, NAP) bieten.

Die AD CS-Features und Dienste in der folgenden Tabelle sind neu in Windows Server 2008 R2.

 

Feature Vorteil

Zertifikatregistrierungs-Webdienst und Zertifikatregistrierungsrichtlinien-Webdienst

Ermöglicht die Zertifikatregistrierung über HTTP.

Unterstützung für die Zertifikatregistrierung zwischen Gesamtstrukturen

Ermöglicht die Konsolidierung von Zertifizierungsstellen bei Bereitstellungen für mehrere Gesamtstrukturen.

Verbesserte Unterstützung für stark beanspruchte Zertifizierungsstellen

Verringerte Datenbankgröße der Zertifizierungsstelle bei einigen Bereitstellungen von Netzwerkzugriffspunkten und anderen stark beanspruchte Zertifizierungsstellen.

Zertifikatregistrierungs-Webdienst und Zertifikatregistrierungsrichtlinien-Webdienst

Die Zertifikatregistrierungs-Webdienste sind neue AD CS-Rollendienste, die richtlinienbasierte Zertifikatregistrierung über HTTP mithilfe von vorhandenen Methoden wie der automatischen Registrierung ermöglichen. Die Webdienste fungieren als Proxy zwischen einem Clientcomputer und einer Zertifizierungsstelle, sodass die direkte Kommunikation zwischen dem Clientcomputer und der Zertifizierungsstelle überflüssig und die Zertifikatregistrierung über das Internet und zwischen Gesamtstrukturen ermöglicht wird.

Für wen ist dieses Feature interessant?

Unternehmen mit neuen und vorhandenen PKIs können die Vorteile der erweiterten Verfügbarkeit der Zertifikatregistrierungen nutzen, die von den Zertifikatregistrierungs-Webdiensten in den folgenden Bereitstellungsszenarien zur Verfügung gestellt werden:

  • Bei Bereitstellungen für mehrere Gesamtstrukturen können Clientcomputer Zertifikate von Zertifizierungsstellen in einer anderen Gesamtstruktur registrieren.

  • Bei Extranetbereitstellungen können sich mobile Mitarbeiter und Geschäftspartner über das Internet registrieren.

Gibt es spezielle Überlegungen?

Der Zertifikatregistrierungs-Webdienst übermittelt Anforderungen im Namen von Clientcomputern und muss für die Delegierung vertrauenswürdig sein. Extranetbereitstellungen dieses Webdienstes erhöhen die Gefahr von Netzwerkangriffen, und einige Unternehmen stufen den Dienst möglicherweise nicht als vertrauenswürdig für die Delegierung ein. In diesen Fällen kann der Zertifikatregistrierungs-Webdienst und die ausgebende Zertifizierungsstelle so konfiguriert werden, dass nur Erneuerungsanforderungen akzeptiert werden, die mit vorhandenen Zertifikaten signiert sind, da hierfür keine Delegierung erforderlich ist.

Für die Zertifikatregistrierungs-Webdienste gelten außerdem folgende Anforderungen:

  • Active Directory-Gesamtstruktur mit Windows Server 2008 R2-Schema.

  • Unternehmenszertifizierungsstelle unter Windows Server 2008 R2, Windows Server 2008 oder Windows Server 2003.

  • Für die Zertifikatregistrierung zwischen Gesamtstrukturen ist eine Unternehmenszertifizierungsstelle unter Windows Server Enterprise oder Windows Server Datacenter erforderlich.

  • Clientcomputer unter Windows® 7

In welchen Editionen ist dieses Feature enthalten?

Die Zertifikatregistrierungs-Webdienste sind in allen Editionen von Windows Server 2008 R2 enthalten.

Unterstützung für die Zertifikatregistrierung zwischen Gesamtstrukturen

Vor der Einführung der Zertifikatregistrierung zwischen Gesamtstrukturen konnten Zertifizierungsstellen Zertifikate nur für Mitglieder der gleichen Gesamtstruktur ausgeben, wobei jede Gesamtstruktur ihre eigene PKI besitzen musste. Durch die neue Unterstützung für LDAP-Verweise können Windows Server 2008 R2-Zertifizierungsstellen Zertifikate zwischen Gesamtstrukturen ausgeben, die über bidirektionale Vertrauensstellungen verfügen.

Für wen ist dieses Feature interessant?

Unternehmen mit mehreren Active Directory-Gesamtstrukturen und gesamtstrukturspezifischen PKI-Bereitstellungen können die Vorteile einer Konsolidierung von Zertifizierungsstellen nutzen, indem Sie die Zertifikatregistrierung zwischen Gesamtstrukturen aktivieren.

Gibt es spezielle Überlegungen?

  • Für Active Directory-Gesamtstrukturen ist die Gesamtstrukturfunktionsebene von Windows Server 2003 und eine bidirektionale transitive Vertrauensstellung erforderlich.

  • Für Clientcomputer unter Windows XP, Windows Server 2003 und Windows Vista® sind keine Updates für die Unterstützung der Zertifikatregistrierung zwischen Gesamtstrukturen erforderlich.

In welchen Editionen ist dieses Feature enthalten?

Dieses Feature ist für Unternehmenszertifizierungsstellen unter Windows Server 2008 R2 Enterprise oder Windows Server 2008 R2 Datacenter verfügbar.

Verbesserte Unterstützung für stark beanspruchte Zertifizierungsstellen

Für wen ist dieses Feature interessant?

Unternehmen mit bereitgestelltem NAP mit IPsec-Erzwingung oder sonstige stark beanspruchte Zertifizierungsstellen können bestimmte Datenbankvorgänge von Zertifizierungsstellen umgehen, um die Datenbankgröße der Zertifizierungsstelle zu verringern.

NAP-Integritätszertifikate laufen normalerweise einige Stunden nach der Ausgabe ab, sodass die Zertifizierungsstelle für jeden Computer mehrere Zertifikate am Tag ausgeben muss. Standardmäßig wird für jedes angeforderte und ausgegeben Zertifikat ein Datensatz in der Datenbank der Zertifizierungsstelle gespeichert. Eine große Anzahl von Anforderungen erhöht die Größe der Datenbank der Zertifizierungsstelle und die Verwaltungskosten.

Gibt es spezielle Überlegungen?

Da ausgegebene Zertifikate nicht in der Datenbank der Zertifizierungsstelle gespeichert werden, ist eine Zertifikatsperrung nicht möglich. Die Pflege einer Zertifikatsperrliste ist jedoch für eine große Anzahl von kurzlebigen Zertifikate häufig weder praktikabel noch zweckmäßig. Daher könnten sich einige Unternehmen für die Verwendung dieses Features entscheiden und die Einschränkungen in Bezug auf die Sperrung in Kauf nehmen.

In welchen Editionen ist dieses Feature enthalten?

Dieses Feature ist für Unternehmenszertifizierungsstellen unter jeder Edition von Windows Server 2008 R2 verfügbar.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft