(0) exportieren Drucken
Alle erweitern

Leitfaden für die Zertifizierungsstellen-Webregistrierung

Veröffentlicht: April 2012

Letzte Aktualisierung: Oktober 2013

Betrifft: Windows Server 2012, Windows Server 2012 R2



Der Rollendienst "Zertifizierungsstellen-Webregistrierung" enthält eine Reihe von Webseiten für die Interaktion mit dem Rollendienst "Zertifizierungsstelle". Diese Webseiten befinden sich unter der Adresse https://<Servername>/certsrv, wobei <Servername> der Name des Servers ist, der die ZS-Webregistrierungs-Seiten hostet. Der "certsrv"-Teil der URL sollte immer in Kleinbuchstaben stehen, ansonsten können Probleme beim Prüfen und Abrufen ausstehender Zertifikate entstehen.

noteHinweis
Die ZS-Webregistrierungs-Seiten müssen mit Secure Sockets Layer (SSL) / Transport Layer Security (TLS) gesichert werden. Andernfalls wird der folgende Fehler angezeigt: "Um die Zertifikatregistrierung abzuschließen, muss die Webseite der ZS für HTTPS-Authentifizierung konfiguriert sein." Um dieses Problem zu beheben, müssen Sie HTTPS-Authentifizierung konfigurieren, wie im folgenden TechNet Wiki-Artikel beschrieben: Active Directory-Zertifikatdienste (AD CS): Fehler: "Um die Zertifikatregistrierung abzuschließen, muss die Webseite der ZS für HTTPS-Authentifizierung konfiguriert sein".

Über die ZS-Webregistrierungs-Seiten können Sie sich mit einem Webbrowser mit der ZS verbinden und gängige Aufgaben ausführen, wie z. B.:

  • Zertifikate von der ZS anfordern.

  • Das Zertifikat der ZS anfordern.

  • Eine Zertifikatanforderung mit einer PKCS #10-Datei übermitteln.

  • Die Zertifikatsperrliste (Certificate Revocation List CRL) der ZS anfordern.

Die ZS-Webregistrierung ist hilfreich, wenn Sie mit einer eigenständigen ZS interagieren, da das Microsoft Management Console (MMC)-Snap-In für Zertifikate nicht für die Interaktion mit eigenständigen ZS verwendet werden kann. Unternehmens-ZS können Zertifikatanforderungen über das Zertifikat-Snap-In oder die ZS-Webregistrierungs-Seiten empfangen.

Ab Windows Server® 2008 enthält der Rollendienst "Zertifizierungsstellen-Webregistrierung" aktualisierte Beispielwebseiten für webbasierte Zertifikatregistrierungs-Operationen. Diese Webseiten wurden aktualisiert und funktionieren nun zusammen mit der CertEnroll-Komponente (verfügbar ab Windows Vista). Diese Webseiten funktionieren außerdem zusammen mit Xenroll.

Die Zertifikatregistrierungs-Webseiten ab Windows Server 2008 erkennen das Client-Betriebssystem und wählen die passende Steuerung aus.

  • Wenn ein Clientcomputer unter Windows Server 2003 oder Windows XP läuft, verwenden die Zertifikatregistrierungs-Webseiten Xenroll.

  • Wenn der Clientcomputer mindestens unter Windows Vista® oder Windows Server 2008 läuft, verwendet der ZS-Webregistrierungs-Rollendienst CertEnroll.

ImportantWichtig
Unter Windows® 8 funktionieren die ZS-Webregistrierungs-Seiten nur mit Internet Explorer 10 für den Desktop.

Ab Windows Server 2012 R2 werden Windows XP-Clientcomputer nicht mehr für die Webregistrierung unterstützt.

Weitere Informationen zu CertEnroll und Xenroll finden Sie in den folgenden Ressourcen:

Sie können die ZS-Webregistrierung auf einem Server installieren, der keine ZS ist, um den Web-Datenverkehr von der ZS zu trennen. Bei der Installation der ZS-Webregistrierung wird der Computer als Registrierungsstelle konfiguriert. Sie müssen eine ZS auswählen, die zusammen mit den ZS-Webregistrierungs-Seiten verwendet werden soll. Die von der ZS-Webregistrierung verwendete ZS heißt in der Benutzeroberfläche Ziel-ZS. Sie können die ZS entweder über den ZS-Namen oder über den Computernamen auswählen, der der ZS zugeordnet ist. Klicken Sie auf Auswählen, um die zu verwendende ZS zu suchen.

Wenn Sie die ZS-Webregistrierungs-Seiten auf einem Computer installieren, der nicht gleichzeitig Ziel-ZS ist, muss das Computerkonto, unter dem die ZS-Webregistrierungs-Seiten installiert werden, vertrauenswürdig für die Delegierung sein. Weitere Informationen finden Sie in den folgenden Ressourcen:

TipTipp
Wenn die Installation der ZS-Webregistrierungs-Seiten auf einer migrierten ZS fehlschlägt, kann dies an einem falsch gesetzten Setupstatus in der Registrierung liegen. Weitere Informationen finden Sie unter Fehler bei der Konfiguration der Zertifizierungsstellen-Webregistrierung 0x80070057 (WIN32: 87)

Wenn Sie über Zugriffsberechtigungen verfügen, können Sie auf den ZS-Webregistrierungs-Seiten die folgenden Aufgaben durchführen:

  • Anfordern eines einfachen Zertifikats.

  • Anfordern eines Zertifikats mit erweiterten Optionen.

    Auf diese Weise haben Sie mehr Kontrolle über die Zertifikatanforderung. In der erweiterten Zertifikatanforderung sind unter anderem die folgenden Optionen wählbar:

    • Kryptografiedienstanbieter (CSP)-Optionen. Name des Kryptografiedienstanbieters, Schlüsselgröße (1024, 2048 usw.), Hashalgorithmus (z. B. SHA/RSA, SHA/DSA, MD2 oder MD5) und die Schlüssel-Spezifikation (Austausch oder Signatur).

    • Schlüsselgenerierungs-Optionen. Neuen Schlüsselsatz erstellen oder existierenden Schlüsselsatz verwenden, Schlüssel als exportierbar markieren, starken Schlüsselschutz aktivieren und lokalen Computerspeicher für die Schlüsselgenerierung verwenden.

    • Zusätzliche Optionen. Anforderung als PKCS #10-Datei speichern oder bestimmte Attribute zum Zertifikat hinzufügen.

  • Prüfen einer ausstehenden Zertifikatanforderung. Wenn Sie eine Zertifikatanforderung an eine eigenständige Zertifizierungsstelle übermittelt haben, müssen Sie den Status der ausstehenden Anforderung prüfen, um festzustellen, ob die ZS das Zertifikat ausgestellt hat. Wenn das Zertifikat ausgestellt wurde, ist es verfügbar und Sie können es installieren.

  • Rufen Sie das Zertifikat der ZS ab und platzieren Sie es in Ihrem vertrauenswürdigen Stammspeicher oder installieren Sie die gesamte Zertifikatkette in Ihrem Zertifikatspeicher.

  • Rufen Sie die aktuelle Basis- und alle Delta-CRLs ab.

  • Übermitteln Sie eine Zertifikatanforderung mit einer PKCS #10- oder einer PKCS #7-Datei.

    noteHinweis
    Normalerweise verwenden Sie eine PKCS #10, um eine Anforderung für ein neues Zertifikat zu übermitteln, und eine PKCS #7-Datei für Anforderungen zur Erneuerung existierender Zertifikate. Die Übermittlung von Anforderungen mit Dateien ist nützlich, wenn der Anforderer nicht in der Lage ist, eine Anforderung online an die Zertifizierungsstelle zu senden.

noteHinweis
  • Unter Umständen müssen Sie https://Servername als vertrauenswürdige Site in Internet Explorer eintragen, um die Festplatte Ihres Computers nach der Datei zu durchsuchen. Um https://Servername als vertrauenswürdige Site einzutragen, klicken Sie in Internet Explorer auf Extras, anschließend auf Internetoptionen, auf Sicherheit, dann auf Vertrauenswürdige Sites und klicken Sie auf Sites. Geben Sie https://<Servername> ein und klicken Sie auf OK. Ersetzen Sie <Servername> durch den Hostnamen des Servers, mit dem Sie sich verbinden möchten. Wenn Sie normalerweise den vollqualifizierten Domänennamen (FQDN) für die Verbindung zum Server verwenden, können Sie auch diesen Namen anstelle des Hostnamens verwenden.

  • Wenn Sie bei der Übermittlung der Anforderung sofort gefragt werden, ob Sie die Anforderung übermitteln möchten, obwohl diese keine BEGIN- und END-Tags enthält, klicken Sie auf OK.

  1. Verbinden Sie sich in Internet Explorer mit https://<Servername>/certsrv, wobei <Servername> der Hostname des Servers ist, auf dem der ZS-Webregistrierungs-Rollendienst läuft.

  2. Klicken Sie auf Zertifikat anfordern.

  3. Klicken Sie unter Zertifikat anfordern auf Benutzerzertifikat.

  4. Führen Sie auf der Seite Informationen über Benutzerzertifikat eine der folgenden Aktionen aus:

    • Folgen Sie der Aufforderung "Es sind keine weiteren Identifizierungsinformationen erforderlich. Klicken Sie auf "Einsenden", um das Zertifikat fertig zu stellen."

    • Geben Sie Ihre Identifizierungsinformationen für die Zertifikatanforderung ein.

  5. (Optional) Klicken Sie auf Weitere Optionen, um den Kryptografiedienstanbieter (CSP) einzustellen und auszuwählen, ob Sie den starken Schlüsselschutz aktivieren möchten. (Sie erhalten jedes Mal eine Aufforderung, wenn Sie den mit diesem Zertifikat verknüpften privaten Schlüssel verwenden.)

  6. Klicken Sie auf Übermitteln.

  7. Führen Sie eines der folgenden Verfahren aus:

    • Wenn die Seite Zertifikat ausstehend angezeigt wird, muss der ZS-Administrator die Anforderung genehmigen, bevor Sie das Zertifikat abrufen und installieren können.

    • Wenn die Seite Zertifikat ausgestellt angezeigt wird, klicken Sie auf Dieses Zertifikat installieren.

  1. Verbinden Sie sich in Internet Explorer mit https://<Servername>/certsrv, wobei <Servername> der Hostname des Servers ist, auf dem der ZS-Webregistrierungs-Rollendienst läuft.

  2. Klicken Sie auf Zertifikat anfordern.

  3. Klicken Sie auf Erweiterte Zertifikatanforderung.

  4. Klicken Sie auf Eine Zertifikatanforderung an diese ZS erstellen und übermitteln.

  5. Füllen Sie die geforderten Identifizierungsinformationen und sonstige gewünschte Optionen aus.

  6. Klicken Sie auf Übermitteln.

  7. Führen Sie eines der folgenden Verfahren aus:

    • Wenn die Seite Zertifikat ausstehend angezeigt wird, muss der ZS-Administrator die Anforderung genehmigen, bevor Sie das Zertifikat abrufen und installieren können.

    • Wenn die Seite Zertifikat ausgestellt angezeigt wird, klicken Sie auf Dieses Zertifikat installieren.

  1. Verbinden Sie sich in Internet Explorer mit https://<Servername>/certsrv, wobei <Servername> der Hostname des Computers ist, auf dem der ZS-Webregistrierungs-Rollendienst läuft.

  2. Klicken Sie auf Status ausstehender Zertifikatanforderungen anzeigen.

  3. Wenn keine ausstehenden Zertifikatanforderungen vorliegen, wird eine entsprechende Nachricht angezeigt. Wählen Sie andernfalls die gewünschte Zertifikatanforderung aus und klicken Sie auf Weiter.

  4. Prüfen Sie die folgenden ausstehenden Zertifikatanforderungen:

    • Immer noch ausstehend. Sie müssen warten, bis der Administrator der ZS das Zertifikat ausgestellt hat. Klicken Sie auf Entfernen, um die Zertifikatanforderung zu entfernen.

    • Ausgestellt. Klicken Sie auf Dieses Zertifikat installieren, um das Zertifikat zu installieren.

    • Verweigert. Wenden Sie sich an den Administrator der Zertifizierungsstelle, um weitere Informationen zu erhalten.

  1. Verbinden Sie sich in Internet Explorer mit https://<Servername>/certsrv, wobei <Servername> der Name des Computers ist, auf dem der ZS-Webregistrierungs-Rollendienst läuft.

  2. Klicken Sie auf Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste.

  3. Führen Sie eines der folgenden Verfahren aus:

    • Klicken Sie auf Diese Zertifizierungsstellen-Zertifikatkette installieren, um allen von dieser ZS ausgestellten Zertifikaten zu vertrauen.

    • Falls die ZS erneuert wurde, können Sie auswählen, welche Version des ZS-Zertifikats Sie herunterladen möchten.

  4. Wählen Sie die gewünschte Codierungsmethode für die Sperrliste aus: DER oder Base 64.

  5. Klicken Sie unter ZS-Zertifikat auf das ZS-Zertifikat, das Sie herunterladen möchten und klicken Sie dann auf ZS-Zertifikat herunterladen oder auf ZS-Zertifikatkette herunterladen.

  6. Klicken Sie unter Dateidownload auf Die Datei von ihrem aktuellen Ort öffnen und dann auf OK.

  7. Klicken Sie auf Dieses Zertifikat installieren, wenn das Dialogfeld Zertifikat angezeigt wird.

  8. Aktivieren Sie im Importierungs-Assistenten für Zertifikate auf Zertifikatspeicher automatisch auswählen (auf dem Zertifikatstyp basierend).

  1. Verbinden Sie sich in Internet Explorer mit https://<Servername>/certsrv, wobei <Servername> der Name des Computers ist, auf dem der ZS-Webregistrierungs-Rollendienst läuft.

  2. Klicken Sie auf Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste.

  3. Wählen Sie die gewünschte Codierungsmethode für die Sperrliste aus, entweder DER oder Base 64.

  4. Führen Sie eines der folgenden Verfahren aus:

    • Klicken Sie auf ZS-Zertifikat herunterladen.

    • Klicken Sie auf ZS-Zertifikatkette herunterladen.

    • Klicken Sie auf Download der aktuellen Basissperrliste.

    • Klicken Sie auf Download der aktuellen Deltasperrliste.

      noteHinweis
      Die Deltasperrliste funktioniert nur, wenn die neueste Basissperrliste bereits installiert ist.

  5. Wenn das Dialogfeld Dateiübertragung angezeigt wird, klicken Sie auf Speichern. Wählen Sie ein Verzeichnis aus, in dem die CRL-Datei gespeichert werden soll, und klicken Sie auf Speichern.

  6. Öffnen Sie Windows-Explorer und suchen Sie nach der CRL-Datei, die Sie soeben gespeichert haben.

  7. Klicken Sie mit der rechten Maustaste auf die CER- oder CRL-Datei, und klicken Sie auf Zertifikat installieren oder auf Zertifikatsperrliste installieren und anschließend auf Weiter.

  8. Wenn der Importierungs-Assistenten für Zertifikate geöffnet wird, klicken Sie auf Zertifikatspeicher automatisch auswählen (auf dem Zertifikatstyp basierend).

  1. Verbinden Sie sich in Internet Explorer mit https://<Servername>/certsrv, wobei <Servername> der Name des Computers ist, auf dem der ZS-Webregistrierungs-Rollendienst läuft.

  2. Klicken Sie auf Zertifikat anforderun und dann auf Erweiterte Zertifikatanforderung.

  3. Klicken Sie auf Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.

  4. Klicken Sie in Notepad auf Datei, dann auf Öffnen, wählen Sie die PKCS #10- oder PKCS #7-Datei aus, klicken Sie auf Bearbeiten, dann auf Alles auswählen, klicken Sie auf Bearbeiten und dann auf Kopieren. Aktivieren Sie auf der Webseite das Bildlauffeld Gespeicherte Anforderung. Klicken Sie auf Bearbeiten und dann auf Einfügen, um den Inhalt der Zertifikatanforderung in das Bildlauffeld einzufügen.

  5. Wenn Sie mit einer Unternehmens-ZS verbunden sind, können Sie die Zertifikatvorlage auswählen, die Sie verwenden möchten. Standardmäßig heißt die entsprechende Vorlage Untergeordnete Zertifizierungsstelle.

  6. Falls Sie irgendwelche Attribute zur Zertifikatanforderung hinzufügen möchten, geben Sie diese unter Zusätzliche Attribute ein.

  7. Klicken Sie auf Übermitteln.

  8. Führen Sie eines der folgenden Verfahren aus:

    1. Falls die Seite Zertifikat ausstehend angezeigt wird, lesen Sie den Abschnitt Prüfen einer ausstehenden Zertifikatanforderung weiter oben in diesem Dokument.

    2. Wenn die Seite Zertifikat ausgestellt angezeigt wird, klicken Sie auf Zertifikatkette herunterladen. Speichern Sie die Datei auf Ihrer Festplatte und importieren Sie das Zertifikat in Ihren Zertifikatspeicher.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft