Leitdaten für Zertifizierungsstellen
Veröffentlicht: September 2016
Gilt für: Windows Server 2012 R2, Windows Server 2012
Eine Zertifizierungsstelle (ZS) beglaubigt die Identität von Benutzern, Computern und Unternehmen. Die ZS authentifiziert eine Entität und bürgt durch die Ausstellung eines digital signierten Zertifikats für diese Entität. ZS können Zertifikate außerdem verwalten, widerrufen und erneuern.
"Zertifizierungsstelle" kann sich auf Folgendes beziehen:
Ein Unternehmen, das für die Identität eines Endbenutzers bürgt
Ein Server, der vom Unternehmen für die Ausstellung und Verwaltung von Zertifikaten verwendet wird
Wenn Sie den Zertifizierungsstellen-Rollendienst aus den Active Directory-Zertifikatdiensten (AD CS) installieren, können Sie Ihren Windows Server so konfigurieren, dass sich dieser als ZS verhält.
Vor der Installation des ZS-Rollendienstes sollten Sie Folgendes beachten:
Planen Sie eine geeignete Public Key-Infrastruktur (PKI) für Ihr Unternehmen.
Installieren und konfigurieren Sie ein Hardwaresicherheitsmodul (HSM) gemäß der Anweisungen des HSM-Anbieters, falls Sie ein solches Modul verwenden möchten.
Erstellen Sie eine geeignete CAPolicy.inf, falls Sie die Standard-Installationseinstellungen ändern möchten.
Planen für die PKI
Um sicherzustellen, dass Ihr Unternehmen die Installation der Active Directory-Zertifikatdienste (AD CS) optimal nutzen kann, müssen Sie die PKI-Bereitstellung entsprechend planen. Sie sollten vor der Installation irgendwelcher ZS festlegen, wie viele ZS Sie installieren werden und wie diese konfiguriert sein werden. Die Erarbeitung eines geeigneten PKI-Designs kann zeitraubend sein, ist jedoch für den Erfolg Ihrer PKI entscheidend.
Weitere Informationen und Ressourcen finden Sie im Leitfaden zum PKI-Design in Microsoft TechNet.
Verwenden eines HSM
Mit einem Hardwaresicherheitsmodul (HSM) können Sie die Sicherheit von ZS und PKI verbessern.
Ein HSM ist ein dediziertes Hardwaregerät, das getrennt vom Betriebssystem verwaltet wird. Diese Module stellen einen sicheren Hardwarespeicher für Zertifizierungsstellenschlüssel sowie einen dedizierten kryptografischen Prozessor zur Beschleunigung von Signier- und Verschlüsselungsvorgängen zur Verfügung. Das Betriebssystem verwendet das HSM über die CryptoAPI-Schnittstellen, und das HSM fungiert als kryptografisches Dienstanbieter (CSP)-Gerät.
HSMs sind normalerweise PCI-Adapter, sind jedoch auch als netzwerkbasierte Geräte, serielle Geräte und USB-Geräte erhältlich. Wenn eine Organisation die Implementierung von zwei oder mehr Zertifizierungsstellen plant, können Sie ein einzelnes netzwerkbasiertes HSM installieren und für mehrere Zertifizierungsstellen verwenden.
Um eine ZS mit einem HSM einzurichten, müssen Sie das HSM installieren und konfigurieren, bevor Sie irgendwelche ZS mit Schlüsseln einrichten, die im HSM gespeichert werden.
Betrachtungen zur CAPolicy.inf-Datei
Die CAPolicy.inf-Datei ist nicht zwingend für die Installation von AD CS erforderlich, kann jedoch zum Anpassen der Einstellungen der ZS verwendet werden. Die CAPolicy.inf-Datei enthält verschiedene Einstellungen, die bei der Installation der ZS und beim Erneuern des Zertifizierungsstellenzertifikats verwendet werden. Die CAPolicy.inf-Datei muss im Verzeichnis %systemroot% (normalerweise C:\Windows) erstellt werden, um verwendet werden zu können.
Die in der CAPolicy.inf-Datei enthaltenen Einstellungen hängen größtenteils davon ab, welchen Bereitstellungstyp Sie erstellen möchten. Die CAPolicy.inf-Datei einer Stamm-ZS kann z. B: folgendermaßen aussehen:
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
LoadDefaultTemplates=0
Wohingegen die CAPolicy.inf-Datei für ein Unternehmen, das eine ZS ausstellt, wie folgt aussehen kann:
[Version]
Signature= "$Windows NT$"
[PolicyStatementExtension]
Policies = LegalPolicy, LimitedUsePolicy
[LegalPolicy]
OID = 1.1.1.1.1.1.1.1.1
URL = "https://www.contoso.com/pki/Policy/USLegalPolicy.asp"
URL = "ftp://ftp.contoso.com/pki/Policy/USLegalPolicy.txt"
[LimitedUsePolicy]
OID = 2.2.2.2.2.2.2.2.2
URL = "https://www.contoso.com/pki/Policy/USLimitedUsePolicy.asp"
URL = "ftp://ftp.contoso.com/pki/Policy/USLimitedUsePolicy.txt"
LoadDefaultTemplates=0
Hinweis
- Die gezeigten Objektkennungen (OIDs) in der CAPolicy.inf-Datei sind lediglich Beispiele. Einzelne Organisationen sollten eigene OIDs anfordern. Weitere Informationen zu OIDs finden Sie im Thema zum Anfordern einer Stamm-OID von einer ISO-Namensregistrierungsstelle.
- Weitere Informationen finden Sie unter CAPolicy.inf-Syntax.
ZS-Konfigurationseinstellungen auswählen
Die folgenden Abschnitte beschreiben die verschiedenen Konfigurationsoptionen, die Sie nach der Installation der binären ZS-Installationsdateien auswählen.
Auswählen des Setuptyps
Unternehmenszertifizierungsstellen sind mit Active Directory-Domänendiensten (AD DS) integriert. Diese ZS veröffentlichen Zertifikate und Zertifikatsperrlisten (CRLs) an AD DS. Unternehmenszertifizierungsstellen verwenden in AD DS gespeicherte Informationen inklusive Benutzerkonten und Sicherheitsgruppen, um Zertifikatanforderungen zu genehmigen oder abzulehnen. Unternehmenszertifizierungsstellen verwenden Zertifikatvorlagen. Beim Ausstellen eines Zertifikats verwendet die Unternehmenszertifizierungsstelle Informationen aus der Zertifikatvorlage, um ein Zertifikat mit den entsprechenden Attributen für diesen Zertifikatstyp zu generieren.
Falls Sie automatische Zertifikatgenehmigung und automatische Registrierung für Benutzerzertifikate aktivieren möchten, müssen Sie die Zertifikate mit Unternehmenszertifizierungsstellen ausstellen. Diese Features sind nur verfügbar, wenn die ZS-Infrastruktur mit Active Directory integriert ist. Außerdem können nur Unternehmenszertifizierungsstellen Zertifikate für die Smartcardanmeldung ausstellen, da die Smartcard-Zertifikate bei diesem Prozess automatisch zu den Benutzerkonten in Active Directory zugeordnet werden müssen.
Hinweis
Standardmäßig müssen Sie Mitglied der Gruppe Organisations-Admins sein, um eine Unternehmenszertifizierungsstellen zu installieren und zu konfigurieren. Weitere Informationen zu Installation und Konfiguration einer Unternehmenszertifizierungsstelle durch einen Domänenadministrator mit niedrigen Berechtigungen finden Sie unter Delegierte Installation für eine Unternehmenszertifizierungsstelle.
Eigenständige ZS benötigen kein AD DS, da diese ZS keine Zertifikatvorlagen verwenden. Falls Sie eigenständige ZS verwenden, müssen alle Informationen über den angeforderten Zertifikatstyp in der Zertifikatanforderung enthalten sein. Standardmäßig werden alle an eigenständige ZS übermittelte Zertifikatanforderungen in einer Warteschlange vorgehalten, bis diese von einem ZS-Administrator genehmigt werden. Sie können eigenständige ZS so konfigurieren, dass diese auf Anfrage automatisch Zertifikate ausstellen. Dies ist jedoch weniger sicher und normalerweise nicht empfehlenswert, da die Anfragen nicht authentifiziert sind.
Hinsichtlich der Leistung können Sie Zertifikate mit eigenständigen ZS schneller ausstellen als wenn Sie eine Unternehmens-ZS verwenden. Sofern Sie die Zertifikate nicht automatisch ausstellen, ist der Einsatz eigenständiger ZS zum Ausstellen großer Mengen von Zertifikaten jedoch mit hohem Verwaltungsaufwand verbunden, da ein Administrator jede einzelne Anforderung prüfen und genehmigen oder ablehnen muss. Aus diesem Grund sollten eigenständige ZS in Extranet und Internet mit Anwendungen mit öffentlichem Schlüssel verwendet werden, wenn Benutzer keine Konten haben und die Menge auszustellender und zu verwaltender Zertifikate relativ niedrig ist
Sie müssen eigenständige ZS zum Ausstellen von Zertifikaten verwenden, wenn Sie einen nicht von Microsoft stammenden Verzeichnisdienst verwenden oder wenn AD DS nicht verfügbar ist. Sie können in Ihrem Unternehmen sowohl Unternehmens- als auch eigenständige Zertifizierungsstellen verwenden. Beachten Sie dazu die folgenden Tabelle.
| Option | Unternehmens-ZS | Eigenständige ZS |
|---|---|---|
| Veröffentlichen von Zertifikaten in Active Directory und Prüfen von Zertifikatanforderungen mit Active Directory. | Ja | Nein |
| Nehmen Sie die ZS vom Netz. | Nicht empfohlen | Ja |
| Konfigurieren Sie die ZS, sodass diese Zertifikate automatisch ausstellt. | Ja | Nicht empfohlen |
| Erlauben Sie Administratoren das manuelle Genehmigen von Zertifikatanforderungen. | Ja | Ja |
| Erlauben Sie die Verwendung von Zertifikatvorlagen. | Ja | Nein |
| Authentifizieren von Anforderungen an Active Directory. | Ja | Nein |
Auswählen des ZS-Typs
Unternehmens- und eigenständige ZS können als Stamm- oder als untergeordnete ZS konfiguriert werden. Untergeordnete ZS können darüber hinaus als Zwischenzertifizierungsstelle (auch als Richtlinien-ZS bezeichnet) oder als ausstellende ZS konfiguriert werden
Bestimmen einer Stamm-ZS
Stamm-ZS sind ZS, die sich an der Spitze einer Zertifizierungshierarchie befinden. Clients in Ihrem Unternehmen müssen diesen ZS bedingungslos vertrauen. Alls Zertifikatketten enden bei einer Stamm-ZS. Sie müssen eine Stamm-ZS bestimmen, egal ob Sie Unternehmens- oder eigenständige ZS verwenden.
Da die Stamm-ZS an der Spitze der Zertifizierungshierarchie liegt, hat das Feld Antragsteller des von einer Stamm-ZS ausgestellten Zertifikats denselben Wert wie das Feld Aussteller desselben Zertifikats. Und da die Zertifikatkette beim Erreichen einer selbstsignierten ZS endet, sind alle selbstsignierten ZS auch Stamm-ZS. Die Entscheidung, eine ZS als vertrauenswürdige Stamm-ZS zu bestimmen, kann auf Unternehmensebene oder lokal durch einzelne IT-Administratoren getroffen werden.
Eine Stamm-ZS dient als Fundament für Ihr Zertifizierungsstellen-Vertrauensmodell. Diese ZS garantiert, dass der öffentliche Schlüssel des Antragstellers mit der Identität im Feld Antragsteller der ausgestellten Zertifikate übereinstimmt. Unterschiedliche ZS können diese Beziehung auf unterschiedliche Arten prüfen. Daher ist es wichtig, dass Sie die Richtlinien und Prozeduren der Stammzertifizierungsstelle verstehen, bevor Sie dieser ZS die Prüfung öffentlicher Schlüssel anvertrauen.
Die Stamm-ZS ist die wichtigste TS in Ihrer Hierarchie. Wenn Ihre Stamm-ZS gefährdet ist, gelten auch alle ZS in der Hierarchie sowie alle von ihnen ausgestellten Zertifikate als gefährdet. Sie können die Sicherheit der Stamm-ZS maximieren, indem Sie diese vom Netz getrennt halten und indem Sie untergeordnete ZS zum Ausstellen von Zertifikaten für andere untergeordnete ZS oder für Endbenutzer verwenden.
Untergeordnete ZS
ZS, die keine Stamm-ZS sind, werden als untergeordnete ZS bezeichnet. Die erste untergeordnete ZS in einer Hierarchie erhält ihr ZS-Zertifikat von der Stamm-ZS. Diese erste untergeordnete ZS kann diesen Schlüssel zum Ausstellen von Zertifikaten verwenden, die die Integrität anderer untergeordneter ZS prüfen. Diese höheren untergeordneten ZS werden auch als Zwischen-ZS bezeichnet. Jede Zwischen-ZS ist einer Stamm-ZS untergeordnet, dient jedoch als höhere Zertifizierungsstelle für eine oder mehrere untergeordnete ZS.
Zwischen-ZS werden oft als Richtlinien-ZS bezeichnet, da diese üblicherweise zum Trennen von Zertifikatklassen verwendet werden, die sich durch Richtlinien unterscheiden. Richtlinientrennung umfasst z. B. den Sicherheitsgrad, den eine ZS bietet, oder den geografischen Standort der ZS zur Unterscheidung unterschiedlicher Personengruppen in Endentitäten. Richtlinien-ZS können online oder offline funktionieren.
Warnung
Eine Konvertierung von Stamm-ZS zu untergeordneter ZS und umgekehrt ist nicht möglich.
Speichern eines privaten Schlüssels
Der private Schlüssel ist Teil der ZS-Identität und muss entsprechend geschützt werden. Viele Unternehmen schützen ihre privaten ZS-Schlüssel mit einem Hardwaresicherheitsmodul (HSM). Falls kein HSM verwendet wird, befindet sich der private Schlüssel auf dem ZS-Computer. Weitere Informationen finden Sie unter Hardwaresicherheitsmodul (HSM) in Microsoft TechNet.
Offline-ZS sollten an sich an einem sicheren Standort befinden und nicht mit dem Netzwerk verbunden sein. Ausstellende ZS verwenden ihre privaten Schlüssel beim Ausstellen von Zertifikaten. Daher muss der private Schlüssel (online) verfügbar sein, während die ZS in Betrieb ist. ZS und deren privater Schlüssel müssen in jedem Fall physisch geschützt sein.
Auffinden eines existierenden Schlüssels
Falls Sie bereits einen existierenden privaten Schlüssel haben und diesen bei der Installation verwenden möchten, können Sie den Bildschirm Existierender Schlüssel für die Suche nach diesem Schlüssel verwenden. Mit der Schaltfläche Ändern können Sie den Kryptografieanbieter ändern und optional die ZS auswählen, die Sie nach einem existierenden Schlüssel durchsuchen möchten.
Auffinden eines existierenden Zertifikats
Falls Sie bereits ein Zertifikat haben, das den privaten Schlüssel für die ZS enthält, können Sie den Bildschirm Existierendes Zertifikat für die Suche nach diesem Zertifikat verwenden. Mit der Schaltfläche Importieren können Sie den Dialog Existierendes Zertifikat importieren öffnen und anschließend nach Ihrer existierenden PKCS #12-Datei suchen.
Auswählen von Kryptografieoptionen
Die Auswahl der Kryptografieoptionen für eine Zertifizierungsstelle (ZS) hat entscheidende Auswirkungen auf Sicherheit, Leistung und Kompatibilität der ZS. Obwohl die kryptografischen Standardoptionen für die meisten ZS geeignet sind, bieten benutzerdefinierte Optionen wichtige Werkzeuge für Administratoren und Anwendungsentwickler mit tieferen Kenntnissen der Kryptografie und einem Bedarf nach dieser Flexibilität. Kryptografieoptionen können über Kryptografiedienstanbieter (CSPs) oder Schlüsselspeicheranbieter (Key Storage Providers, KSPs) implementiert werden.
Wichtig
Beim Verwenden eines RSA-Zertifikats für eine ZS sollten Sie eine Mindest-Schlüssellänge von 2048 Bit sicherstellen. Verwenden Sie auf keinen Fall ein RSA-Zertifikat mit weniger als 1024 Bit für die ZS. Der ZS-Dienst (certsvc) startet nicht, wenn ein RSA-Schlüssel mit weniger als 1024 Bit installiert ist.
CSPs sind Hardware- und Softwarekomponenten in Windows-Betriebssystemen, die generische Kryptografiefunktionen bereitstellen. CSPs können eine Vielzahl von Verschlüsselungs- und Signaturalgorithmen bereitstellen.
Schlüsselspeicheranbieter (KSPs) können für Computer, die eine minimale Serverversion von Windows Server 2008 R2 und eine minimale Clientversion von Windows Vista ausführen, einen starken Schlüsselschutz bieten.
Wichtig
Bei der Auswahl von Anbieter, Hashalgorithmus und Schlüssellänge berücksichtigen Sie unbedingt die Kryptografieoptionen, die von den geplanten Anwendungen und Geräten unterstützt werden können. Obwohl es eine bewährte Methode ist, die stärksten Sicherheitsoptionen auszuwählen, können diese nicht von allen Anwendungen und Geräten unterstützt werden.
Wenn sich Ihre Supportanforderungen ändern, und Sie dann in der Lage sind, stärkere Sicherheitsoptionen zu verwenden, z. B. durch die Migration zu einem Schlüsselspeicheranbieter (KSP) und einem stärkeren Hashalgorithmus, finden Sie weitere Informationen unter Migrieren eines Zertifizierungsstellenschlüssels von einem Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) zu einem Schlüsselspeicheranbieter (Key Storage Provider, KSP).
Die Option Administratorinteraktion bei jedem Zertifizierungsstellenzugriff auf den privaten Schlüssel zulassen wird üblicherweise gemeinsam mit Hardwaresicherheitsmodulen (HSMs) verwendet. Mit dieser Option können Kryptografieanbieter den Benutzer beim Zugriff auf den privaten Schlüssel der ZS zur Eingabe zusätzlicher Informationen auffordern. Diese Option verhindert unbefugten Zugriff auf die ZS und deren privaten Schlüssel, da der Administrator vor jeder kryptografischen Operation ein Kennwort eingeben muss.
Die eingebauten Kryptografieanbieter unterstützen bestimmte Schlüssellängen und Hashalgorithmen, wie in der folgenden Tabelle beschrieben.
| Kryptografieanbieter | Schlüssellängen | Hashalgorithmus |
|---|---|---|
| Microsoft Basis-Kryptografieanbieter v1.0 | - 512 - 1.024 - 2.048 - 4.096 |
- SHA1 - MD2 - MD4 - MD5 |
| Microsoft Basis-DSS-Kryptografieanbieter | - 512 - 1.024 |
SHA1 |
| Microsoft BasisSmartcard-Kryptografieanbieter | - 1.024 - 2.048 - 4.096 |
- SHA1 - MD2 - MD4 - MD5 |
| Microsoft erweiterter Kryptografieanbieter v1.0 | - 512 - 1.024 - 2.048 - 4.096 |
- SHA1 - MD2 - MD4 - MD5 |
| Microsoft starker Kryptografieanbieter | - 512 - 1.024 - 2.048 - 4.096 |
- SHA1 - MD2 - MD4 - MD5 |
| RSA#Softwareschlüsselspeicher-Anbieter von Microsoft | - 512 - 1.024 - 2.048 - 4.096 |
- SHA1 - SHA256 - SHA384 - SHA512 - MD2 - MD4 - MD5 |
| DSA#Softwareschlüsselspeicher-Anbieter von Microsoft | - 512 - 1.024 - 2.048 |
SHA1 |
| ECDSA_P256#Softwareschlüsselspeicher-Anbieter von Microsoft | 256 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P384#Softwareschlüsselspeicher-Anbieter von Microsoft | 384 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P521#Softwareschlüsselspeicher-Anbieter von Microsoft | 521 | - SHA1 - SHA256 - SHA384 - SHA512 |
| RSA#Smartcard-Schlüsselspeicher-Anbieter von Microsoft | - 1.024 - 2.048 - 4.096 |
- SHA1 - SHA256 - SHA384 - SHA512 - MD2 - MD4 - MD5 |
| ECDSA_P256#Smartcard-Schlüsselspeicher-Anbieter von Microsoft | 256 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P384#Smartcard-Schlüsselspeicher-Anbieter von Microsoft | 384 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P521#Smartcard-Schlüsselspeicher-Anbieter von Microsoft | 521 | - SHA1 - SHA256 - SHA384 - SHA512 |
Vergabe von ZS-Namen
Bevor Sie Zertifizierungsstellen (ZS) in Ihrem Unternehmen konfigurieren, sollten Sie eine ZS-Benennungskonvention auswählen.
Sie können beliebige Unicode-Zeichen im Namen verwenden, allerdings sollten Sie sich auf den ANSI-Zeichensatz beschränken, falls Interoperabilität eine Rolle spielt. Manche Router können den Registrierungsdienst für Netzwerkgeräte für die Registrierung von Zertifikaten nicht verwenden, wenn der ZS-Name Sonderzeichen wie z. B. einen Unterstrich enthält.
Wichtig
Falls Sie nicht-lateinische Zeichen (z. B: kyrillische, arabische oder chinesische Zeichen) verwenden, muss Ihr ZS-Name kürzer als 64 Zeichen sein. Falls Sie ausschließlich lateinische Zeichen verwenden, darf Ihr ZS-Name maximal 37 Zeichen lang sein.
In Active Directory-Domänendiensten (AD DS) wird der bei der Konfiguration eines Servers als ZS angegebene Name als allgemeiner Name der ZS übernommen und in jedem von dieser ZS ausgestellten Zertifikat verwendet. Aus diesem Grund dürfen Sie nicht den vollqualifizierten Domänennamen als allgemeinen Namen der ZS verwenden. Auf diese Weise können böswillige Benutzer, die eine Kopie des Zertifikats an sich bringen, nicht den vollqualifizierten Domänennamen der ZS identifizieren und verwenden, um ein Sicherheitsrisiko zu schaffen.
Warnung
Der ZS-Name sollte nicht identisch mit dem Namen des Computers sein (NetBIOS- oder DNS-Name). Außerdem können Sie den Namen eines Servers nach der Installation der Active Directory-Zertifikatdienste (AD CS) nicht ändern, ohne dass alle von dieser ZS ausgestellten Zertifikate ungültig werden. Weitere Betrachtungen zu ZS-Namen finden Sie im folgenden TechNet-Wikiartikel: Betrachtungen zu Namen von Zertifizierungsstellen (ZS).
Um den Servernamen nach der Installation von AD CS zu ändern, müssen Sie die ZS deinstallieren, den Servernamenn ändern, die ZS mit denselben Schlüsseln neu installieren und die Registrierung bearbeiten, sodass diese die existierenden ZS-Schlüssel und Datenbank verwendet. Bei Namensänderungen von Domänen müssen Sie die ZS nicht neu installieren. Allerdings müssen Sie die ZS neu konfigurieren, um die Namensänderung zu unterstützen.
Ausgabe von Zertifikatanforderungen
Nach der Installation einer Stammzertifizierungsstelle (Stamm-ZS) installieren viele Unternehmen eine oder mehrere untergeordnete ZS, um Richtlinieneinschränkungen für die Public Key-Infrastruktur (PKI) zu implementieren und um Zertifikate an End-Clients auszugeben. Durch die Verwendung von mindestens einer untergeordneten ZS wird die Stamm-ZS vor unnötiger Sichtbarkeit geschützt. Bei der Installation einer untergeordneten ZS müssen Sie ein Zertifikat von der übergeordneten ZS abrufen.
Wenn die übergeordnete ZS online ist, können Sie die Option Zertifikatanforderung an übergeordnete Zertifizierungsstelle senden verwenden und die übergeordnete ZS anhand von ZS-Name oder Computername auswählen.
Wenn die übergeordnete ZS offline ist, sollten Sie die Option Zertifikatanforderung in einer Datei auf dem Zielcomputer speichern verwenden. Die entsprechende Prozedur ist einzigartig für die übergeordnete ZS. Die übergeordnete ZS sollte zumindest eine Datei bereitstellen, welche das neu ausgestellte Zertifikat der untergeordneten ZS enthält, bevorzugt jedoch den kompletten Zertifizierungspfad.
Falls Sie ein Zertifikat für eine untergeordnete ZS erhalten, das nicht den kompletten Zertifizierungspfad enthält, muss die neu installierte ZS in der Lage sein, beim Start eine gültige ZS-Kette zu erstellen. Führen Sie eine der folgenden Aktionen aus, um einen gültigen Zertifizierungspfad zu erstellen:
Installieren Sie das Zertifikat der übergeordneten ZS im Zertifikatspeicher Zwischenzertifizierungsstelle des Computers, falls die übergeordnete ZS keine Stamm-ZS ist.
Installieren Sie die Zertifikate aller weiteren Zwischen-ZS in der Kette.
Installieren Sie das Zertifikat der Stamm-ZS im Speicher Vertrauenswürdige Stammzertifizierungsstellen.
Hinweis
Diese Zertifikate sollten im Zertifikatspeicher installiert werden, bevor Sie das ZS-Zertifikat in der neu eingerichteten untergeordneten ZS installieren.
Prüfen der Gültigkeitsdauer
Zertifikatbasierte Kryptografie verwendet Public Key-Kryptografie für Schutz und Signierung von Daten. Im Lauf der Zeit können Angreifer die mit dem öffentlichen Schlüssel geschützten Daten sammeln und versuchen, daraus den privaten Schlüssel zu extrahieren. Mit genügend Zeit und Ressourcen kann der private Schlüssel und somit alle geschützten Daten gefährdet werden. Außerdem müssen die durch Zertifikate geschützten Namen regelmäßig geändert werden. Da das Zertifikat eine Bindung zwischen einem Namen und einem öffentlichen Schlüssel darstellt, muss es erneuert werden, wenn sich einer dieser Werte ändert.
Jedes Zertifikat verfügt über eine Gültigkeitsdauer. Nach Ablauf der Gültigkeitsdauer gilt das Zertifikat nicht mehr als akzeptable oder verwendbare Anmeldeinformation.
ZS können keine Zertifikate ausstellen, die über deren eigene Gültigkeitsdauer hinaus gültig sind. Daher sollte das ZS-Zertifikat erneuert werden, wenn die Hälfte der Gültigkeitsdauer abgelaufen ist. Sie sollten dieses Datum bei der Installation einer ZS planen und als zukünftige Aufgabe erfassen.
Auswählen einer ZS-Datenbank
Wie auch viele andere Datenbanken handelt es sich bei der ZS-Datenbank um eine Datei auf der Festplatte. Neben dieser Datei existieren noch weitere Dateien als Transaktionsprotokolle, die alle Änderungen an der Datenbank empfangen, bevor die Änderungen umgesetzt werden. Da diese Dateien häufig und simultan verwendet werden, sollten Datenbank und Transaktionsprotokolle auf unterschiedlichen Festplatten oder hochleistungsfähigen Festplattenkonfigurationen liegen, wie z. B. Stripesetvolumes.
Der Speicherort von Zertifikatdatenbank und Protokolldateien wird mit dem folgenden Registrierungseintrag festgelegt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
Die Registrierung enthält die folgenden Werte:
DBDirectory
DBLogDirectory
DBSystemDirectory
DBTempDirectory
Hinweis
Sie können Zertifikatdatenbank und Protokolldateien nach der Installation verschieben. Weitere Informationen finden Sie in der Microsoft Knowledge Base im Artikel 283193.
Konfigurieren der ZS
Nach der Installation einer Stamm- oder untergeordneten ZS müssen Sie die Erweiterungen Zugriff auf Zertifizierungsstelleninfos (Authority Information Access AIA) und Sperrlisten-Verteilungspunkte (CRL distribution point CDP) konfigurieren, bevor die ZS mit dem Ausstellen von Zertifikaten beginnen kann. Die AIA-Erweiterung bestimmt, wo sich die aktuellen Zertifikate der ZS befinden. Die CDP-Erweiterung bestimmt, wo sich die aktuellen Zertifikate befinden, die von dieser ZS signiert wurden. Diese Erweiterungen gelten für alle von dieser ZS ausgestellten Zertifikate.
Durch die Konfiguration dieser Erweiterungen wird sichergestellt, dass diese Informationen in allen von dieser ZS ausgestellten Zertifikaten enthalten und somit für alle Clients verfügbar sind. Dies garantiert eine minimale Anzahl von Fehlern für PKI-Clients aufgrund von ungeprüften Zertifikatketten oder Zertifikatsperren. Diese Fehler können zu Problemen bei VPN-Verbindungen und Smartcard-Anmeldungen oder zu ungeprüften E-Mail-Signaturen führen.
Als ZS-Administrator können Sie Zertifikatsperrlisten-Verteilungspunkte und die Standorte für die CDP- und AIA-Zertifikatausstellung hinzufügen, entfernen und bearbeiten. Änderungen an der URL für einen Zertifikatsperrlisten-Verteilungspunkt wirken sich nur auf neu ausgestellte Zertifikate aus. Zuvor ausgestellte Zertifikate verweisen weiterhin auf die Ausgangs-URL. Daher sollten Sie diese Orte festlegen, bevor Ihre ZS irgendwelche Zertifikate ausstellt.
Beachten Sie diese Richtlinien beim Konfigurieren von URLs für die CDP-Erweiterung:
Vermeiden Sie es, Deltazertifikatsperrlisten auf offline-Stamm-ZS zu veröffentlichen. Da offline-Stamm-ZS nicht besonders viele Zertifikate sperren, wird vermutlich keine Deltazertifikatsperrliste benötigt.
Passen Sie die standardmäßigen LDAP:///- und HTTP://-URL-Standorte in der Registerkarte Erweiterungen innerhalb der Registerkarte Erweiterungseigenschaften Ihrer ZS entsprechend an.
Veröffentlichen Sie eine Zertifikatsperrliste an einem Ort im Internet oder Extranet, um Benutzern und Anwendungen außerhalb des Unternehmens eine Zertifikatprüfung zu ermöglichen. Sie können die LDAP- und HTTP-URLs für CDP-Speicherorte veröffentlichen, sodass Clients die CRL-Daten per HTTP und LDAP abrufen können.
Beachten Sie, dass Windows-Clients die Liste der URLs in sequenzieller Reihenfolge abrufen, bis eine gültige CRL abgerufen wurde.
Verwenden Sie HTTP-CDP-Speicherorte, um die CRL-Speicherorte für Clients mit nicht-Windows-Betriebssystemen zugänglich zu machen.
Hinweis
Weitere Informationen zu Zertifikatsperrlisten und Deltazertifikatsperrlisten finden Sie unter Konfigurieren der Zertifikatsperrung.
Windows PowerShell und certutil unterstützen variable Zahlen (mit vorangestelltem Prozentzeichen [%]) als Hilfe bei der Veröffentlichung von CDP- und AIA-Speicherorten. Die Registerkarte Erweiterungseigenschaften der ZS unterstützt Variablen in Klammern. Die folgende Tabelle enthält die Zuordnungen zwischen Variablen und Schnittstellen und beschreibt deren Bedeutungen.
| Variable | Name der Registerkarte "Erweiterungen" | Beschreibung |
|---|---|---|
| %1 | <ServerDNSName> | Der DNS-Name des ZS-Computers. In DNS-Domänen ist dies der vollqualifizierte Domänenname, ansonsten der Hostname des Computers. |
| %2 | <ServerShortName> | Der NetBIOS-Name des ZS-Servers |
| %3 | <CaName> | Der Name der ZS |
| %4 | <CertificateName> | Dieser Parameter ermöglicht ein eindeutiges Suffix für jede zusätzliche Revision des Zertifikats. |
| %4 | Keine | Nicht verwendet |
| %6 | <ConfigurationContainer> | Der Speicherort des Konfigurationscontainers in den Active Directory-Domänendiensten (AD DS) |
| %7 | <CATruncatedName> | Der auf 32 Zeichen abgeschnittene Name der TS mit einem Hash am Ende |
| %8 | <CRLNameSuffix> | Fügt beim Veröffentlichen einer CRL in einer Datei oder einem URL-Speicherort ein Suffix an den Dateinamen an. |
| %9 | <DeltaCRLAllowed> | Dies ersetzt die CRLNameSuffix-Variable beim Veröffentlichen einer Delta-CRL durch ein separates Suffix, um die Delta-CRL von der CRL unterscheiden zu können. |
| %10 | <CDPObjectClass> | Der Objektklassenbezeichner für Zertifikatsperrlisten-Verteilungspunkte beim Veröffentlichen in Form einer LDAP-URL. |
| %11 | <CAObjectClass> | Der Objektklassenbezeichner für eine ZS beim Veröffentlichen in Form einer LDAP-URL. |
Veröffentlichen der AIA-Erweiterung
Die AIA-Erweiterung teilt den Clientcomputern mit, wo sich das zu prüfende Zertifikat befindet. Auf diese Weise können Clients die Vertrauenswürdigkeit des Zertifikat prüfen.
Sie können die AIA-Erweiterung über die Zertifizierungsstellen-Schnittstelle, mithilfe von Windows PowerShell oder über den certutil-Befehl konfigurieren. Die folgende Tabelle enthält die Optionen für die Konfiguration der AIA-Erweiterung mit diesen Methoden.
| Name des Kontrollkästchens | Windows PowerShell-Parameter | Certutil-Wert |
|---|---|---|
| In die AIA-Erweiterung des ausgestellten Zertifikats einbeziehen | -AddToCertificateAia | 2 |
| In die Online Certificate Status-Protokoll (OCSP)-Erweiterung einbeziehen | -AddToCertificateOcsp | 32 |
Die Beispiele für die Veröffentlichung der AIA-Erweiterung in diesem Abschnitt beschreiben das folgende Szenario:
Der Domänenname ist corp.contoso.com.
In der Domäne befindet sich ein Webserver mit dem Namen App1.
App1 hat einen freigegebenen Ordner mit dem Namen PKI, in dem die ZS Lese- und Schreibberechtigungen hat.
App1 hat den DNS CNAME www und ein freigegebenes virtuelles Verzeichnis mit dem Namen PKI.
Das erste Protokoll, das Clientcomputer für die AIA-Informationen verwenden sollen, ist HTTP.
Das zweite Protokoll, das Clientcomputer für die AIA-Informationen verwenden sollen, ist LDAP.
Die ZS wird als ausstellende Online-ZS konfiguriert.
OCSP wird nicht verwendet.
Verwenden der Benutzeroberfläche zum Veröffentlichen der AIA-Erweiterung
Die Benutzeroberfläche verwendet die in den vorherigen Tabellen beschriebenen Namen für Variablen und Kontrollkästchen. Sie erreichen die Benutzeroberfläche über die Zertifizierungsstellen-Benutzeroberfläche. Klicken Sie im Inhaltsbereich mit der rechten Maustaste auf die ZS, dann auf Eigenschaften und auf Erweiterungen. Klicken Sie unter Erweiterung auswählen auf Zugriff auf Stelleninformationen.
.jpeg "AIA-Eigenschaften")
Abbildung 1 AIA-Erweiterungsmenü
Die in der Benutzeroberfläche konfigurierten Speicherorte und Einstellungen sind wie folgt:
C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt
https://www.contoso.com/pki/\<ServerDNSName>_<CaName><CertificateName>.crt
- In die AIA-Erweiterung der ausgestellten Zertifikate einbeziehen
file://\\App1.corp.contoso.com\pki\<ServerDNSName>_<CaName><CertificateName>.crt
ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass>
- In die AIA-Erweiterung der ausgestellten Zertifikate einbeziehen
Verwenden von Windows PowerShell zum Veröffentlichen der AIA-Erweiterung
Sie können die AIA-Erweiterung für das gegebene Szenario mit den folgenden Windows PowerShell-Befehlen konfigurieren:
$aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-CAAuthorityInformationAccess $aia.uri -Force};
Add-CAAuthorityInformationAccess -AddToCertificateAia https://www.contoso.com/pki/%1_%3%4.crt
Add-CAAuthorityInformationAccess -AddToCertificateAia file://\\App1.corp.contoso.com\pki\%1_%3%4.crt
Add-CAAuthorityInformationAccess -AddToCertificateAia "ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"
Hinweis
- Wenn Sie AIA-Pfade mit Windows PowerShell hinzufügen, bleiben die existierenden Pfade unverändert. Der erste Windows PowerShell-Befehl im Beispiel entfernt alle existierenden Pfade. Weitere Informationen zum Entfernen von AIA-Pfaden mit Windows PowerShell finden Sie unter Remove-CAAuthorityInformationAccess.
- Mit dem Windows PowerShell-Cmdlet Add-CAAuthorityInformationAccess können Sie keine lokalen Pfade hinzufügen. Das ZS-Zertifikat wird automatisch am Standardspeicherort unter %systemroot%\system32\CertSrv\CertEnroll veröffentlicht.
Verwenden von certutil zum Veröffentlichen der AIA-Erweiterung
Sie können die AIA-Erweiterung für das gegebene Szenario mit dem folgenden certutil-Befehl konfigurieren:
certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:https://www.contoso.com/pki/%1_%3%4.crt\n1:file://\\App1.corp.contoso.com\pki\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"
Hinweis
- Nach dem Ändern dieser Pfade müssen Sie CertSvc unbedingt neu starten. Hierzu können Sie folgenden Windows PowerShell-Befehl verwenden:
restart-service certsvc. - Geben Sie in einem
certutil-Befehl alle Pfade als fortlaufende Zeichenfolge in Anführungszeichen an. Die Pfade werden mit dem Trennzeichen\nvoneinander getrennt.
Veröffentlichen der CDP-Erweiterung
Die CDP-Erweiterung teilt Clientcomputern mit, wo sich die aktuellste CRL befindet, damit der Client prüfen kann, ob ein bestimmtes Zertifikat widerrufen wurde.
Sie können die CDP-Erweiterung über die Zertifizierungsstellen-Schnittstelle, mithilfe von Windows PowerShell oder über den certutil-Befehl konfigurieren. Die folgende Tabelle enthält die Optionen für die Konfiguration der CDP-Erweiterung mit diesen Methoden.
| Name des Kontrollkästchens | Windows PowerShell-Parameter | Certutil-Wert |
|---|---|---|
| Veröffentlichen von CRLs an diesem Ort | -PublishToServer | 1 |
| In alle CRLs einbeziehen. (Gibt an, ob beim manuellen Veröffentlichen in Active Directory veröffentlicht werden soll.) |
-AddToCrlCdp | 8 |
| In CRLs einbeziehen. (Clients finden die Speicherorte der Delta-CRLs mit diesem Parameter.) |
-AddToFreshestCrl | 4 |
| In die CDP-Erweiterung der ausgestellten Zertifikate einbeziehen. | -AddToCertificateCdp | 2 |
| Veröffentlichen von Delta-CRLs an diesem Ort. | -PublishDeltaToServer | 64 |
| In die IDP-Erweiterung der ausgestellten CRLs einbeziehen. | -AddToCrlIdp | 128 |
Hinweis
Die Erweiterung ausstellender Verteilungspunkt (Issuing Distribution Point IDP) wird von nicht-Windows-Clients zur Prüfung von Zertifikatsperren verwendet. Mit der IDP-Erweiterung können partitionierte CRLs bei der Verwendung von ZS externer Anbieter bereitgestellt werden. Mit partitionierten CRLs können ZS externer Anbieter CRLs mit einem bestimmten Zertifikattyp pro CRL veröffentlichen. Sie können z. B. separate CRLs für Endzertifikate und ZS-Zertifikate einrichten. Für die IDP-Erweiterung können die folgenden Optionen konfiguriert werden:
- onlyContainUserCerts. Mit dieser IDP-Option werden nur Zertifikate erlaubt, die nicht den Wert cA in der Basiseinschränkungen-Erweiterung haben. Wenn das Zertifikat keine Basiseinschränkungen-Erweiterung enthält, wird angenommen, dass es sich nicht um eine ZS handelt.
- onlyContainsCACerts. Mit dieser IDP-Option werden nur Zertifikate erlaubt, die eine Basiseinschränkungen-Erweiterung mit in die CRL integrierte cA haben.
Wenn Sie die Veröffentlichung von Delta-CRLs in einem Internetinformationsdienste-Webserver (IIS) erlauben, müssen Sie die IIS-Standardkonfiguration anpassen, indem Sie allowDoubleEscaping=true für Element requestFiltering im Abschnitt system.web der IIS-Konfiguration einstellen. Wenn Sie z. B. doppelte Escapezeichen für das virtuelle PKI-Verzeichnis der Standardwebsite in IIS erlauben möchten, müssen Sie den folgenden Befehl auf dem IIS-Webserver ausführen: appcmd set config "Default Web Site/pki" -section:system.webServer/security/requestFiltering -allowDoubleEscaping:true. Weitere Informationen finden Sie unter AD CS: Webserver sollte zulassen, dass der URI das "+"-Zeichen enthält, um die Veröffentlichung von Delta-CRLs zu ermöglichen.
Die Beispiele für die Veröffentlichung der CDP-Erweiterung in diesem Abschnitt beschreiben das folgende Szenario:
Der Domänenname ist corp.contoso.com.
In der Domäne befindet sich ein Webserver mit dem Namen App1.
App1 hat einen freigegebenen Ordner mit dem Namen PKI, in dem die ZS Lese- und Schreibberechtigungen hat.
App1 hat den DNS CNAME www und ein freigegebenes virtuelles Verzeichnis mit dem Namen PKI.
Das erste Protokoll, das Clientcomputer für die CDP-Informationen verwenden sollen, ist HTTP.
Das zweite Protokoll, das Clientcomputer für die CDP-Informationen verwenden sollen, ist LDAP.
Die ZS wird als ausstellende Online-ZS konfiguriert.
IDP wird nicht verwendet.
Verwenden der Benutzeroberfläche zum Veröffentlichen der CDP-Erweiterung
Die Benutzeroberfläche verwendet die in den vorherigen Tabellen beschriebenen Namen für Variablen und Kontrollkästchen. Sie erreichen die Benutzeroberfläche über die Zertifizierungsstellen-Benutzeroberfläche. Klicken Sie im Inhaltsbereich mit der rechten Maustaste auf die ZS, dann auf Eigenschaften und auf Erweiterungen. Klicken Sie unter Erweiterung auswählen auf Zertifikatsperrlisten-Verteilungspunkt.
.jpeg "CDP-Eigenschaften")
Abbildung 2 CDP-Erweiterungsmenü
Die in der Benutzeroberfläche konfigurierten Speicherorte und Einstellungen sind wie folgt:
C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
Veröffentlichen von CRLs an diesem Ort
Veröffentlichen von Delta-CRLs an diesem Ort
https://www.contoso.com/pki/\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
In CRLs einbeziehen. Clients finden die Speicherorte der Delta-CRLs mit diesem Parameter.
In die CDP-Erweiterung der ausgestellten Zertifikate einbeziehen
file://\\App1.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
Veröffentlichen von CRLs an diesem Ort
Veröffentlichen von Delta-CRLs an diesem Ort
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>
In alle CRLs einbeziehen. Gibt an, ob beim manuellen Veröffentlichen in Active Directory veröffentlicht werden soll.
In die CDP-Erweiterung der Zertifikate einbeziehen
Verwenden von Windows PowerShell zum Veröffentlichen der CDP-Erweiterung
Sie können die CDP-Erweiterung für das gegebene Szenario mit den folgenden Windows PowerShell-Befehlen konfigurieren:
$crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-CACrlDistributionPoint $crl.uri -Force};
Add-CACRLDistributionPoint -Uri C:\Windows\System32\CertSrv\CertEnroll\%3%8%9.crl -PublishToServer -PublishDeltaToServer
Add-CACRLDistributionPoint -Uri https://www.contoso.com/pki/%3%8%9.crl -AddToCertificateCDP -AddToFreshestCrl
Add-CACRLDistributionPoint -Uri file://\\App1.corp.contoso.com\pki\%3%8%9.crl -PublishToServer -PublishDeltaToServer
Add-CACRLDistributionPoint -Uri "ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10" -AddToCrlCdp -AddToCertificateCdp
Hinweis
Wenn Sie CDP-Pfade mit Windows PowerShell hinzufügen, bleiben die existierenden Pfade unverändert. Der erste Windows PowerShell-Befehl im Beispiel entfernt alle existierenden Pfade. Weitere Informationen zum Entfernen von CDP-Pfaden mithilfe von Windows PowerShell finden Sie unter Remove-CACrlDistributionPoint.
Verwenden von certutil zum Veröffentlichen der CDP-Erweiterung
Sie können die CDP-Erweiterung für das gegebene Szenario mit dem folgenden certutil-Befehl konfigurieren:
certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n6:https://www.contoso.com/pki/%3%8%9.crl\n65:file://\\App1.corp.contoso.com\pki\%3%8%9.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10"
Hinweis
- Nach Änderungen an diesen Pfaden müssen Sie den ZS-Dienst neu starten. Unter Windows PowerShell können Sie CertSvc mit dem folgenden Befehl neu starten:
restart-service certsvc. - Geben Sie in einem
certutil-Befehl alle Pfade als fortlaufende Zeichenfolge in Anführungszeichen ein, aber trennen Sie die einzelnen Pfade mit\n.
Zum Veröffentlichen der CRL können Sie den Befehl certutil -crl auf der ZS in Windows PowerShell oder einer als Administrator ausgeführten Eingabeaufforderung ausführen. Weitere Informationen zu Konfiguration und Veröffentlichung von CRLs finden Sie unter Konfigurieren der Zertifikatsperrung.
Überprüfen der Konfiguration
Sie können die ZS-Konfiguration mit den folgenden Befehlen in Windows PowerShell oder einem Eingabeaufforderungsfenster überprüfen:
| Befehl | Beschreibung |
|---|---|
| Certutil -CAInfo | Zeigt den Status von Namen, Gebietsschema, Objektbezeichnern (OIDs) und CRLs für die ZS an. |
| Certutil -getreg | Zeigt die Registrierungskonfiguration der ZS an. |
| Certutil -ADCA | Bestätigt die Konfiguration von Unternehmens-ZS. |
Sie können Ihre AIA- und CDP-Veröffentlichungskonfigurationen mit dem Tool Unternehmens-PKI (PKIView.msc) prüfen. Weitere Informationen finden Sie unter Unternehmens-PKI (Übersicht).
Sie können Zertifikatsperren auch mit dem Online-Responder-Rollendienst prüfen. Weitere Informationen zum Online-Responder finden Sie im Handbuch zu Installation, Konfiguration und Problembehandlung von Online-Responder.