Kernnetzwerk-Begleithandbuch: Bereitstellung von Computer- und Zertifikate
Betrifft: Windows Server 2012
Die Windows Server® 2012 zum Hauptnetzwerk bietet eine Anleitung zum Planen und Bereitstellen der erforderlichen Komponenten für eine voll funktionsfähige Netzwerk- und eine neue Active Directory®-Domäne in einer neuen Gesamtstruktur.
In diesem Begleithandbuch erläutert, wie das Hauptnetzwerk erstellen, durch die Bereitstellung von Anweisungen für die Bereitstellung von Computer- und Clientzertifikate mit Active Directory-Zertifikatdienste (AD CS).
Dieses Handbuch enthält die folgenden Abschnitte:
Voraussetzung für die Verwendung dieses Handbuchs
Informationen zum Handbuch
Nicht in diesem Handbuch enthaltene Informationen
Technologieübersicht
Voraussetzung für die Verwendung dieses Handbuchs
Dies ist ein Begleithandbuch zum Windows Server 2012-Kernnetzwerkhandbuch. Zum Bereitstellen von Computer- und Benutzerzertifikaten mit diesem Handbuch müssen Sie die folgenden Schritte ausführen.
Bereitstellen eines Hauptnetzwerks mit dem Handbuch zum Hauptnetzwerk oder Technologien haben bereits bereitgestellt, in dem Handbuch zum Hauptnetzwerk installiert und ordnungsgemäß in Ihrem Netzwerk. Zu diesen Technologien zählen TCP/IP-v4, DHCP, Active Directory-Domänendienste (AD DS), DNS, NPS und Webserver (IIS).
Hinweis
Die Windows Server 2012 zum Hauptnetzwerk steht in den Windows Server 2012 Technical Library (https://go.microsoft.com/fwlink/?LinkId=154884).
Das Handbuch steht auch in der TechNet Gallery von Microsoft Word-Format (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).
Wenn Sie Computerzertifikate oder Benutzerzertifikate für die Authentifizierung des Zugriffs mit zertifikatbasierte Authentifizierungsmethoden verwenden, müssen Sie Zertifikate für Server bereitstellen, um NPS-Server und/oder RRAS-Server mit dem Kernnetzwerk-Begleithandbuch: Bereitstellung von Serverzertifikaten; oder Sie müssen bereits bereitgestellt haben eine public Key-Infrastruktur (PKI) und Serverzertifikate, die die Mindestanforderungen für Netzwerk-Authentifizierung.
Hinweis
Die Windows Server 2012 Begleithandbuch zum Hauptnetzwerk: Bereitstellung von Serverzertifikaten finden Sie in der Windows Server 2012 Technical Library (https://go.microsoft.com/fwlink/p/?LinkId=251948).
Das Kernnetzwerk-Begleithandbuch: Bereitstellung von Serverzertifikaten steht auch in der TechNet Gallery von Microsoft Word-Format (https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7).
Informationen zum Handbuch
Dieses Handbuch enthält Anweisungen zum Bereitstellen von Computer- und Clientzertifikate Domänenmitgliedscomputer und Domänenbenutzer mithilfe von AD CS.
Zertifikate werden für die Netzwerkzugriffsauthentifizierung verwendet, da sie bei der Authentifizierung von Benutzern und Computern eine verstärkte Sicherheit bieten und weniger sichere, auf Kennwörtern basierende Authentifizierungsmethoden überflüssig machen.
Wenn Sie Extensible Authentication Protocol with Transport Layer Security (EAP-TLS) oder Protected EAP with TLS (PEAP-TLS) bereitstellen, Zertifikate für die Authentifizierung von Servern erforderlich sind und für Client-Computer oder Benutzer bei Netzwerkfehlern Verbindungsversuche über Netzwerkzugriffsserver wie z. B. 802.1 X-fähigen Switches und drahtlosen Zugriff Punkte, virtuelle Private Netzwerk (VPN) Servern und Computern Windows Server 2012 und Remotedesktopgateway (RD-Gateway) oder Windows Server 2008 und Terminal Services Gateway (TS Gateway).
Hinweis
Alle diese Netzwerkzugriffsserver werden auch Remote Authentication Dial-in User Service (RADIUS)-Clients bezeichnet, da sie das RADIUS-Protokoll verwenden, um Verbindungsanfragen und andere RADIUS-Nachrichten an den RADIUS-Server zu senden. RADIUS-Server die Verbindung die Anfragen und Authentifizierung und Autorisierung durchführen. Der RADIUS-Server und -Proxys in Windows Server 2012 (Network Policy Server, NPS) ist.
Bereitstellen von Zertifikaten mit EAP und PEAP zertifikatbasierte Authentifizierungsmethoden AD CS bietet folgende Vorteile:
Sicherheit von zertifikatbasierte Authentifizierung, d. h., die Identität des Servers mit NPS, RRAS-Server, Benutzer oder Client-Computer auf einen privaten Schlüssel gebunden
Eine kostengünstige und sichere Methode zum Verwalten von Zertifikaten, sodass Sie automatisch registrieren, erneuern und Widerrufen von Zertifikaten Domänenmitgliedscomputer und Domänen-Benutzer
Eine effiziente Methode zum Verwalten von Zertifizierungsstellen (CAs)
Die Möglichkeit, andere Typen von Zertifikaten bereitstellen, die für andere Zwecke als Computer-, Benutzer- oder Server-Authentifizierung verwendet werden. Beispielsweise können Sie Zertifikate, die Benutzern die Möglichkeit zur digitalen Signatur bieten bereitstellen oder können Sie Zertifikate für die Codesignatur Software ausgeben.
Dieses Handbuch richtet sich an Netzwerk- und Systemadministratoren, die die Anweisungen in befolgt haben die Windows Server 2012 zum Hauptnetzwerk Bereitstellen von einem Netzwerk oder für diejenigen, die zuvor die Technologien im Hauptnetzwerk bereitgestellt haben, einschließlich Active Directory-Domänendienste (AD DS), Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), TCP/IP, Netzwerkrichtlinienserver (Network Policy Server, NPS) und Webserver (IIS).
Sie sollten die Entwurfs- und Bereitstellungshandbücher für jede der Technologien einsehen, die in diesem Bereitstellungsszenario verwendet werden. Diese Handbücher können Sie bestimmen, ob es sich bei diesem Bereitstellungsszenario bietet Dienste und Konfigurationen, die Sie für das Netzwerk Ihrer Organisation benötigen.
Anforderungen zum Bereitstellen von Computer- und Benutzerzertifikaten
Im folgenden sind die Anforderungen für die Bereitstellung von Client-Computer und Benutzer Zertifikate mithilfe der automatischen Registrierung:
AD DS installiert ist, da andere netzwerktechnologien sind entsprechend den Anweisungen in der Windows Server 2012 zum Hauptnetzwerk.
Um die automatische Registrierung von Computer- und Clientzertifikate auszuführen, muss die Zertifizierungsstelle ausgeführt werden die Windows Server 2008 oder Windows Server® 2008 R2 Enterprise oder Datacenter-Betriebssystem und muss eine ausstellende Zertifizierungsstelle; werden oder die Zertifizierungsstelle muss ausgeführt werden, die Windows Server 2012 Standard, Enterprise oder Datacenter-Betriebssystem muss eine ausstellende Zertifizierungsstelle. Obwohl AD CS auf einem einzelnen Server bereitgestellt werden kann, verwenden viele Bereitstellungen zwei Ebenen public Key-Infrastruktur mit mehreren Servern, die als untergeordnete ZS konfiguriert.
Um EAP-TLS oder PEAP-TLS bereitstellen, müssen Sie Serverzertifikate für NPS-Server registrieren und wenn Sie RRAS-Server als virtuelles privates Netzwerk (VPN)-Server, auf Computern mit Windows Server 2008, Windows Server® 2008 R2, oder Windows Server 2012 und Routing- und RAS-Dienst (RRAS). Dieses Handbuch setzt voraus, dass Sie automatisch registrierte Serverzertifikate in Übereinstimmung mit der Windows Server 2012 Begleithandbuch zum Hauptnetzwerk: Bereitstellen von Serverzertifikaten, verfügbar im HTML-Format in die Windows Server 2012 Technical Library (https://technet.microsoft.com/en-us/library/jj125379).
Hinweis
Wenn Sie eine oder mehrere RRAS-Server als VPN-Server bereitstellen, und Sie verfügen nicht über die NPS installiert, werden Netzwerkrichtlinien und die Authentifizierungsmethoden, die Bestandteil dieser Richtlinien einzeln pro RRAS-Server konfiguriert, das kann zeitaufwändig sein und können die Chancen für Fehler bei der Konfiguration erstellen. Bei der Installation von NPS können Sie RRAS-Server als RADIUS-Clients in NPS konfigurieren und dann NPS verwenden, um alle Richtlinien und pro Richtlinie verwendeten Authentifizierungsmethoden zentral zu verwalten.
Zum Bereitstellen von PEAP- oder EAP für VPN müssen Sie RRAS als VPN-Server konfigurierten bereitstellen. Die Verwendung von NPS ist optional. Wenn Sie mehrere VPN-Server verfügen, wird jedoch mit dem Netzwerkrichtlinienserver empfohlen für die Administration zu vereinfachen und die RADIUS-Kontoführungsdienste von NPS.
Bereitstellen von PEAP- oder EAP für TS-Gateway in Windows Server 2008 oder RD-Gateway in Windows Server 2012, Sie müssen TS-Gateway und NPS oder RD-Gateway und NPS bzw. bereitstellen.
Zum Bereitstellen von PEAP- oder EAP für 802.1 X sichere müssen Kabel- oder Drahtlosnetzwerke, Sie NPS und zusätzliche Hardware, wie z. B. 802.1X-fähige Switches oder Drahtloszugriffspunkten bereitstellen.
Nicht in diesem Handbuch enthaltene Informationen
Dieses Handbuch bietet keine Informationen zu den folgenden:
Bereitstellen von Clients Computer- und Benutzerzertifikaten mit Smartcards
Registrierung von Serverzertifikaten bereitstellen
Das Entwerfen und Bereitstellen einer public Key-Infrastruktur (PKI) mithilfe von AD CS. Es wird empfohlen, dass Sie AD CS-Entwurf und Bereitstellung von Dokumentation vor der Bereitstellung der Technologie in diesem Handbuch lesen. Weitere Informationen finden Sie unter zusätzliche Ressourcen.
Die netzwerkzugriffstechnologien bereitstellen, für welche, die Server Zertifikate verwendet werden können Es gibt möglicherweise andere Begleithandbücher verfügbar, die zum Bereitstellen dieser netzwerkzugriffslösungen bereitstellen. Sie möchten auch die NPS-Dokumentation für diese Informationen zu überprüfen.
Technologieübersicht
Folgendes sind Technologieübersichten für Clientcomputer und Benutzerzertifikate, EAP, PEAP und AD CS.
AD CS
AD CS in Windows Server 2012 bietet anpassbare Dienste zum Erstellen und Verwalten von x. 509-Zertifikate, die in Softwaresicherheitssystemen verwendet werden, die von öffentlichen Schlüsseln zur Verfügung. Organisationen können AD CS, Sicherheit zu erhöhen, indem Sie die Identität der Person, das Gerät oder einen Dienst an einem entsprechenden öffentlichen Schlüssel binden. AD CS enthält auch Funktionen, die Registrierung von Zertifikaten und CRLs in einer Vielzahl von skalierbaren Umgebung verwalten können.
Client-Zertifikate für Computer und Benutzer
Wenn Sie EAP-TLS oder PEAP-TLS bereitstellen, können Sie Zertifikate für die Authentifizierung von Clientcomputern und/oder Benutzerzertifikate für die Benutzerauthentifizierung bereitstellen.
Hinweis
EAP bietet keine Mechanismen, die zwei Authentifizierung durchführen, d. h. die Authentifizierung sowohl auf dem Computer verwendet wird, um Zugriff auf das Netzwerk und der Benutzer, der eine Verbindung hergestellt. Aus diesem Grund müssen Sie nicht sowohl Computer-als auch Zertifikate bei der Bereitstellung von EAP und PEAP mit Zertifikaten basierende Authentifizierung.
Es gibt zwei Methoden zum Bereitstellen von Clientzertifikaten für Computer und Benutzer:
Mit Smartcards. Beim Bereitstellen von Zertifikaten auf Smartcards müssen Sie zusätzliche Hardware versehen Sie Zertifikate für Benutzer-ID oder anderen Karten, mit denen Ihre Mitarbeiter melden Sie sich mit dem Netzwerk dadurch erwerben. Benutzer müssen darüber hinaus mit Smartcard-Leser angegeben werden, die das Zertifikat lesen, das auf der Smartcard gepresst wird bei der Anmeldung verwendet werden.
Wichtig
Dieses Handbuch bietet keine Informationen zum Client Computer- und Benutzerzertifikaten mit Smartcards bereitstellen.
Mithilfe der automatischen Registrierung. Wenn Sie Zertifikate mithilfe der automatischen Registrierung bereitstellen, konfigurieren Sie die Zertifizierungsstelle, um Zertifikate für Computer, die Mitglieder der Gruppe "Domänencomputer" und für Benutzer, die Mitglieder der Gruppe Domänen-Benutzer sind automatisch registrieren. Keine zusätzlicher Hardware ist erforderlich, um Zertifikate automatisch registrieren, da die Zertifikate auf dem Computer gespeichert werden, die mit dem Netzwerk verbunden ist. Wenn ein Computer von der Zertifizierungsstelle einen Zertifikat für Computer oder Benutzer erhält, wird das Zertifikat lokal in einem Datenspeicher mit dem Namen des Zertifikatspeichers gespeichert.
Wichtig
Sie sollten die Zertifikate nur für die Computer und Benutzer, die Sie Netzwerkzugriff für RADIUS-Clients gewähren möchten, registrieren. Sie haben keinen auf Zertifikate automatisch registrieren, um alle Mitglieder der Gruppen Domänen-Benutzer und Computer. Stattdessen können Sie Zertifikate für Untergruppen von den Gruppen Domänenbenutzer und-Computer der Domäne z. B. das Vertriebsteam oder in der Finanzabteilung ausgeben. Zum Registrieren von Zertifikaten auf andere Gruppen, erstellen Sie die Gruppen und die Gruppen in Active Directory-Benutzer und-Computer hinzuzufügen Sie Mitglieder. Entfernen Sie in das Zertifikatsvorlagen-Snap-in der Gruppe Domänenbenutzer oder Domänencomputer aus der Zugriffssteuerungsliste (ACL) für die Zertifikatvorlagen (die Vorlage "Benutzer" und die Vorlage Arbeitsstationsauthentifizierung bzw.), und dann die Vorlage der von Ihnen erstellten Gruppen hinzuzufügen.
Zertifikatspeicher
Auf Computern, die Windows-Betriebssystem ausgeführt werden, bleiben in einem Speicherbereich aufgerufen, Zertifikate, die auf dem Computer installiert sind die Zertifikatspeicher. Der Zertifikatspeicher ist über die Zertifikate Microsoft Management Console (MMC)-Snap-in.
Dieser Speicher enthält mehrere Ordner, in dem Zertifikate verschiedener Typen gespeichert sind. Der Zertifikatspeicher enthält beispielsweise einen Trusted Root Certification Authorities-Ordner, in dem die Zertifikate von vertrauenswürdigen Stamm-CAs gespeichert sind.
Wenn Ihre Organisation stellt eine Infrastruktur öffentlicher Schlüssel und installiert, eine private vertrauenswürdige Stammzertifizierungsstelle mit sendet AD CS, die Zertifizierungsstelle automatisch sein Zertifikat an alle Domänenmitgliedscomputer in der Organisation. Die Client- und Domänenmitgliedscomputer speichern das CA-Zertifikat im Ordner Vertrauenswürdige Stammzertifizierungsstellen des aktuellen Benutzers sowie die Zertifikatspeicher des lokalen Computers. Nachdem Sie in diesem Fall vertrauen Domänenmitgliedscomputer Zertifikate, die von der vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurden.
Auf ähnliche Weise, wenn Sie automatische Registrierung von Computerzertifikaten für Domänenmitglieds-Clientcomputern, das Zertifikat in den persönlichen Zertifikatspeicher des lokalen Computers bleibt. Wenn bleibt Sie damit Zertifikate für Benutzer, das Zertifikat im persönlichen Zertifikatspeicher für den aktuellen Benutzer.
EAP
EAP (Extensible Authentication-Protokoll) erweitert PPP (Point-to-Point-Protokoll) um zufällige Authentifizierungsmethoden, bei denen Anmeldeinformationen und Informationen mit zufälliger Länge ausgetauscht werden. EAP wurde als Antwort auf die Nachfrage nach Authentifizierungsmethoden entwickelt, die Sicherheitsgeräte wie z. B. Smartcards, Tokenkarten und Kryptografierechner verwendet werden. EAP bietet eine Industriestandardarchitektur für die Unterstützung zusätzlicher Authentifizierungsmethoden in PPP.
Mit EAP ein zufälligen Authentifizierungsmechanismus verwendet, um die Identität des Clients und Server zu überprüfen, die eine Netzwerk-Access-Verbindung herstellen. Das Authentifizierungsschema verwendet werden, wird von dem Zugriffsclient und dem Authentifikator (Network Access Server oder dem RADIUS-Server) ausgehandelt.
Eine erfolgreiche Authentifizierung erfolgen müssen der Netzwerkzugriffsclient und der Authentifikator (z. B. dem Netzwerkrichtlinienserver) den gleichen EAP-Typ unterstützen.
Wichtig
Sichere EAP-Typen (z. B. diejenigen, die auf Zertifikaten basieren) bieten besseren Schutz vor Brute-Force-Angriffen, Wörterbuchangriffen und Angriffsversuche als kennwortbasierte Authentifizierungsprotokolle (wie CHAP oder MS-CHAP, Version 1).
EAP in Windows Server 2012
Windows Server 2012 enthält eine EAP-Infrastruktur, zwei EAP-Typen und die Möglichkeit, EAP-Nachrichten an einen RADIUS-Server (EAP-RADIUS), z. B. NPS übergeben.
Unter Verwendung von EAP können Sie zusätzliche Authentifizierungsschemen, bekannt als EAP-Typen unterstützen. Die EAP-Typen, die von unterstützten Windows Server 2012 sind:
Transport Layer Security (TLS). EAP-TLS erfordert die Verwendung von Computerzertifikaten oder Benutzerzertifikate neben Serverzertifikate, die auf Computern mit NPS registriert sind.
Microsoft Challenge-Handshake Authentication Protocol, Version 2 (MS-CHAP v2). Dieser EAP-Typ ist ein Protokoll für die kennwortbasierte Authentifizierung. Bei Verwendung innerhalb von EAP als Authentifizierungsmethode EAP-MS-CHAP v2 bieten NPS und RRAS-Server ein Serverzertifikat als Identitätsnachweis an Clientcomputer während der Benutzer ihre Identität mit einem Benutzernamen und Kennwort nachweisen.
Tunneled Transport Layer Security (TTLS). EAP-TTLS ist neu in Windows Server 2012 und nicht in anderen Versionen von Windows Server verfügbar ist. EAP-TTLS ist eine standardbasierte EAP-Tunnelingmethode, die gegenseitige Authentifizierung unterstützt. EAP-TTLS stellt mit EAP-Methoden und anderen Legacyprotokollen einen sicheren Tunnel für die Clientauthentifizierung bereit. Sie haben auch die Möglichkeit, EAP-TTLS auf Clientcomputern für Netzwerkzugriffslösungen zu konfigurieren, bei denen nicht von Microsoft stammende RADIUS-Server (Remote Authentication Dial In User Service), die EAP-TTLS unterstützen, für die Authentifizierung verwendet werden.
Darüber hinaus können Sie andere nicht - Microsoft-EAP-Module auf dem Server mit NPS oder Routing und RAS, andere Authentifizierungstypen EAP zu installieren. In den meisten Fällen Wenn Sie zusätzliche EAP-Typen auf Servern installieren installieren auch übereinstimmende EAP-Authentifizierung-Clientkomponenten auf Clientcomputern Sie so, dass Client und Server eine Authentifizierungsmethode Verbindungsanfragen erfolgreich aushandeln können.
PEAP
PEAP verwendet TLS, um einen verschlüsselten Kanal zwischen einem authentifizierenden PEAP-Client, z. B. einem drahtlosen Computer, und einem PEAP-Authentifizierer, z. B. einen Server mit NPS oder anderen RADIUS-Server zu erstellen.
PEAP gibt keine Authentifizierungsmethode an, aber es bietet zusätzliche Sicherheit für andere EAP-Authentifizierungsprotokolle (z. B. EAP-MSCHAP v2), die über die TLS-verschlüsselten Kanal von PEAP bearbeitet werden können. PEAP wird als Authentifizierungsmethode für Zugriffsclients verwendet, die mit Ihrem Unternehmensnetzwerk über die folgenden Typen von Netzwerkzugriffsservern verbinden:
802.1X-fähige Drahtloszugriffspunkte
802.1X-fähige Authentifizierungsswitches
Computer mit Windows Server 2012 oder Windows Server 2008 R2 und RRAS, die als VPN-Server konfiguriert sind
Computer mit Windows Server 2012 oder Windows Server 2008 R2 und RD-Gateway
Funktionen von PEAP
Um die EAP-Protokolle und Netzwerksicherheit zu verbessern, bietet PEAP:
Ein TLS-Kanal, der Schutz der EAP-Aushandlung bietet, die zwischen Client und Server auftreten. Dieser TLS-Kanal wird verhindert, dass einen Angreifer Pakete zwischen dem Client und dem Netzwerkzugriffsserver, die weniger sichere EAP-Typ ausgehandelt einfügen. Der verschlüsselte TLS-Kanal verhindert auch einen Denial of Service-Angriffe auf dem Netzwerkrichtlinienserver.
Unterstützung für die Fragmentierung und Reassemblierung von Nachrichten, die die Verwendung von EAP-Typen ermöglicht, die diese Funktionalität nicht bieten.
Clients die Möglichkeit, den NPS oder einen anderen RADIUS-Server zu authentifizieren. Da der Server auch den Client authentifiziert, wird eine gegenseitige Authentifizierung.
Schutz vor der Installation eines nicht autorisierten drahtlosen Zugriffspunkts im Moment bei der EAP-Client das vom NPS-Server bereitgestellte Zertifikat authentifiziert. Darüber hinaus wird der TLS-Hauptschlüssel, die von der PEAP-Authentifikator und dem Client erstellt wird, nicht mit dem Zugriffspunkt freigegeben. Aus diesem Grund kann der Zugriffspunkt die Nachrichten nicht entschlüsseln, die von PEAP geschützt sind.
Schnelle PEAP-Wiederherstellung, die Verzögerung zwischen einer Authentifizierungsanforderung von einem Client und die Antwort der NPS oder einen anderen RADIUS-Server verringert wird. Schnelle Wiederherstellung der Verbindung können auch drahtlose Clients zwischen Zugriffspunkten zu verschieben, die als RADIUS-Clients an denselben RADIUS-Server ohne wiederholte Anforderungen für die Authentifizierung konfiguriert sind. Dies verringert die erforderlichen Ressourcen für den Client und dem Server, und minimiert die Anzahl der Häufigkeit, mit der Aufforderung zur Eingabe von Anmeldeinformationen.
EAP-TLS und PEAP-TLS-Bereitstellung (Übersicht)
Im folgenden sind die allgemeinen Schritte zum Bereitstellen von EAP-TLS oder PEAP-TLS:
Bereitstellen von Netzwerkzugriffsservern (RADIUS-Clients), die EAP und RADIUS-kompatibel sind.
Damit Serverzertifikate für Netzwerkrichtlinienserver und, falls zutreffend, Routing und RAS VPN-Server.
Automatische Registrierung Computerzertifikate, Benutzerzertifikate oder beides für Computer und Benutzer, oder auf andere Gruppen, die Sie erstellt haben.
Konfigurieren Sie Netzwerkzugriffsserver als RADIUS-Clients in NPS.
Konfigurieren Sie EAP-Authentifizierung in der Netzwerkrichtlinie für NPS oder RRAS.
Stellen Sie sicher, dass Clientcomputer EAP-Unterstützung. In der Standardeinstellung Windows® 8, Windows® 7, und Windows Vista® EAP unterstützt.
Gruppenrichtlinie
Bei einer Gruppenrichtlinie in Windows Server 2012 handelt es sich um eine Infrastruktur, mit deren Hilfe eine oder mehrere gewünschte Konfigurationen oder Richtlinieneinstellungen für eine Gruppe von entsprechenden Benutzern und Computern in einer Active Directory-Umgebung bereitgestellt und auf diese angewendet werden. Diese Infrastruktur besteht aus einem Gruppenrichtlinienmodul und mehreren clientseitigen Erweiterungen (CSEs) zum Lesen bestimmter Richtlinieneinstellungen auf entsprechenden Clientcomputern. Gruppenrichtlinie wird in diesem Szenario verwendet, registrieren und Verteilen von Zertifikaten für Benutzer, Computer oder beides.