(0) exportieren Drucken
Alle erweitern

Neues in AD CS

Veröffentlicht: März 2012

Letzte Aktualisierung: Dezember 2012

Betrifft: Windows Server 2012

Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) in Windows Server® 2012 enthalten gegenüber vorherigen Versionen mehrere neue Features und Funktionen. In diesem Dokument werden die neue Bereitstellung, die Verwaltbarkeit sowie die neuen Funktionen von AD CS in Windows Server 2012 beschrieben.

Mit den Active Directory-Zertifikatdiensten (Active Directory Certificate Services, AD CS) stehen anpassbare Dienste zum Ausstellen und Verwalten von PKI-Zertifikaten (Public Key-Infrastruktur) zur Verfügung. Diese Zertifikate werden in Softwaresicherheitssystemen mit Technologien für öffentliche Schlüssel verwendet. Die AD CS-Serverrolle enthält sechs Rollendienste:

  • Zertifizierungsstelle (Certification Authority, CA)

  • Webregistrierung

  • Online-Responder

  • Registrierungsdienst für Netzwerkgeräte

  • Zertifikatregistrierungsrichtlinien-Webdienst

  • Zertifikatregistrierungs-Webdienst

Eine Übersicht über AD CS finden Sie unter Active Directory-Zertifikatdienste: Übersicht.

In der Windows Server 2012-Version von AD CS sind zahlreiche neue Funktionen verfügbar. Dazu gehören:

  • Server-Manager integrieren

  • Bereitstellungs- und Verwaltungsfunktionen aus Windows PowerShell®

  • Alle AD CS-Rollendienste können auf einer beliebigen Windows Server 2012-Version ausgeführt werden

  • Alle AD CS-Rollendienste können auf Server Core-Installationen ausgeführt werden.

  • Unterstützung für die automatische Verlängerung von Zertifikaten für Computer ohne Domänenmitgliedschaft

  • Erzwingung der Zertifikatverlängerung mit demselben Schlüssel

  • Unterstützung für internationale Domänennamen

  • Standardmäßig ist für den CA-Rollendienst die erhöhte Sicherheit aktiviert

  • AD DS-Standortinformationen für AD CS- und PKI-Clients

Der Server Manager enthält eine zentrale grafische Benutzeroberfläche zum Installieren und Verwalten der AD CS-Serverrolle und ihrer sechs Rollendienste.

Welchen Wert fügt diese Änderung hinzu?

Die AD CS-Serverrolle und die zugehörigen Rollendienste sind in Server-Manager integriert. Dadurch haben Sie die Möglichkeit, den AD CS-Rollendienst über das Menü Verwalten mithilfe der Option Rollen und Features hinzufügen zu installieren. Sobald die Serverrolle hinzugefügt wurde, wird AD CS im Server-Manager-Dashboard als eine der zu verwaltenden Rollen angezeigt. Auf diese Weise erhalten Sie einen zentralen Ort, an dem Sie AD CS und die Rollendienste bereitstellen und verwalten können. Außerdem können Sie mit dem neuen Server-Manager mehrere Server von einem Ort aus verwalten, die auf den einzelnen Servern installierten AD CS-Rollendienste anzeigen, zugehörige Ereignisse überprüfen und Verwaltungsaufgaben auf den einzelnen Servern ausführen. Weitere Informationen zur Funktionsweise des neuen Server-Managers finden Sie unter Verwalten mehrerer Remoteserver mit Server-Manager.

Worin liegen die Unterschiede?

Zum Hinzufügen der AD CS-Serverrolle können Sie den Link Rollen und Features hinzufügen im Menü Verwalten von Server-Manager verwenden. Der AD CS-Installationsfluss ähnelt dem in der vorherigen Version mit Ausnahme der Aufteilung des Binärdateiinstallationsvorgangs und des Konfigurationsvorgangs. Zuvor waren die Installation und Konfiguration in einem einzigen Assistenten enthalten. Bei der neuen Installationserfahrung installieren Sie zunächst die Binärdateien und starten dann den AD CS-Konfigurations-Assistenten, um die Rollendienste zu konfigurieren, deren Binärdateien bereits installiert waren. Zum Entfernen der AD CS-Serverrolle können Sie den Link Rollen und Features entfernen im Menü Verwalten von Server-Manager verwenden.

Alle AD CS-Rollenservices können mithilfe der Windows PowerShell®-Cmdlets für die AD CS-Bereitstellung konfiguriert werden. Diese Cmdlets können auch zum Entfernen der Konfigurationen verwendet werden. Diese neuen Bereitstellungs-Cmdlets werden im Thema Übersicht über AD CS-Bereitstellungs-Cmdlets beschrieben. Mit dem AD CS-Verwaltungs-Cmdlet können Sie den Zertifizierungsstellen-Rollendienst verwalten. Die neuen Verwaltungs-Cmdlets werden im Thema Übersicht über AD CS-Verwaltungs-Cmdlets beschrieben.

Welchen Wert fügt diese Änderung hinzu?

Sie können Windows PowerShell zur Skripterstellung für die Bereitstellung beliebiger AD CS-Rollendienste und für die Verwaltungsmöglichkeit des CA-Rollendiensts verwenden.

Worin liegen die Unterschiede?

Zum Bereitstellen der AD CS-Rollendienste können Sie den Server-Manager oder Windows PowerShell-Cmdlets verwenden.

Alle Windows Server 2012-Versionen ermöglichen Ihnen das Installieren der AD CS-Rollendienste.

Welchen Wert fügt diese Änderung hinzu?

Im Gegensatz zu vorherigen Versionen können Sie AD CS-Rollen unter einer beliebigen Version von Windows Server 2012 installieren.

Worin liegen die Unterschiede?

In Betriebssystem Windows Server® 2008 R2 galten für verschiedene Rollendienste (früher als Komponenten bezeichnet) unterschiedliche Anforderungen an die Betriebssystemversion, wie unter Active Directory-Zertifikatdienste (Übersicht) beschrieben. In Windows Server 2012 funktionieren alle sechs Rollendienste genauso wie in jeder beliebigen Windows Server 2012-Version. Der einzige Unterschied besteht darin, dass AD CS samt allen sechs Rollendiensten für die Installation unter jeder beliebigen Version von Windows Server 2012 verfügbar ist.

Alle sechs Windows Server 2012-AD CS-Rollendienste können unter Server Core-Installationen von Windows Server 2012 oder den Installationsoptionen der minimalen Serverschnittstelle installiert und ausgeführt werden.

Welchen Wert fügt diese Änderung hinzu?

Im Gegensatz zu vorherigen Versionen können Sie nun alle AD CS-Rollendienste unter den Installationsoptionen von Server Core oder der minimalen Serverschnittstelle in Windows Server 2012 ausführen.

Worin liegen die Unterschiede?

Sie können die AD CS-Rollendienste nun mithilfe von Server-Manager oder Windows PowerShell-Cmdlets bereitstellen, indem Sie lokal am Computer oder per Remoteverbindung über das Netzwerk arbeiten. Zudem bietet Windows Server 2012 mehrere Installationsoptionen, dank derer Sie die Installation sogar mit einer grafischen Benutzeroberfläche ausführen und später zu einer Server Core-Installation oder zu einer Installation der minimalen Serverschnittstelle wechseln können. Weitere Informationen zu Installationsoptionen finden Sie unter Windows Server-Installationsoptionen.

Die Zertifikatregistrierungs-Webdienste sind ein Feature, das in Windows® 7 und Windows Server 2008 R2 hinzugefügt wurde. Dieses Feature lässt zu, dass Onlinezertifikatanforderungen aus nicht vertrauenswürdigen Active Directory-Domänendienste-Domänen (Active Directory Domain Services, AD DS) oder selbst von Computern ohne Domänenmitgliedschaft stammen können. AD CS in Windows Server 2012 basiert insofern auf den Zertifikatregistrierungs-Webdiensten, dass die Möglichkeit zur automatischen Verlängerung von Zertifikaten für Computer hinzugefügt wurde, die zu nicht vertrauenswürdigen AD DS-Domänen gehören oder keiner Domäne hinzugefügt wurden.

Welchen Wert fügt diese Änderung hinzu?

Administratoren müssen Zertifikate für Computer, die Mitglieder von Arbeitsgruppen sind oder möglicherweise einer anderen AD DS-Domäne oder -Gesamtstruktur angehören, nicht mehr manuell verlängern.

Worin liegen die Unterschiede?

Zertifikatregistrierungs-Webdienste wird weiterhin wie gewohnt verwendet, aber nun können Computer außerhalb der Domäne ihre Zertifikate mithilfe ihres vorhandenen Zertifikats für die Authentifizierung verlängern.

Weitere Informationen finden Sie im Thema zur schlüsselbasierten Erneuerung. Es sind auch zwei Testumgebungsanleitungen verfügbar, in denen die Anwendung dieser schlüsselbasierten Erneuerung veranschaulicht wird:

  1. Testumgebungsanleitung: Demonstrieren der zertifikatschlüsselbasierten Erneuerung

  2. Testumgebungsanleitung-Minimodul: Gesamtstrukturübergreifende Zertifikatregistrierung mithilfe von Zertifikatregistrierungs-Webdiensten

Mit AD CS in Windows Server 2012 werden Zertifikatvorlagen der Version 4 eingeführt. Diese Vorlagen weisen gegenüber vorherigen Vorlagenversionen einige Unterschiede auf. Zertifikatvorlagen der Version 4:

  • unterstützen Kryptografiedienstanbieter (Cryptographic Service Provider, CSPs) und Schlüsseldienstanbieter (Key Service Providers, KSPs).

  • können so festgelegt werden, dass eine Verlängerung mit demselben Schlüssel erforderlich ist.

  • sind für die Verwendung in Windows® 8 und Windows Server 2012 verfügbar.

  • geben die mindestens erforderlichen Betriebssysteme für Zertifizierungsstellen und Zertifizierungsclients an, von denen die Vorlage verwendet werden kann.

Um den Administratoren bei der Einteilung zu helfen, welche Features von welcher Betriebssystemversion unterstützt werden, wurde der Registerkarte der Zertifikatvorlageneigenschaften die Registerkarte Kompatibilität hinzugefügt.

Welchen Wert fügt diese Änderung hinzu?

Die neuen Zertifikatvorlagen der Version 4 bieten zusätzliche Funktionen wie die Erzwingung der Verlängerung mit demselben Schlüssel (nur für Windows 8- und Windows Server 2012-Zertifikatclients verfügbar). Auf der neuen Registerkarte Kompatibilität können Administratoren unterschiedliche Kombinationen aus Betriebssystemversionen für die Zertifizierungsstelle und Zertifikatclients festlegen und nur die Einstellungen anzeigen, die mit diesen Clientversionen kompatibel sind.

Worin liegen die Unterschiede?

Die Registerkarte Kompatibilität wird auf der Benutzeroberfläche unter den Eigenschaften der "Zertifikatvorlage" angezeigt. Auf dieser Registerkarte können Sie die mindestens erforderlichen Betriebssystemversionen für die Zertifizierungsstelle und den Zertifizierungsclient auswählen. Bei der Konfiguration der Registerkarte Kompatibilität werden mehrere Aktionen ausgeführt:

  • In Abhängigkeit der für den Zertifizierungsclient und die Zertifizierungsstelle ausgewählten Betriebssystemversionen werden Optionen in den Zertifikatvorlageneigenschaften als nicht verfügbar markiert.

  • Bei Vorlagen der Version 4 wird mit ihr bestimmt, von welchen Betriebssystemversionen die Vorlage verwendet werden kann.

Für Clients vor Windows 8 und Windows Server 2012 können die neuen Vorlagen der Version 4 nicht verwendet werden.

noteHinweis
Auf der Registerkarte Kompatibilität wird der folgende Hinweis angezeigt: Diese Einstellungen verhindern möglicherweise nicht, dass frühere Betriebssystemversionen diese Vorlage verwenden. Diese Aussage beinhaltet, dass Kompatibilitätseinstellungen keine einschränkende Wirkung auf Vorlagen der Version 1, Version 2 oder Version 3 haben und die Registrierung möglicherweise wie zuvor fortgesetzt wird. Wenn beispielsweise auf der Registerkarte Kompatibilität die minimale Client-Betriebssystemversion auf Windows® Vista mit einer Vorlage der Version 2 festgelegt ist, kann sich ein Windows® XP-Zertifikatclient mithilfe der Vorlage der Version 2 dennoch für ein Zertifikat registrieren.

Weitere Informationen zu diesen Änderungen finden Sie unter Zertifikatvorlagen – Versionen und Optionen.

AD CS in Windows Server 2012 erhöht die Sicherheit durch Anfordern einer Zertifikatverlängerung mithilfe desselben Schlüssels. Dadurch kann dieselbe Sicherheitsstufe des ursprünglichen Schlüssels während seines gesamten Lebenszyklus beibehalten werden. Windows Server 2012 unterstützt das Generieren von TPM-geschützten (Trusted Platform Module) Schlüsseln mithilfe von TPM-basierten Schlüsselspeicheranbietern (Key Storage Providers, KSPs). Der Vorteil der Verwendung TPM-basierter Schlüsselspeicheranbieter liegt darin, dass es keine Exportmöglichkeit für Schlüssel gibt, die mithilfe des Anti-Hammering-Mechanismus von TPMs gesichert werden. Administratoren können Zertifikatvorlagen so konfigurieren, dass Windows 8 und Windows Server 2012 den TPM-basierten Schlüsselspeicheranbietern zum Generieren von Schlüsseln eine höhere Priorität erteilt. Außerdem können Administratoren beim Verwenden der Verlängerung mit demselben Schlüssel sicher sein, dass der Schlüssel nach der Verlängerung weiterhin im TPM verbleibt.

noteHinweis
Wenn die PIN (Personal Identification Number) zu oft falsch eingegeben wird, wird die Anti-Hammering-Logik des TPM aktiviert. Bei der Anti-Hammering-Logik handelt es sich um eine Software- oder Hardwaremethode, die die Schwierigkeit bzw. die Kosten für einen Brute-Force-Angriffs auf eine PIN erhöht, indem sie PIN-Eingaben erst nach Ablauf einer bestimmten Zeit akzeptiert.

Welchen Wert fügt diese Änderung hinzu?

Mit diesem Feature kann ein Administrator die Verlängerung mit demselben Schlüssel erzwingen, wodurch Verwaltungskosten reduziert werden (wenn Schlüssel automatisch verlängert werden) und die Schlüsselsicherheit erhöht wird (wenn die Schlüssel mithilfe von TPM-basierten Schlüsselspeicheranbietern gespeichert werden).

Worin liegen die Unterschiede?

Clients, die Zertifikate aus Vorlagen erhalten, die für die Verlängerung mit demselben Schlüssel konfiguriert sind, müssen ihre Zertifikate mithilfe desselben Schlüssels verlängern, sonst tritt bei der Verlängerung ein Fehler auf. Zudem ist diese Option nur für Windows 8- und Windows Server 2012-Zertifikatclients verfügbar.

noteHinweis
  1. Weitere Informationen finden Sie unter Zertifikatverlängerung mit demselben Schlüssel.

  2. Wenn die Option Renew with the same key in einer Zertifikatvorlage und außerdem die nachfolgende Schlüsselarchivierung (Archive subject's encryption private key) aktiviert ist, werden einige erneuerte Zertifikate möglicherweise nicht archiviert. Weitere Informationen zu diesem Fall und seiner Lösung finden Sie unter Schlüsselarchivierung und Erneuerung mit demselben Schlüssel.

Weitere Informationen finden Sie unter Zertifikatverlängerung mit demselben Schlüssel. Wenn die Option Mit dem gleichen Schlüssel erneuern für eine Zertifikatvorlage und außerdem die nachfolgende Schlüsselarchivierung (Privaten Schlüssel für die Verschlüsselung archivieren) aktiviert ist, werden erneuerte Zertifikate nicht archiviert. Weitere Informationen zu diesem Fall und seiner Lösung finden Sie unter Schlüsselarchivierung und Erneuerung mit demselben Schlüssel.

Internationalisierte Namen sind Namen mit Zeichen, die in ASCII nicht dargestellt werden können. AD CS in Windows Server 2012 unterstützt internationale Domänennamen (Internationalized Domain Names, IDNs) in verschiedenen Szenarien.

Welchen Wert fügt diese Änderung hinzu?

Die folgenden IDN-Szenarien werden nun unterstützt:

  • Zertifikatregistrierung für Computer mit IDNs

  • Generieren und Absenden einer Zertifikatanforderung mit einem IDN mithilfe des Befehlszeilentools "certreq.exe"

  • Veröffentlichen von Zertifikatsperrlisten (Certificate Revocation List, CRL) und des Online Certificate Status-Protokoll (OCSP) auf Servern mit IDNs

  • Die Benutzerschnittstelle Zertifikat unterstützt IDNs

  • Das MMC-Snap-In "Zertifikat" lässt auch IDNs in Zertifikateigenschaften zu

Worin bestehen die Unterschiede?

Wie zuvor beschrieben ist die Unterstützung für IDNs eingeschränkt.

Wenn eine Zertifizierungsstelle (Certification Authority, CA) eine Zertifikatanforderung empfängt, kann die Verschlüsselung für die Anforderung von der CA mithilfe von RPC_C_AUTHN_LEVEL_PKT erzwungen werden, wie im MSDN-Artikel Konstanten auf Authentifizierungsebene (http://msdn.microsoft.com/library/aa373553.aspx) beschrieben. In Windows Server 2008 R2 und früheren Versionen ist diese Einstellung für die Zertifizierungsstelle nicht standardmäßig aktiviert. In einer Windows Server 2012-Zertifizierungsstelle ist diese erweiterte Sicherheitseinstellung standardmäßig aktiviert.

Welchen Wert fügt diese Änderung hinzu?

Die Zertifizierungsstelle erzwingt die erhöhte Sicherheit in den an sie gesendeten Anforderungen. Bei dieser höheren Sicherheitsstufe müssen die Pakete, die ein Zertifikat anfordern, verschlüsselt sein, damit sie nicht abgefangen und gelesen werden können. Ist diese Einstellung nicht aktiviert, können alle Personen mit Zugriff auf das Netzwerk mithilfe eines Netzwerkanalysetools Pakete lesen, die an die und von der Zertifizierungsstelle gesendet werden. Das bedeutet, dass Informationen verfügbar gemacht werden könnten, die möglicherweise eine Datenschutzverletzung darstellen. Dazu gehören beispielsweise die Namen der anfordernden Benutzer oder Computer, die Typen von Zertifikaten, für die sie sich registrieren, die zugehörigen öffentlichen Schlüssel usw. Innerhalb einer Gesamtstruktur oder Domäne ist die Verbreitung dieser Daten für die meisten Organisationen möglicherweise kein Grund zur Sorge. Wenn Angreifer jedoch Zugriff auf den Netzwerkdatenverkehr erlangen, könnten interne Unternehmensstrukturen und -aktivitäten gesammelt werden, die wiederum für gezieltere Social Engineering- oder Phishing-Angriffe verwendet werden könnten.

Die Befehle zum Aktivieren der erweiterten Sicherheitsstufe von RPC_C_AUTHN_LEVEL_PKT in den Zertifizierungsstellen von Windows Server®  2003, Windows Server®  2003 R2, Windows Server®  2008 oder Windows Server 2008 R2 lauten wie folgt:

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Neustarten der Zertifizierungsstelle
net stop certsvc
net start certsvc

Wenn Sie noch über Windows XP-Clientcomputer verfügen, die Zertifikate von einer Zertifizierungsstelle anfordern müssen, für die die Einstellung aktiviert ist, haben Sie zwei Möglichkeiten:

  1. Aktualisieren Sie die Windows XP-Clients auf ein neueres Betriebssystem.

  2. Setzen Sie die Sicherheit der Zertifizierungsstelle herab, indem Sie die folgenden Befehle ausführen:

    1. certutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST

    2. net stop certsvc

    3. net start certsvc

Worin bestehen die Unterschiede?

Windows XP-Clients sind mit dieser für eine Windows Server 2012-Zertifizierungsstelle standardmäßig aktivierten höheren Sicherheitseinstellung nicht kompatibel. Bei Bedarf können Sie die Sicherheitseinstellung wie zuvor beschreiben herabsetzen.

Die Zertifikatdienste in Windows 8 und Windows Server 2012 können für die Nutzung der Active Directory-Domänendienststandorte konfiguriert werden, um die Anforderungen von Zertifikatdienst-Clientanforderungen zu optimieren. Diese Funktion ist weder auf Zertifizierungsstellen- noch auf PKI-Clientcomputern standardmäßig aktiviert.

noteHinweis
Informationen zur Aktivierung der AD DS-Standortinformationen finden Sie im TechNet-Wiki-Artikel AD DS-Standortinformationen für AD CS- und PKI-Clients.

Welchen Wert fügt diese Änderung hinzu?

Mithilfe dieser Änderung können Windows 8- und Windows Server 2012-Zertifikatclients am lokalen AD DS-Standort eine Zertifizierungsstelle ermitteln.

Worin liegen die Unterschiede?

Beim Registrieren für ein vorlagenbasiertes Zertifikat fragt der Client bei AD DS die Vorlage und die Zertifizierungsstellenobjekte ab. Anschließend wird vom Client ein DsGetSiteName-Funktionsaufruf verwendet, um seinen eigenen Standortnamen abzurufen. Für Zertifizierungsstellen, für die das msPKI-Site-Name-Attribut bereits festgelegt wurde, werden vom Zertifikatdienstclient die AD DS-Standortverknüpfungskosten vom Clientstandort zu den einzelnen Zertifizierungsstellenstandorten ermittelt. Zur Ermittlung wird ein DsQuerySitesByCost-Funktionsaufruf verwendet. Vom Zertifizierungsdienstclient werden die zurückgegebenen Standortkosten verwendet, um die Zertifizierungsstellen zu priorisieren, die für den Client die Berechtigung "Registrieren" zulassen und die jeweilige Zertifikatvorlage unterstützen. Die Zertifizierungsstellen mit den höheren Kosten werden nach Möglichkeit zuletzt kontaktiert (nur falls vorherige Zertifizierungsstellen nicht verfügbar sind).

noteHinweis
Von einer Zertifizierungsstelle werden möglicherweise keine Standortkosten zurückgegeben, wenn das msPKI-Site-Name-Attribut für die Zertifizierungsstelle nicht festgelegt ist. Falls für eine einzelne Zertifizierungsstelle keine Standortkosten verfügbar sind, werden ihr die höchstmöglichen Kosten zugewiesen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

Anzeigen:
© 2014 Microsoft