(0) exportieren Drucken
Alle erweitern

Testumgebungsanleitung: Bereitstellen einer AD CS-PKI-Hierarchie mit zwei Ebenen

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Mai 2013

Betrifft: Windows Server 2012

In dieser Testumgebungsanleitung wird erläutert, wie Sie eine Public Key-Infrastruktur (PKI) mit zwei Ebenen mithilfe von Windows Server® 2012 Active Directory-Zertifikatdienste (AD CS) erstellen können.

Dieses Dokument enthält Anweisungen zum Erweitern der Testumgebungsanleitung für die Windows Server 2012-Basiskonfiguration, um eine Offline-Stammzertifizierungsstelle einzufügen und auf dem Computer APP1 aus der Basiskonfiguration-Testumgebungsanleitung eine untergeordnete Unternehmenszertifizierungsstelle zu installieren. In dieser Anleitung stellen Sie eine PKI-Hierarchie auf zwei Ebenen bereit, konfigurieren einen Verteilungspunkt für eine Zertifikatsperrliste (Certificate Revocation List, CRL), teilen der Domäne automatisch Zertifikate zu und verwenden eine Kommunikation mit aktivierten SSL-Zertifikaten (Secure Sockets Layer) mit der APP1-Website.

ImportantWichtig
Die in dieser Anleitung beschriebene Konfiguration des Computers und des Netzwerks ist so konzipiert, dass Sie dabei die Erstellung einer Zertifizierungsstellen-PKI-Hierarchie mit zwei Ebenen üben können. Die dieser Anleitung zugrunde liegenden Entwurfsentscheidungen sollen es Ihnen ermöglichen, praktische Erfahrungen zu sammeln. Sie stellen nicht die empfohlene Konfiguration dar. Bewährte Methoden finden Sie im Thema über Bewährte Methoden zur Implementierung einer Public Key-Infrastruktur für Microsoft Windows Server 2003 (http://technet.microsoft.com/library/cc772670.aspx) und in der Kurzübersicht zum PKI-Entwurf (http://social.technet.microsoft.com/wiki/contents/articles/pki-design-brief-overview.aspx).

Mit der in dieser Anleitung veranschaulichten Testumgebungskonfiguration wird die Testumgebung für die Windows Server 2012-Basiskonfiguration um einen Servercomputer erweitert. Dieser zusätzliche Computer dient als Offline-Stammzertifizierungsstelle und erhält die Bezeichnung ORCA1. Die Testumgebungsanleitung setzt sich aus sechs wesentlichen Schritten zusammen, die jeweils aus mehreren untergeordneten Abläufen bestehen.

  1. Vervollständigen der Testumgebung für die Basiskonfiguration

  2. Konfigurieren von ORCA1

  3. Konfigurieren von APP1 zum Verteilen von Zertifikaten und Zertifikatsperrlisten

  4. Konfigurieren von APP1 als untergeordnete Unternehmenszertifizierungsstelle

  5. Aktivieren der automatischen Registrierung von Zertifikaten

  6. Konfigurieren der SSL für APP1

PKI-Netzwerklayout für Basiskonfiguration

Die folgenden Komponenten sind mindestens für die Testumgebung erforderlich:

  1. Die Produktdisc oder -dateien für Windows Server 2012.

  2. Die Produktdisc oder -dateien für Windows Server 2012.

  3. Fünf Computer, die die Mindesthardwareanforderungen für Windows Server 2012 erfüllen. Bei einem dieser Computer (EDGE1) sind zwei Netzwerkadapter installiert.

  4. Ein Computer, der die Mindesthardwareanforderungen für Windows® 8 erfüllt.

    noteHinweis
    Sie benötigen nur die DC1-, APP1- und CLIENT1-Computer aus der Testumgebung für die Basiskonfiguration, um diese Testumgebung abzuschließen. In dieser Umgebung erstellen Sie auch den ORCA1-Computer.

  5. Ein Wechselmedium mit ausreichend freiem Speicherplatz für einige Zertifikate und Zertifikatsperrlisten (ca. 10 Kilobyte). Dies kann entweder ein physisches oder ein virtuelles Wechselmedium sein, je nachdem, ob Ihre Testumgebung physische oder virtuelle Computer nutzt.

    noteHinweis
    Anweisungen zum Übertragen von Dateien mit einer virtuellen Diskette mithilfe von Microsoft Windows Server™ Hyper-V finden Sie im Thema zum Erstellen, Verwenden und Übertragen von Dateien mithilfe virtueller Disketten (http://social.technet.microsoft.com/wiki/contents/articles/4272.aspx).

  6. Wenn Sie die Testumgebung für die Basiskonfiguration in einer virtualisierten Umgebung bereitstellen möchten, muss Ihre Virtualisierungslösung virtuelle 64-Bit-Computer mit Windows Server 2012 unterstützen. Die Serverhardware muss einen ausreichend großen Arbeitsspeicher unterstützen, um die in der Testumgebung für die Basiskonfiguration und in allen weiteren virtuellen Computern, die möglicherweise für zusätzliche Testumgebungen erforderlich sind, enthaltenen virtuellen Betriebssysteme ausführen zu können.

ImportantWichtig
Führen Sie auf allen Computern oder virtuellen Computern während oder nach der Installation des Betriebssystems ein Windows Update durch. Nachdem Sie das Windows Update durchgeführt haben, können Sie die physische oder virtuelle Testumgebung vom Produktionsnetzwerk isolieren.

Die Testumgebungsanleitung für die Windows Server 2012-Basiskonfiguration befindet sich unter http://go.microsoft.com/fwlink/p/?LinkId=236358.

Das Verfahren zur Vervollständigung der Offline-Stammzertifizierungsstelle mit der Bezeichnung ORCA1 besteht aus den folgenden Schritten:

  • Installieren des Betriebssystems

  • Umbenennen des Computers

  • Vorbereiten der Datei "CAPolicy.inf" für die eigenständige Zertifizierungsstelle

  • Installieren der eigenständigen Stammzertifizierungsstelle

  • Konfigurieren der Einstellungen der Stammzertifizierungsstelle

  • Kopieren der Zertifikate und Sperrlisten der Stammzertifizierungsstelle auf das Wechselmedium

  • Verteilen der Stammzertifizierungsstelle über ein Gruppenrichtlinienobjekt

  • Erstellen der internen DNS-Zone "contoso.com" und des www-Hostdatensatzes

  1. Schließen Sie diesen Computer nicht an ein Netzwerk an.

  2. Starten Sie die Installation von Windows Server 2012.

  3. Folgen Sie den Installationsanweisungen. Wählen Sie "Windows Server 2012 (vollständige Installation)" aus, und geben Sie ein sicheres Kennwort für das lokale Administratorkonto an. Verwenden Sie für die Anmeldung das lokale Administratorkonto.

  1. Öffnen Sie Windows PowerShell®.

  2. Geben Sie rename-computer orca1 ein, und drücken Sie die EINGABETASTE.

  3. Geben Sie restart-computer ein, und drücken Sie die EINGABETASTE.

    Melden Sie sich nach dem Neustart des Computers mit dem lokalen Administratorkonto an.

  1. Öffnen Sie Windows PowerShell, geben Sie notepad c:\Windows\CAPolicy.inf ein, und drücken Sie die EINGABETASTE.

  2. Klicken Sie auf Ja, wenn Sie zum Erstellen einer neuen Datei aufgefordert werden.

  3. Geben Sie folgenden Dateiinhalt an:

    [Version]
    Signature="$Windows NT$"
    [PolicyStatementExtension]
    Policies=InternalPolicy
    [InternalPolicy]
    OID= 1.2.3.4.1455.67.89.5
    Notice="Legal Policy Statement"
    URL=http://www.contoso.com/pki/cps.txt
    [Certsrv_Server]
    RenewalKeyLength=2048
    RenewalValidityPeriod=Years
    RenewalValidityPeriodUnits=20
    CRLPeriod=weeks
    CRLPeriodUnits=26
    CRLDeltaPeriod=Days
    CRLDeltaPeriodUnits=0
    LoadDefaultTemplates=0
    AlternateSignatureAlgorithm=1
    
    
    CautionVorsicht
    Von Clients mit Windows XP- und Windows Server 2003-Zertifikat wird der alternative Signaturalgorithmus nicht unterstützt. Wenn diese Clients in der Lage sein sollen, sich für Zertifikate zu registrieren, fügen Sie der Datei "CAPolicy.inf" nicht die Zeile "AlternateSignatureAlgorithm=1" hinzu. Weitere Informationen finden Sie unter Richtlinien für die Verwendung von alternativen Signaturformaten.

    noteHinweis
    Die im Beispiel angezeigte Objektkennung (OID) ist die Microsoft-OID. Einzelne Organisationen sollten eigene OIDs anfordern. Weitere Informationen zu OIDs finden Sie im Thema zum "Anfordern einer Stamm-OID von einer ISO-Namensregistrierungsstelle (http://msdn.microsoft.com/library/windows/desktop/ms677621.aspx).

    TipTipp
    Durch Verwenden der Einstellung "CRLDeltaPeriodUnits=0" in der Datei "CAPolicy.inf" wird die Veröffentlichung von Deltazertifikatsperrlisten deaktiviert. Dies ist die korrekte Einstellung für eine Offline-Stammzertifizierungsstelle.

  4. Klicken Sie auf Speichern unter. Vergewissern Sie sich, dass folgende Bedingungen erfüllt sind:

    • Dateiname ist auf CAPolicy.inf gesetzt.

    • Dateityp ist auf Alle Dateien gesetzt.

    • Die Codierung ist ANSI.

  5. Klicken Sie auf Ja, wenn Sie zum Überschreiben der Datei aufgefordert werden.

    Konfigurieren von „CAPolicy.inf“ für den Stamm
    CautionVorsicht
    Vergewissern Sie sich, dass die Datei "CAPolicy.inf" mit der Dateierweiterung INF gespeichert wurde. Wenn Sie am Ende des Dateinamens nicht ausdrücklich .inf eingeben und die beschriebenen Optionen auswählen, wird die Datei als Textdatei gespeichert und nicht während der Zertifizierungsstelleninstallation verwendet.

  6. Schließen Sie Editor.

ImportantWichtig
In der Datei "CAPolicy.inf" sehen Sie eine Zeile, in der die URL "http://www.contoso.com/pki/cps.txt" angegeben wird. Der Abschnitt der Datei "CAPolicy.inf" zu den internen Richtlinien dient lediglich als Beispiel dafür, wie Sie den Speicherort einer Zertifikatverwendungserklärung (Certificate Practice Statement, CPS) angeben können. Weitere Informationen zu Richtlinienanweisungen einschließlich CPS finden Sie im Thema zum Erstellen von Zertifikatsrichtlinien und Zertifikatverwendungserklärungen (http://technet.microsoft.com/library/cc780454.aspx) und unter RFC 2527 (http://www.ietf.org/rfc/rfc2527.txt). Weitere Informationen zu Syntax und Zweck der Datei "CAPolicy.inf" finden Sie im Thema zur CA Policy.inf-Syntax (http://technet.microsoft.com/library/cc728279.aspx).

  1. Klicken Sie in Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.

  2. Klicken Sie auf dem Bildschirm Vorbemerkungen auf Weiter.

  3. Stellen Sie im Bildschirm Installationstyp auswählen sicher, dass die Standardauswahl Rollenbasierte oder featurebasierte Installation ausgewählt ist. Klicken Sie auf Weiter.

  4. Stellen Sie auf dem Bildschirm Zielserver auswählen sicher, dass orca1 ausgewählt ist, und klicken Sie dann auf Weiter.

  5. Wählen Sie auf dem Bildschirm Serverrollen auswählen die Rolle Active Directory-Zertifikatsdienste aus.

  6. Wenn Sie zur Installation der Remoteserver-Verwaltungstools aufgefordert werden, klicken Sie auf Features hinzufügen. Klicken Sie auf Weiter.

  7. Klicken Sie auf dem Bildschirm Features auswählen auf Weiter.

  8. Klicken Sie auf dem Bildschirm Active Directory-Zertifikatsdienste auf Weiter.

  9. Auf dem Bildschirm Rollendienste auswählen ist die Rolle Zertifizierungsstelle standardmäßig ausgewählt. Klicken Sie auf Weiter.

  10. Überprüfen Sie die Informationen auf dem Bildschirm Installationsauswahl bestätigen, und klicken Sie dann auf Installieren.

  11. Warten Sie bis zum Abschluss der Installation. Während die Binärdateien für die Zertifizierungsstelle installiert werden, wird der Bildschirm mit dem Installationsstatus angezeigt. Wenn die Installation der Binärdatei abgeschlossen ist, klicken Sie auf den Link Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.

    Konfigurieren von Active Directory-Zertifikatdienste (AD CS) auf dem Zielserver
    TipTipp
    Wenn Sie auf Schließen klicken, bevor die Installation abgeschlossen ist, könnten Sie die Konfiguration des Rollendiensts über einen Link zum Abschließen der Konfiguration beenden, der im Benachrichtigungssymbol von Server-Manager enthalten ist.

  12. Auf dem Bildschirm Anmeldeinformationen sollten Sie sehen, dass ORCA1\Administrator im Feld Anmeldeinformationen angezeigt wird. Klicken Sie auf Weiter.

    noteHinweis
    Wenn Sie eine eigenständige Zertifizierungsstelle installieren, müssen Sie ein Konto verwenden, das Mitglied der lokalen Gruppe Administrators ist.

  13. Wählen Sie auf dem Bildschirm Rollendienste auswählen die Option Zertifizierungsstelle aus. Wenn auf dem Server nur die Binärdateien für die Zertifizierungsstellenrolle installiert sind, ist dies die einzige Auswahlmöglichkeit. Klicken Sie auf Weiter.

  14. Auf dem Bildschirm Installationstyp ist nur die Option Eigenständige Zertifizierungsstelle verfügbar. Das liegt daran, dass es sich bei dem für die Installation verwendeten Konto um ein Mitglied der Gruppe "Lokale Administratoren" handelt und dass der Server nicht Mitglied einer AD DS-Domäne (Active Directory-Domänendienste) ist. Klicken Sie auf Weiter.

  15. Auf dem Bildschirm Zertifizierungsstellentyp ist Stammzertifizierungsstelle standardmäßig ausgewählt. Klicken Sie auf Weiter.

  16. Lassen Sie auf dem Bildschirm Privater Schlüssel die Standardoption Neuen privaten Schlüssel erstellen ausgewählt. Klicken Sie auf Weiter.

  17. Stellen Sie auf dem Bildschirm Kryptografie für Zertifizierungsstelle sicher, dass der Kryptografieanbieter RSA#Microsoft Software Key Storage Provider ist, die Schlüssellänge 2048 beträgt und der Hashalgorithmus auf SHA1 festgelegt ist, und klicken Sie dann auf Weiter.

    noteHinweis
    Aktivieren Sie nicht das Kontrollkästchen Administratorinteraktion bei jedem Zertifizierungsstellenzugriff auf den privaten Schlüssel zulassen. Diese Einstellung wird normalerweise bei Hardwaresicherheitsmodulen (HSM) und ähnlichen Schlüsselschutzgeräten verwendet, um zur Eingabe zusätzlicher Informationen aufzufordern, wenn auf den privaten Schlüssel zugegriffen wird.

  18. Geben Sie auf dem Bildschirm Zertifizierungsstellenname im Textfeld Allgemeiner Name für diese Zertifizierungsstelle den Namen ContosoRootCA ein, und klicken Sie dann auf Weiter.

  19. Geben Sie auf dem Bildschirm Gültigkeitsdauer den Wert 20 für die Anzahl der Jahre ein, für die das Zertifikat gültig ist.

  20. Behalten Sie auf dem Bildschirm Zertifizierungsstellendatenbank die Standardspeicherorte für die Datenbank und Datenbankprotokolldateien bei. Klicken Sie auf Weiter.

  21. Klicken Sie auf dem Bildschirm Bestätigung auf Konfigurieren.

  22. Der Bildschirm Status wird während der Konfigurationsverarbeitung angezeigt, dann erscheint der Bildschirm Ergebnisse. Klicken Sie auf Schließen. Klicken Sie auf dem Bildschirm Installationsstatus auf Schließen, während dieser Bildschirm noch geöffnet ist.

TipTipp
Mit den folgenden Windows PowerShell-Befehlen wird dieselbe Aktion wie oben gezeigt ausgeführt.

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

Install-AdcsCertificationAuthority –CAType StandaloneRootCA –CACommonName “ContosoRootCA” –KeyLength 2048 –HashAlgorithm SHA1 –CryptoProviderName “RSA#Microsoft Software Key Storage Provider”

  1. Klicken Sie in Server-Manager auf Extras und dann auf Zertifizierungsstelle.

  2. Erweitern Sie in der Konsolenstruktur "Zertifizierungsstelle" den Eintrag ORCA1-ContosoRootCA. Klicken Sie mit der rechten Maustaste auf Gesperrte Zertifikate und anschließend auf Eigenschaften.

  3. Stellen Sie auf der Registerkarte Parameter für Sperrlistenveröffentlichung sicher, dass Deltasperrlisten veröffentlichen deaktiviert ist. Klicken Sie auf OK.

  4. Klicken Sie in der Konsolenstruktur "Zertifizierungsstelle" mit der rechten Maustaste auf ORCA1-ContosoRootCA, und klicken Sie dann auf Eigenschaften.

  5. Klicken Sie auf die Registerkarte Erweiterungen. Stellen Sie sicher, dass Erweiterungen auswählen auf Sperrlisten-Verteilungspunkt festgelegt ist, und prüfen Sie in Geben Sie Standorte an, von denen Benutzer eine Zertifikatsperrliste erhalten können die Standardeinstellungen.

  6. Ändern Sie Erweiterung auswählen in Zugriff auf Stelleninformationen (Authority Information Access, AIA), und prüfen Sie die Standardeinstellungen. Klicken Sie auf OK. Klicken Sie auf Nein, wenn Sie zum Neustarten der Active Directory-Zertifikatsdienste aufgefordert werden. Sie werden den Dienst neu starten, nachdem Sie im nächsten Schritt die Standardpfade geändert haben.

  7. Führen Sie in Windows PowerShell die folgenden Befehle aus:
    certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://www.contoso.com/pki/%3%8.crl"

    certutil –setreg CA\CACertPublicationURLs "2:http://www.contoso.com/pki/%1_%3%4.crt"

    restart–service certsvc

    certutil -crl

noteHinweis
Mit den obigen zwei certutil-Befehlen wird der Pfad für den Sperrlisten-Verteilungspunkt (CRL Distribution Point, CDP) bzw. der AIA-Pfad für die Stammzertifizierungsstelle festgelegt. Dieselbe Konfiguration kann mithilfe der folgenden PowerShell-Cmdlet-Befehle erzielt werden:

$crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-CACrlDistributionPoint $crl.uri -Force};

Add-CACRLDistributionPoint -Uri C:\Windows\System32\CertSrv\CertEnroll\%3%8.crl -PublishToServer -Force

Add-CACRLDistributionPoint -Uri http://www.contoso.com/pki/%3%8.crl -AddToCertificateCDP -Force

$aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-CAAuthorityInformationAccess $aia.uri -Force};

Add-CAAuthorityInformationAccess -AddToCertificateAia http://www.contoso.com/pki/%1_%3%4.crt -Force

Zum Anzeigen von AIA und CDP können Sie die folgenden Befehle ausführen: Get-CAAuthorityInformationAccess | format-list und Get-CACRLDistributionPoint | format-list. Sie können auch zur Registerkarte Erweiterungen im Dialogfeld mit den Zertifizierungsstelleneigenschaften zurückkehren, um die Änderungen anzuzeigen, die an AIA und CDP vorgenommen wurden.

  1. Führen Sie in Windows PowerShell den Befehl dir C:\Windows\system32\certsrv\certenroll\*.cr* aus. Daraufhin werden die Zertifikate und Zertifikatsperrlisten im Standardzertifikatspeicher angezeigt.

  2. Kopieren Sie die Zertifikatsdatei der Zertifizierungsstelle und die Zertifikatsperrliste auf das Wechselmedium. Wenn Sie beispielsweise den Befehl zum Kopieren des Zertifikats und der Zertifikatsperrliste auf ein Diskettenlaufwerk (A:) ausführen, müssen Sie die folgenden Befehle ausführen:

    1. copy C:\Windows\system32\certsrv\certenroll\*.cr* A:\

    2. dir A:\

    TipTipp
    Ersetzen Sie " A:" in den oben angegebenen Befehlen durch den Laufwerkbuchstaben des Wechselmediums. Wechselmedien können entweder physisch oder virtuell sein, so wie in Hardware- und Softwareanforderungen erörtert. Möglicherweise wird die Fehlermeldung "Auf dem Datenträger befindet sich kein erkanntes Dateisystem." angezeigt. Sie müssen das Medium möglicherweise formatieren. Wenn es sich beispielsweise um eine Diskette handelt, müssen Sie ggf. format a: eingeben und dann die EINGABETASTE drücken.

  1. Melden Sie sich auf dem Computer PP1 mit dem Konto "User1" an, das sowohl Mitglied von Domain Admins als auch Enterprise Admins ist. Öffnen Sie Windows PowerShell als Administrator. Klicken Sie dazu mit der rechten Maustaste auf das Symbol Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen. Klicken Sie auf Ja, wenn Sie durch die Benutzerkontensteuerung zur Bestätigung aufgefordert werden.

  2. Legen Sie das Wechselmedium mit der Offline-Stammzertifizierungsstelle in den APP1-Computer ein.

  3. Wechseln Sie mit dem Befehl "cd" von Windows PowerShell zum Wechseldatenträgerlaufwerk (wie bei der Ausführung von cd a:\, um zum Stammverzeichnis des Laufwerks "A" zu wechseln).

  4. Führen Sie von Windows PowerShell für das Wechseldatenträgerlaufwerk die folgenden Befehle aus:
    certutil –dspublish –f orca1_ContosoRootCA.crt RootCA

    certutil –addstore –f root orca1_ContosoRootCA.crt

    certutil –addstore –f root ContosoRootCA.crl

noteHinweis
Der erste Befehl fügt das Zertifikat der Stammzertifizierungsstelle in den Konfigurationscontainer von Active Directory ein. Dies sorgt dafür, dass Domänenclientcomputer das Zertifikat der Stammzertifizierungsstelle automatisch als vertrauenswürdig einstufen, und es ist nicht notwendig, dieses Zertifikat über die Gruppenrichtlinie zu verteilen. Mit dem zweiten und dritten Befehl werden das Zertifikat der Stammzertifizierungsstelle und die Zertifikatsperrliste in den lokalen Speicher des APP1-Computers eingefügt. So kann der APP1-Computer das Zertifikat der Stammzertifizierungsstelle für den APP1 sofort als vertrauenswürdig einstufen und erhält unverzüglich Kenntnis über die Zertifikatsperrliste der Stammzertifizierungsstelle. APP1 kann das Zertifikat aus der Gruppenrichtlinie und die Zertifikatsperrliste aus dem CDP-Speicherort abrufen, aber das Veröffentlichen dieser beiden Objekte im lokalen Speicher auf dem APP1-Computer ist hilfreich, um die Konfiguration des APP1 als eine untergeordnete Zertifizierungsstelle zu beschleunigen.

Alle öffentlichen Zertifikate, Zertifikatsperrlisten und Zertifikatverwendungserklärungen müssen unter http://www.contoso.com/pki abgelegt werden. Interne Clientcomputer können diesen Computernamen nicht auf die interne Website (APP1) auflösen, es sei denn, auf dem DNS-Server wurde ein entsprechender DNS-Eintrag platziert.

  1. Öffnen Sie die DNS-Konsole auf dem DC1-Computer. Klicken Sie in Server-Manager auf Extras und dann auf DNS.

  2. Erweitern Sie in der DNS-Konsole die folgende Konsolenstruktur: DC1, Forward-Lookupzonen.

  3. Klicken Sie mit der rechten Maustaste auf Forward-Lookupzonen, und klicken Sie dann auf Neue Zone.

  4. Klicken Sie auf dem Bildschirm Willkommen auf Weiter.

  5. Standardmäßig ist Primäre Zone ausgewählt, und die Zone wird in Active Directory gespeichert. Klicken Sie zum Übernehmen dieser Standardwerte auf Weiter.

  6. Behalten Sie die Standardeinstellung bei, und klicken Sie auf Weiter.

  7. Geben Sie auf dem Bildschirm Zonenname den Namen contoso.com ein, und klicken Sie auf Weiter.

  8. Übernehmen Sie auf der Seite Dynamisches Update die Standardeinstellung, und klicken Sie auf Weiter.

  9. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  10. Klicken Sie in der Konsolenstruktur der DNS-Konsole mit der rechten Maustaste auf die Zone contoso.com, und klicken Sie dann auf Neuer Host (A oder AAAA).

    TipTipp
    Möglicherweise müssen Sie zunächst die Zone "corp.contoso.com" einmal anklicken, bevor Sie mit der rechten Maustaste auf die entsprechenden Optionen zugreifen können.

  11. Geben Sie in Name (bei Nichtangabe wird übergeordneter Domänenname verwendet) den Namen www ein.

  12. Geben Sie 10.0.0.3 in IP-Adresse ein. Durch diese Zone und diesen Eintrag wird die Kommunikation von internen Clients an "www.contoso.com" an die Adresse von APP1 weitergeleitet. Klicken Sie auf Host hinzufügen.

  13. Klicken Sie auf OK, um zu bestätigen, dass der Eintrag erstellt wurde. Klicken Sie auf Fertig.

  14. Schließen Sie die DNS-Konsole.

Bei den Erweiterungen der Stammzertifizierungsstelle wurde erläutert, dass die Zertifikatsperrliste der Stammzertifizierungsstelle unter "http://www.contoso.com/pki" verfügbar ist. Noch existiert jedoch kein virtuelles PKI-Verzeichnis auf dem APP1-Computer, daher muss es erstellt werden. In einer Produktionsumgebung wird die Rolle der ausstellenden Zertifizierungsstelle normalerweise von der Rolle zum AIA- und CDP-Hosting getrennt. In dieser Umgebung werden jedoch beide Rollen kombiniert, damit zum Abschließen der Testumgebung weniger Ressourcen erforderlich sind.

TipTipp
Wenn die Zertifizierungsstelle keine Zertifikatsperrlisten der übergeordneten Zertifizierungsstelle finden kann, kann der AD DS-Dienst (certsvc) die untergeordnete Zertifizierungsstelle nicht starten. Abhilfe kann nur durch die Lösung des Problems bei der Verteilung der Zertifikatsperrlisten (empfohlen) oder durch die Änderung der Protokollebene der Zertifizierungsstelle von 3 auf 2 geschaffen werden. Weitere Informationen zu den Protokollebenen der Zertifizierungsstelle finden Sie im Microsoft Knowledge Base-Artikel 305018 (http://support.microsoft.com/kb/305018).

  1. Achten Sie darauf, dass Sie sich mit dem Benutzerkonto "User1" anmelden. Führen Sie Windows PowerShell als Administrator aus, und führen Sie dann die folgende Befehle aus:

    New-item -path c:\pki –type directory

    write-output "Example CPS statement" | out-file c:\pki\cps.txt

    new-smbshare -name pki c:\pki "CORP\Domain Admins" -ChangeAccess "CORP\Cert Publishers"

  2. Öffnen Sie die IIS-Konsole. Klicken Sie in Server-Manager auf Extras, klicken Sie auf Verwaltung, und klicken Sie dann auf Internetinformationsdienste-Manager.

  3. Erweitern Sie in der Konsolenstruktur von Internetinformationsdienste-Manager den Knoten APP1. Wenn Sie gefragt werden, ob Sie mit Microsoft-Webplattform beginnen möchten, klicken Sie auf Abbrechen.

  4. Erweitern Sie Websites, klicken Sie mit der rechten Maustaste auf Default Web Site, und klicken Sie dann auf Virtuelles Verzeichnis hinzufügen.

  5. Geben Sie pki im Feld Alias ein, geben Sie C:\pki für den physischen Pfad ein, und klicken Sie dann auf OK.

  6. Aktivieren Sie den anonymen Zugriff auf das virtuelle PKI-Verzeichnis. Gehen Sie hierzu wie folgt vor:

    1. Stellen Sie im Bereich Verbindungen sicher, dass pki ausgewählt ist.

    2. Klicken Sie in pki-Startseite auf Authentifizierung.

    3. Klicken Sie im Bereich Aktionen auf Berechtigungen bearbeiten.

    4. Klicken Sie auf der Registerkarte Sicherheit auf Bearbeiten.

    5. Klicken Sie im Dialogfeld Berechtigungen für pki auf Hinzufügen.

    6. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen den Wert Zertifikatherausgeber ein, und klicken Sie dann auf Namen überprüfen.

    7. Klicken Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen auf Objekttypen.

    8. Wählen Sie in Objekttypen den Objekttyp Dienstkonten aus, und klicken Sie dann auf OK.

    9. Klicken Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen auf Standorte.

    10. Klicken Sie unter Standorte auf APP1, und klicken Sie dann auf OK.

    11. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen nach Zertifikatherausgeber den Wert ;IIS AppPool\DefaultAppPool ein, und klicken Sie dann auf Namen überprüfen. Klicken Sie auf OK.

      noteHinweis
      Durch diese Schritte wurden dem IIS-Standardanwendungspool die Berechtigungen Lesen und Ausführen, Ordnerinhalt auflisten und Lesen erteilt. IIS verwendet den Standardanwendungspool, um den anonymen Zugriff zu ermöglichen. Hierdurch können Benutzer AIA und CDP prüfen, die unter IIS gehostet werden.

    12. Wählen Sie unter Berechtigungen für pki den Eintrag Zertifikatherausgeber (CORP\Cert Publishers) aus. Aktivieren Sie unter Berechtigungen für Zertifikatherausgeber in der Spalte Zulassen das Kontrollkästchen Ändern, und klicken Sie dann zwei Mal auf OK.

      noteHinweis
      Indem Cert Publishers Änderungsberechtigungen für den Ordner "pki" gewährt werden, können Zertifikate und Zertifikatsperrlisten von den Unternehmenszertifizierungsstellen in diesem Ordner veröffentlicht werden.

  7. Doppelklicken Sie im Bereich pki-Startseite auf Anforderungsfilterung.

  8. Im Bereich Anforderungsfilterung ist die Registerkarte Dateinamenerweiterungen standardmäßig ausgewählt. Klicken Sie im Bereich Aktionen auf Featureeinstellungen bearbeiten.

  9. Wählen Sie unter Einstellungen für die Anforderungsfilterung bearbeiten die Option Doppelte Escapezeichen zulassen aus, und klicken Sie dann auf OK. Schließen Sie Internetinformationsdienste-Manager.

    noteHinweis
    Das Zulassen doppelter Escapezeichen ist erforderlich, wenn Sie Deltazertifikatsperrlisten in IIS veröffentlichen, da die Datei mit den Deltazertifikatsperrlisten ein Plussymbol (+) enthält. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 942076 (http://support.microsoft.com/kb/942076).

  10. Führen Sie Windows PowerShell als Administrator aus. Führen Sie in Windows PowerShell den Befehl iisreset aus.

Die Schritte für die Konfiguration von APP1 als untergeordnete Unternehmenszertifizierungsstelle beinhalten die folgenden Abläufe:

  1. Konfigurieren der Datei "CAPolicy.inf"

  2. Installieren der Rolle der untergeordneten Unternehmenszertifizierungsstelle

  3. So konfigurieren Sie AIA und CDP

  1. Öffnen Sie auf dem APP1-Computer als "User1" Windows PowerShell als Administrator, geben Sie dann notepad c:\Windows\CAPolicy.inf ein, und drücken Sie die EINGABETASTE.

  2. Wenn Sie gefragt werden, ob Sie die Datei erstellen möchten, klicken Sie auf Ja.

  3. Verwenden Sie die folgenden Informationen für die Datei "CAPolicy.inf" der untergeordneten Unternehmenszertifizierungsstelle.

    [Version]
    Signature="$Windows NT$"
    [PolicyStatementExtension]
    Policies=InternalPolicy
    [InternalPolicy]
    OID= 1.2.3.4.1455.67.89.5
    Notice="Legal Policy Statement"
    URL=http://www.contoso.com/pki/cps.txt
    [Certsrv_Server]
    RenewalKeyLength=2048
    RenewalValidityPeriod=Years
    RenewalValidityPeriodUnits=5
    LoadDefaultTemplates=0
    AlternateSignatureAlgorithm=1
    
    
    CautionVorsicht
    Von Clients mit Windows XP- und Windows Server 2003-Zertifikat wird der alternative Signaturalgorithmus nicht unterstützt. Wenn diese Clients in der Lage sein sollen, sich für Zertifikate zu registrieren, fügen Sie der Datei "CAPolicy.inf" nicht die Zeile "AlternateSignatureAlgorithm=1" hinzu. Weitere Informationen finden Sie unter Richtlinien für die Verwendung von alternativen Signaturformaten.

  4. Klicken Sie auf Datei, Speichern unter, und stellen Sie sicher, dass Sie eine ANSI-Datei namens CAPolicy.inf im Ordner C:\Windows speichern. Sie müssen den Dateityp in Alle Dateien ändern, um die Dateinamenerweiterung INF anstatt TXT zu erhalten. Klicken Sie auf Ja, wenn Sie gefragt werden, ob die Datei "CAPolicy.inf" ersetzt werden soll.

  5. Schließen Sie den Editor.

  1. Führen Sie auf dem Computer APP1 als "User1" Windows PowerShell als Administrator aus, und führen Sie dann den Befehl gpupdate /force aus. Dadurch stellen Sie sicher, dass das Gruppenrichtlinienobjekt für vertrauenswürdige Stammzertifizierungsstellen auf APP1 angewendet wird.

  2. Klicken Sie in Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.

  3. Klicken Sie auf dem Bildschirm Vorbemerkungen auf Weiter.

  4. Stellen Sie auf dem Bildschirm Installationstyp auswählen sicher, dass die Standardauswahl Rollenbasierte oder featurebasierte Installation ausgewählt ist. Klicken Sie auf Weiter.

  5. Stellen Sie auf dem Bildschirm Zielserver auswählen sicher, dass APP1 ausgewählt ist, und klicken Sie dann auf Weiter.

  6. Wählen Sie auf dem Bildschirm Serverrollen auswählen die Rolle Active Directory-Zertifikatsdienste aus.

  7. Wenn Sie zur Installation der Remoteserver-Verwaltungstools aufgefordert werden, klicken Sie auf Features hinzufügen. Klicken Sie auf Weiter.

  8. Klicken Sie auf dem Bildschirm Features auswählen auf Weiter.

  9. Klicken Sie auf dem Bildschirm Active Directory-Zertifikatsdienste auf Weiter.

  10. Stellen Sie auf dem Bildschirm Rollendienste auswählen sicher, dass Zertifizierungsstelle ausgewählt ist, und klicken Sie dann auf Weiter.

  11. Überprüfen Sie die Informationen auf dem Bildschirm Installationsauswahl bestätigen, und klicken Sie dann auf Installieren.

  12. Warten Sie bis zum Abschluss der Installation. Während die Binärdateien für die Zertifizierungsstelle installiert werden, wird der Bildschirm mit dem Installationsstatus angezeigt. Wenn die Installation der Binärdatei abgeschlossen ist, klicken Sie auf den Link Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.

    TipTipp
    Wenn Sie vor dem Abschließen der Installation auf Schließen geklickt haben, könnten Sie die Konfiguration des Rollendiensts über einen Link zum Abschließen der Konfiguration beenden, der im Benachrichtigungssymbol von Server-Manager enthalten ist.

  13. Auf dem Bildschirm Anmeldeinformationen werden die Anmeldeinformationen für "User1" angezeigt. Klicken Sie auf Weiter.

  14. Wählen Sie auf dem Bildschirm Rollendienste auswählen die Option Zertifizierungsstelle aus.

  15. Stellen Sie auf dem Bildschirm Setuptyp sicher, dass die Option Unternehmenszertifizierungsstelle ausgewählt ist, und klicken Sie dann auf Weiter.

    noteHinweis
    Wenn der Computer ein Domänenmitglied ist und die zuvor bereitgestellten Anmeldeinformationen zu einem Mitglied der Gruppe Enterprise Admins gehören, können Sie Unternehmenszertifizierungsstelle oder Eigenständige Zertifizierungsstelle auswählen. Wenn der Computer kein Domänenmitglied ist oder die Anmeldeinformationen für ein Konto eingegeben wurden, das kein Mitglied von Enterprise Admins ist, steht nur die Option Eigenständige Zertifizierungsstelle zur Verfügung.

  16. Wählen Sie auf dem Bildschirm Zertifizierungsstellentyp die Option Untergeordnete Zertifizierungsstelle aus, um eine untergeordnete Unternehmenszertifizierungsstelle zu installieren. Klicken Sie auf Weiter.

  17. Vergewissern Sie sich auf dem Bildschirm Privater Schlüssel, dass die Option Neuen privaten Schlüssel erstellen ausgewählt ist, und klicken Sie dann auf Weiter.

  18. Stellen Sie auf dem Bildschirm Kryptografie für Zertifizierungsstelle sicher, dass der Kryptografieanbieter RSA#Softwareschlüsselspeicher-Anbieter von Microsoft ist, die Schlüssellänge 2048 beträgt und der Hashalgorithmus auf SHA1 festgelegt ist. Klicken Sie auf Weiter.

  19. Geben Sie auf dem Bildschirm Zertifizierungsstellenname im Feld Allgemeiner Name für diese Zertifizierungsstelle den Namen IssuingCA-APP1 ein. Daraufhin wird der Dinstinguished Name in CN=IssuingCA-APP1,DC=corp,DC=contoso,DC=com geändert. Klicken Sie auf Weiter.

  20. Beachten Sie auf dem Bildschirm Zertifikatanforderung, dass Zertifikatanforderung in einer Datei auf dem Zielcomputer speichern ausgewählt ist. Dies ist die korrekte Option, da in dieser Konfiguration eine übergeordnete Offlinezertifizierungsstelle (die Stammzertifizierungsstelle) verwendet wird. Behalten Sie die Standardeinstellung bei, und klicken Sie auf Weiter.

  21. Behalten Sie auf dem Bildschirm Zertifizierungsstellendatenbank die Standarddatenbank und Protokollspeicherorte bei, und klicken Sie auf Weiter.

  22. Klicken Sie auf dem Bildschirm Bestätigung auf Konfigurieren.

  23. Auf dem Bildschirm Ergebnisse sehen Sie, dass Sie die Zertifikatanforderung in "ContosoRootCA" speichern müssen, um die Konfiguration abzuschließen. Klicken Sie auf Schließen.

    noteHinweis
    Die Windows PowerShell-Befehle zum Installieren der untergeordneten Unternehmenszertifizierungsstelle, so wie in diesem Abschnitt gezeigt, lauten:

    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

    Install-AdcsCertificationAuthority -CAType EnterpriseSubordinateCA -CACommonName "IssuingCA-APP1" -KeyLength 2048 -HashAlgorithm SHA1 -CryptoProviderName "RSA#Microsoft Software Key Storage Provider"

  24. Kopieren Sie die Zertifikatanforderung auf das Wechselmedium, um sie auf ORCA1 zu übertragen. Wenn Sie die Datei z. B. vom Laufwerk "C:\" auf ein Diskettenlaufwerk mit dem Laufwerkbuchstaben "A:\" kopieren möchten, könnten Sie in Windows PowerShell den folgenden Befehl ausführen: copy C:\*.req A:\

  25. Nehmen Sie das Wechselmedium mit der Zertifikatanforderung mit zu ORCA1. Melden Sie sich an der Stammzertifzierungsstelle mit einem Konto an, das Mitglied der Gruppe für lokale Administrators ist.

  26. Übermitteln Sie auf dem Computer ORCA1 von Windows PowerShell aus die Anforderung mit dem folgenden Befehl (vorausgesetzt, dass "A:\" der Laufwerkbuchstabe für das Wechselmedium ist):
    certreq -submit A:\APP1.corp.contoso.com_IssuingCA-APP1.req

    noteHinweis
    Wenn für das Wechselmedium ein anderer Laufwerkbuchstabe gilt, ersetzen Sie "A:\" durch diesen Buchstaben.

  27. Stellen Sie in der Liste der Zertifizierungsstellen sicher, dass die Zertifizierungsstelle ContosoRootCA (Kerberos) ausgewählt ist, und klicken Sie auf OK. Sie sehen, dass die Zertifikatanforderung ausstehend ist. Zudem wird die Anforderungsnummer angezeigt. Notieren Sie sich unbedingt diese Anforderungsnummer.

  28. Klicken Sie auf dem Computer ORCA1 in Server-Manager auf Extras, und klicken Sie dann auf Zertifizierungsstelle. Erweitern Sie das Objekt ContosoRootCA, und klicken Sie dann auf Ausstehende Anforderungen.

  29. Klicken Sie mit der rechten Maustaste auf die Anforderungsnummer, die im vorherigen Schritt beim Übermitteln der Anforderung angezeigt wurde. Klicken Sie auf Alle Aufgaben und dann auf Problem.

  30. Klicken Sie auf Ausgestellte Zertifikate, um im Bereich Details die ausgestellten Zertifikate anzuzeigen.

  31. Kehren Sie auf dem Computer ORCA1 zur Eingabeaufforderung zurück, und rufen Sie das ausgestellte Zertifikat ab, indem Sie den Befehl
    certreq –retrieve <Anforderungsnummer> <Laufwerk>:\APP1.corp.contoso.com_corp-APP1-CA.crt ausführen.
    Ersetzen Sie <Anforderungsnummer> durch die tatsächliche Nummer der Anforderung, die Sie beim Übermitteln der Anforderung notiert haben, und <Laufwerk> durch den tatsächlichen Laufwerkbuchstaben des Wechselmediums. Wenn die Anforderungsnummer z. B. "2" ist und sich das Wechselmedium in Laufwerk "A" befindet, lautet der Befehl: certreq –retrieve 2 a:\APP1.corp.contoso.com_IssuingCA-APP1.crt. Stellen Sie sicher, dass "ORCA1-ContosoRootCA" ausgewählt ist, wenn Sie zum Auswählen der Zertifizierungsstelle aufgefordert werden, und klicken Sie dann auf OK.

  32. Führen Sie auf dem Computer ORCA1 den Befehl dir A:\ aus (vorausgesetzt, dass "A" der Laufwerkbuchstabe für das Wechselmedium ist; ersetzen Sie andernfalls "A" durch den richtigen Laufwerkbuchstaben). Sie sehen, dass "ContosoRootCA.crl", "orca1_ORCA1-ContosoRootCA.crt" und "APP1.corp.contoso.com_corp-APP1-CA.crt" nun auf dem Wechselmedium gespeichert sind. Gehen Sie nun mit dem Wechselmedium zu APP1.

  33. Führen Sie auf dem Computer APP1 in Windows PowerShell die folgenden Befehle aus, um die Zertifikate und Zertifikatsperrlisten in den Ordner "pki" zu kopieren (vorausgesetzt, dass "A:\" der Laufwerkbuchstabe für das Wechselmedium ist; ersetzen Sie andernfalls "A:\" durch den richtigen Laufwerkbuchstaben):
    copy a:\*.cr* c:\pki\

  34. Klicken Sie auf dem Computer APP1 in der Konsole "Zertifizierungsstelle" mit der rechten Maustaste auf IssuingCA-APP1, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Zertifizierungsstellenzertifikat installieren.

  35. Legen Sie unter Wählen Sie eine Datei, um die Installation der Zertifizierungsstelle abzuschließen den Dateityp auf X.509-Zertifikat (*.cer;*.crt) fest, navigieren Sie dann zum Wechselmedium, und wählen Sie APP1.corp.contoso.com_IssuingCA-APP1.crt aus. Klicken Sie auf Öffnen.

  36. Starten Sie die Active Directory-Zertifikatdienste. Klicken Sie hierzu mit der rechten Maustaste auf corp-APP1-CA, klicken Sie auf Alle Aufgaben, und wählen Sie Dienst starten aus.

  37. Kopieren Sie auf dem APP1-Computer die Zertifikatsperrliste von APP1 in den Ordner "C:\pki". Führen Sie in Windows PowerShell den Befehl copy c:\Windows\system32\certsrv\certenroll\*.cr* c:\pki\ aus.

TipTipp
ORCA1 wird für diese Testumgebung nicht mehr benötigt und kann ausgeschaltet werden. Zum Ausschalten eines Computers können Sie in Windows PowerShell den Befehl stop-computer ausführen.

  1. Klicken Sie auf dem Computer APP1 als "User1" mit der rechten Maustaste auf Windows PowerShell, und klicken Sie auf Als Administrator ausführen. Klicken Sie auf Ja, um zu bestätigen, dass Sie Windows PowerShell als Administrator ausführen möchten.

  2. Führen Sie in Windows PowerShell die folgenden Befehle aus:
    certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n6:http://www.contoso.com/pki/%3%8%9.crl\n65:file://\\App1.corp.contoso.com\pki\%3%8%9.crl"

    certutil -setreg CA\CACertPublicationURLs "2:http://www.contoso.com/pki/%1_%3%4.crt"

  3. Führen Sie in Windows PowerShell die folgenden Befehle aus, um den Zertifizierungsstellendienst neu zu starten:restart-service certsvc

    noteHinweis
    Mit den obigen certutil-Befehlen wird der CDP- bzw. der AIA-Pfad für die Zertifizierungsstelle festgelegt. Dieselbe Konfiguration kann mithilfe der folgenden PowerShell-Befehle erzielt werden:

    $crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-CACrlDistributionPoint $crl.uri -Force};

    Add-CACRLDistributionPoint -Uri C:\Windows\System32\CertSrv\CertEnroll\%3%8%9.crl -PublishToServer -PublishDeltaToServer -Force

    Add-CACRLDistributionPoint -Uri http://www.contoso.com/pki/%3%8%9.crl -AddToCertificateCDP -Force

    Add-CACRLDistributionPoint -Uri file://\\App1.corp.contoso.com\pki\%3%8%9.crl -PublishToServer -PublishDeltaToServer -Force

    $aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-CAAuthorityInformationAccess $aia.uri -Force};

    Add-CAAuthorityInformationAccess -AddToCertificateAia http://www.contoso.com/pki/%1_%3%4.crt -Force

    Indem Sie den Ordner "pki" freigeben und den Dateipfad "file://\\App1.corp.contoso.com\pki\%3%8%9.crl" als CDP-Erweiterung einfügen, werden die Zertifikatsperrlisten und Deltazertifikatsperrlisten auf die Freigabe kopiert, wenn Sie den Befehl certutil –crl ausführen. Wenn Sie den Zugriff auf die Freigabe weiter einschränken möchten, sollten Sie eine separate Gruppe erstellen und darin nur die Zertifikatsperrlisten einfügen, die Sie zum Veröffentlichen auf der Freigabe autorisieren möchten. Geben Sie den Ordner "pki" dann nur für diese bestimmte Gruppe und das SYSTEM-Konto frei.

  4. Führen Sie in Windows PowerShell den folgenden Befehl aus, um die Zertifikatsperrliste zu veröffentlichen: certutil -crl

ImportantWichtig
Für ein Konfigurationselement, das normalerweise in Produktionszertifizierungsstellen ausgeführt wird und kein Bestandteil dieser Testumgebung ist, müssen Sie Objektzugriffsversuche überwachen (http://technet.microsoft.com/library/cc776774.aspx). Aktivieren Sie dann alle Überwachungsereignisse, indem Sie den folgenden Befehl ausführen: certutil -setreg CA\AuditFilter 127. Stellen Sie anschließend sicher, dass Sie regelmäßig das Sicherheitsereignisprotokoll archivieren, und folgen Sie den Empfehlungen für das Überwachen von Sicherheitsereignissen (http://technet.microsoft.com/library/cc778162.aspx).

Es gibt zwei Verfahren zum Konfigurieren der automatischen Registrierung von Computerzertifikaten:

  1. Aktivieren der automatischen Registrierung von Zertifikaten in der Gruppenrichtlinie

  2. Konfigurieren einer Vorlage für ein Client- und Server-Authentifizierungszertifikat für die automatische Registrierung

  1. Melden Sie auf dem Computer DC1 als "User1" an. Klicken Sie in Server-Manager auf Extras und dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Konsolenstruktur die folgenden Objekte: Gesamtstruktur: corp.contoso.com, Domänen, corp.contoso.com.

    noteHinweis
    Möglicherweise wird eine Warnung mit dem Hinweis angezeigt, dass alle mit der Domäne verbundenen Richtlinien sich auf alle Computer auswirken, mit denen die Richtlinie verknüpft ist. Ist dies der Fall, lesen Sie die Warnung, und klicken Sie auf OK.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.

  4. Erweitern Sie in der Konsolenstruktur des Gruppenrichtlinienverwaltungs-Editors unter Computerkonfiguration die folgenden Objekte: Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien für öffentliche Schlüssel.

  5. Doppelklicken Sie im Detailbereich auf Zertifikatsdiensteclient - automatische Registrierung. Wählen Sie in Konfigurationsmodell die Option Aktiviert aus.

  6. Wählen Sie Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen und Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren aus. Klicken Sie auf OK.

  7. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor und die Gruppenrichtlinien-Verwaltungskonsole.

  1. Stellen Sie auf dem Computer APP1 im Konsolenbereich "Zertifizierungsstelle" sicher, dass IssuingCA-APP1 erweitert ist.

  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie anschließend auf Verwalten.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf Arbeitsstationsauthentifizierung, und klicken Sie dann auf Vorlage duplizieren.

  4. Klicken Sie auf die Registerkarte Allgemein, und geben Sie unter VorlagenanzeigenameClient-Server Authentication ein.

  5. Klicken Sie auf die Registerkarte Erweiterungen, stellen Sie sicher, dass Anwendungsrichtlinien ausgewählt ist, und klicken Sie dann auf Bearbeiten.

  6. Klicken Sie auf Hinzufügen und dann auf Serverauthentifizierung. Klicken Sie zweimal auf OK.

  7. Klicken Sie im Dialogfeld Eigenschaften der neuen Vorlage auf die Registerkarte Sicherheit.

  8. Klicken Sie unter Gruppen- oder Benutzernamen auf Domänencomputer (CORP\Domänencomputer).

  9. Aktivieren Sie in der Zeile Automatisch registrieren das Kontrollkästchen Zulassen. Dies bewirkt, dass alle Domänencomputer automatisch diese Vorlage zur automatischen Registrierung von Zertifikaten verwenden.

    noteHinweis
    • Einer Vorlage werden in der Regel nicht sowohl die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für die Clientauthentifizierung als auch die erweiterte Schlüsselverwendung für die Serverauthentifizierung zugeordnet. Die Serverauthentifizierungs-EKU ist außerdem normalerweise nicht für die automatische Registrierung konfiguriert. Dies geschieht in dieser Übung nur zur Vereinfachung und zur Kompatibilität mit anderen Übungen.

    • Die Computer benötigen auch eine Read-Berechtigung für die Vorlage, um sich registrieren zu können. Diese Berechtigung wurde jedoch bereits der Gruppe Authenticated Users erteilt. Alle Computerkonten in der Domäne sind Mitglied der Gruppe Authenticated Users, sodass sie bereits über die Berechtigung zum Read der Vorlage verfügen.

  10. Klicken Sie auf OK. Schließen Sie die Zertifikatvorlagenkonsole.

  11. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu, und klicken Sie dann auf Auszustellende Zertifikatvorlage.

  12. Klicken Sie im Dialogfeld Zertifikatvorlagen aktivieren auf Client-Server Authentication und dann auf OK. Schließen Sie die Zertifizierungsstellenkonsole.

Um zu zeigen, wie die mit AD DS und AD CS bereitgestellten Zertifikate verwendet werden können, sichern Sie die APP1-Website mit SSL und verbinden anschließend die sichere Website mit CLIENT1.

noteHinweis
In diesem Teil der Übung wird die Verwendung eines Zertifikats zum Sichern einer Website veranschaulicht.

Dieser Schritt besteht aus zwei Verfahren:

  1. Sicherung der APP1-Standardwebsite

  2. Herstellen einer Verbindung mit der gesicherten Website

  1. Melden Sie sich auf dem Computer APP1 als "User1" an, und führen Sie Windows PowerShell als Administrator aus. Führen Sie dann die folgende Befehle aus:

    Gpupdate /force. Warten Sie, bis die Aktualisierung der Gruppenrichtlinie abgeschlossen ist, und schließen Sie dann die Eingabeaufforderung. So wird sichergestellt, dass das automatisch registrierte Zertifikat durch die Gruppenrichtlinie für APP1 ausgestellt wird.

    cd cert:\LocalMachine\My

    dir | format-list

    Es sollten nun zwei Zertifikate angezeigt werden. Eines wurde von "ContosoRootCA" ausgestellt. Dabei handelt es sich um das Zertifikat der APP1-Zertifizierungsstelle. Das andere Zertifikat wurde von "IssuingCA-APP1" ausgestellt und kann zum Sichern der APP1-Standardwebsite verwendet werden.

  2. Klicken Sie auf die Internetinformationsdienste-Manager-Konsole. Klicken Sie in Server-Manager auf Extras, und klicken Sie dann auf Internetinformationsdienste-Manager. Erweitern Sie im Inhaltsbereich den folgenden Pfad: APP1, Websites und Default Web Site.

    noteHinweis
    Wenn Sie in einer Eingabeaufforderung von Internetinformationsdienste-Manager gefragt werden, ob Sie mit Microsoft-Webplattform beginnen möchten, klicken Sie auf Abbrechen.

  3. Klicken Sie auf Default Web Site. Klicken Sie im Bereich Aktionen auf Bindungen.

  4. Klicken Sie im Dialogfeld Sitebindungen auf Hinzufügen.

  5. Klicken Sie im Dialogfeld Sitebindung hinzufügen unter Typ auf "https".

  6. Klicken Sie unter SSL-Zertifikat auf Auswählen.

  7. Wählen Sie in Zertifikat auswählen mit dem Auswahlfeld das Zertifikat aus, das von "IssuingCA-APP1" über die Gruppenrichtlinie ausgestellt wurde. Dies wird ein Zertifikat mit einer langen alphanumerischen Zeichenfolge sein und keines mit einer kurzen wie "IssuingCA-APP1". Klicken Sie auf Anzeigen, um sicherzustellen, dass Sie das richtige Zertifikat haben. Stellen Sie sicher, dass das ausgewählte Zertifikat für APP1.corp.contoso.com und von IssuingCA-APP1 ausgestellt wurde. Sobald Sie das korrekte Zertifikat ausgewählt haben, klicken Sie im Dialogfeld Zertifikat auf OK.

  8. Klicken Sie im Dialogfeld Sitebindung hinzufügen auf OK.

  9. Klicken Sie im Dialogfeld Sitebindungen auf Schließen.

  1. Verbinden Sie CLIENT1 mit dem Unternehmensnetzwerk.

  2. Melden Sie sich bei CLIENT1 als User1 an.

  3. Öffnen Sie Internet Explorer auf CLIENT1.

  4. Geben Sie in Internet Explorer die Adresse https://app1.corp.contoso.com ein, und drücken Sie die EINGABETASTE. Wenn die Standard-IIS 8-Webseite angezeigt wird, bestätigen Sie, dass https und die SSL-Bindung bei der Standardwebsite auf APP1 funktionieren.

    TipTipp
    Wenn Sie stattdessen feststellen, dass ein Problem mit dem Zertifikat besteht, haben Sie vermutlich zuvor ein falsches Zertifikat ausgewählt. Sie müssen das Zertifikat auswählen, das auf den Namen "APP1.corp.contoso.com" ausgestellt wurde. Es ist auch möglich, dass die Gruppenrichtlinie noch nicht die vertrauenswürdigen Stammzertifizierungsstellen aktualisiert hat. Um sicherzustellen, dass die Gruppenrichtlinienaktualisierungen vorhanden sind, öffnen Sie Explorer, und geben Sie dann cmd in der Explorer-Adressleiste ein. Geben Sie dann gpupdate /force ein, und drücken Sie die EINGABETASTE.

ImportantWichtig
Die ORCA1-Zertifikatsperrliste ist 26 Wochen lang gültig. Dies wurde mithilfe der Datei "CAPolicy.inf" festgelegt. Die APP1-Zertifikatsperrliste ist standardmäßig wöchentlich zu aktualisieren. Um die Zertifikatsperrliste zu aktualisieren, verwenden Sie den Befehl:

Certutil –crl, der die Zertifikatsperrliste an den Speicherorten veröffentlicht, die Sie in den Zertifizierungsstelleneigenschaften auf der Registerkarte "Erweiterungen" angegeben haben.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft