(0) exportieren Drucken
Alle erweitern

Testumgebungsanleitung: Demonstrieren der zertifikatschlüsselbasierten Erneuerung

Letzte Aktualisierung: April 2013

Betrifft: Windows Server 2012

Diese Testumgebungsanleitung bietet Ihnen die Möglichkeit, praktische Erfahrungen in der Konfiguration der Rollendienste "Zertifikatregistrierungs-Webdienst" und "Zertifikatregistrierungsrichtlinien-Webdienst" zu sammeln. Diese Rollendienste sind Teil der Active Directory-Zertifikatdienste (AD CS)-Serverrolle in Windows Server 2012.

Dieses Dokument enthält Anweisungen dazu, wie Sie die Testumgebungsanleitung: Bereitstellen einer AD CS-PKI-Hierarchie mit zwei Ebenen erweitern, um Zertifikatregistrierungs-Webdienste bereitzustellen. In Windows Server 2012 und Windows 8 können Sie eine automatische Zertifikaterneuerung für Computer außerhalb der Domäne konfigurieren. Dazu zählen Computer aus anderen Gesamtstrukturen, Domänen und Arbeitsgruppen. In dieser Anleitung werden die Schritte zum Ausstellen eines Zertifikats für einen Computer, der nicht der Domäne angehört, und zum anschließenden Konfigurieren des Zertifikats für die automatische Erneuerung erläutert.

ImportantWichtig
Die in dieser Anleitung beschriebene Konfiguration der Computer und des Netzwerks ist so konzipiert, dass Sie die Verwendung der Zertifikatregistrierungs-Webdienste üben können. Die dieser Anleitung zugrunde liegenden Entwurfsentscheidungen sollen es Ihnen ermöglichen, praktische Erfahrungen zu sammeln. Sie stellen nicht die empfohlene Konfiguration dar. Informationen zu bewährten Methoden finden Sie im Thema zu den bewährten Methoden zur Implementierung einer Public Key-Infrastruktur für Microsoft Windows Server 2003 und in der kurzen Übersicht über den PKI-Entwurf.

In der folgenden Testumgebungskonfiguration werden der in Testumgebungsanleitung: Bereitstellen einer AD CS-PKI-Hierarchie mit zwei Ebenen beschriebenen Konfiguration drei Computer hinzugefügt. Einer der zusätzlichen Computer fungiert als Zertifikatregistrierungs-Webdienstserver. Ein Computer ist ein Zertifikatregistrierungsrichtlinien-Webdienstserver, und der dritte Computer ist ein Webserver, der der Domäne nicht hinzugefügt wird. Sieben Hauptschritte mit mehreren untergeordneten Verfahren müssen ausgeführt werden.

  1. Schritt 1: Erstellen der Testumgebung mit der Basiskonfiguration

  2. Schritt 2: Durchführen der Schritte in "Testumgebungsanleitung: Bereitstellen einer AD CS-PKI-Hierarchie mit zwei Ebenen"

  3. Schritt 3: Konfigurieren des Servers CEP1

  4. Schritt 4: Konfigurieren des Servers CES1

  5. Schritt 5: Vorbereiten einer geeigneten Zertifikatvorlage

  6. Schritt 6: Konfigurieren von WEB1

  7. Schritt 7: Abrufen eines Zertifikats und Testen der automatischen Erneuerung

Für diese Testumgebung sind mindestens die folgenden Komponenten erforderlich:

  1. Die Produkt-CD oder Produktdateien für Windows Server 2012.

  2. Die Produktdisc oder -dateien für Windows 8.

  3. Acht Computer, die die Mindesthardwareanforderungen für Windows Server 2012 erfüllen. Auf einem dieser Computer (EDGE1) sind zwei Netzwerkadapter installiert.

    TipTipp
    Auf den Servern CEP1 und CES1 müssen nach Möglichkeit mindestens 1,5 GB RAM zugewiesen sein.

  4. Ein Computer, der die Mindesthardwareanforderungen für Windows 8 erfüllt.

  5. Ein Wechselmedium mit ausreichend freiem Speicherplatz für einige Zertifikate und Zertifikatsperrlisten (ca. 10 Kilobyte). Dies kann entweder ein physisches oder ein virtuelles Wechselmedium sein, je nachdem, ob in Ihrer Testumgebung physische oder virtuelle Computer verwendet werden.

    noteHinweis
    Anweisungen zum Übertragen von Dateien mithilfe einer virtuellen Diskette auf einem Server mit Hyper-V finden Sie im Thema zum Erstellen, Verwenden und Übertragen von Dateien mit virtueller Disketten.

  6. Wenn Sie die Testumgebung mit der Basiskonfiguration in einer virtualisierten Umgebung bereitstellen möchten, muss Ihre Virtualisierungslösung virtuelle 64-Bit-Computer unter Windows Server 2012 unterstützen. Die Serverhardware muss einen ausreichend großen Arbeitsspeicher unterstützen, um die in der Testumgebung mit der Basiskonfiguration und in allen weiteren virtuellen Computern, die möglicherweise für zusätzliche Testumgebungen erforderlich sind, enthaltenen virtuellen Betriebssysteme ausführen zu können.

ImportantWichtig
Führen Sie auf allen Computern oder virtuellen Computern während oder direkt nach der Installation des Betriebssystems Windows Update aus. Nachdem Sie das Windows Update durchgeführt haben, können Sie die physische oder virtuelle Testumgebung vom Produktionsnetzwerk isolieren.

noteHinweis
Führen Sie Windows PowerShell®-Befehle als Administrator aus. Wenn Sie nicht als Standardadministrator angemeldet sind, können Sie mit der rechten Maustaste auf das Windows PowerShell-Programmsymbol klicken und dann Als Administrator ausführen auswählen.

Bevor Sie mit den Anweisungen in dieser Anleitung beginnen, müssen Sie die Testumgebung mit der Basiskonfiguration erstellen. Weitere Informationen finden Sie in der Basis-Testumgebungsanleitung für Windows Server 2012.

Die PKI-Hierarchie mit zwei Ebenen bildet die Grundlage für die in diesem Thema erläuterte Umgebung. Weitere Informationen finden Sie unter Testumgebungsanleitung: Bereitstellen einer AD CS-PKI-Hierarchie mit zwei Ebenen .

ImportantWichtig
Die ORCA1-Zertifikatsperrliste (Certificate Revocation List, CRL) für diese Umgebung wurde mit "CAPolicy.inf" konfiguriert und ist für 26 Wochen gültig. Die APP1-Zertifikatsperrliste muss wöchentlich aktualisiert werden. Führen Sie zum Aktualisieren der Zertifikatsperrliste auf APP1 den folgenden Befehl in Windows PowerShell aus: certutil -crl

Die Konfiguration des Servers CEP1 ermöglicht es Clientcomputern, Zertifikatregistrierungsrichtlinien mit zwei Methoden abzurufen:

  1. Benutzernamen- und Kennwortauthentifizierung

  2. Zertifikatauthentifizierung

TipTipp
Für den Rest dieser Anleitung werden nur der Domänencontroller (DC1) und der Server APP1 aus der Testumgebungsanleitung für die Basiskonfiguration benötigt. Sie installieren drei zusätzliche Server: CEP1, CES1 und WEB1. Stellen Sie vor dem Installieren neuer Server sicher, dass DC1 und APP1 ausgeführt werden.

Folgende Verfahren müssen ausgeführt werden, um den Server CEP1 zur Unterstützung der hier beschriebenen Konfiguration zu konfigurieren:

  1. Installieren des Betriebssystems

  2. Konfigurieren von TCP/IP

  3. Hinzufügen des Computers zur Domäne

  4. Installieren des Zertifikatregistrierungsrichtlinien-Webdiensts zur Verwendung der Benutzernamen- und Kennwortauthentifizierung

  5. Installieren des Zertifikatregistrierungsrichtlinien-Webdiensts zur Verwendung der Zertifikatauthentifizierung

  1. Starten Sie die Installation von Windows Server 2012.

  2. Folgen Sie den Installationsanweisungen. Wählen "Windows Server 2012 (vollständige Installation)" aus, und erstellen Sie ein sicheres Kennwort für das lokale Administratorkonto. Melden Sie sich dann mit dem lokalen Administratorkonto an.

  3. Verbinden Sie den Computer mit einem Netzwerk, das über Internetzugriff verfügt, und führen Sie Windows Update aus, um die neuesten Updates für Windows Server 2012 zu installieren.

  4. Verbinden Sie den Computer mit dem Subnetz "Corpnet".

  1. Führen Sie in Windows PowerShell ncpa.cpl aus.

  2. Klicken Sie in Netzwerkverbindungen mit der rechten Maustaste auf Ethernet, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf Internetprotokoll Version 4 (TCP/IPv4), und klicken Sie dann auf Eigenschaften.

  4. Wählen Sie Folgende IP-Adresse verwenden aus. Geben Sie 10.0.0.4 in das Feld IP-Adresse ein. Geben Sie im Feld Subnetzmaske den Wert 255.255.255.0 ein.

  5. Wählen Sie Folgende DNS-Serveradressen verwenden aus. Geben Sie im Feld Bevorzugter DNS-Server den Wert 10.0.0.1 ein.

  6. Klicken Sie auf OK und dann auf Schließen.

  7. Schließen Sie das Fenster Netzwerkverbindungen.

  8. Führen Sie in Windows PowerShell sysdm.cpl aus.

  9. Klicken Sie im Dialogfeld Systemeigenschaften auf der Registerkarte Computername auf Ändern.

  10. Geben Sie im Feld Computername als neuen Namen für den Computer CEP1 ein, und klicken Sie anschließend auf OK.

  11. Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.

  12. Klicken Sie im Dialogfeld Systemeigenschaften auf Schließen.

  13. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.

  14. Melden Sie sich nach dem Neustart mit dem lokalen Administratorkonto an.

  1. Führen Sie in Windows PowerShell sysdm.cpl aus.

  2. Klicken Sie im Dialogfeld Systemeigenschaften auf die Registerkarte Computername, und klicken Sie anschließend auf Ändern.

  3. Wählen Sie im Feld Mitglied von die Option Domäne aus, geben Sie corp.contoso.com ein, und klicken Sie dann auf OK.

  4. Geben Sie die Anmeldeinformationen für "User1" ein, wenn Sie zur Angabe eines Benutzernamens und Kennworts aufgefordert werden, und klicken Sie dann auf OK.

  5. Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne "corp.contoso.com" angezeigt wird.

  6. Klicken Sie, wenn die Aufforderung zum Neustart des Computers angezeigt wird, auf OK.

  7. Klicken Sie im Dialogfeld Systemeigenschaften auf Schließen.

  8. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.

  9. Klicken Sie nach dem Neustart des Computers auf Benutzer wechseln und dann auf Anderer Benutzer. Melden Sie sich mit dem Konto "User1", das Mitglied der Gruppen "Domänen-Admins" und "Organisations-Admins" ist, bei der Domäne CORP an.

TipTipp
Windows PowerShell-Befehle zum Konfigurieren der IP-Adresse, Umbenennen des Computers und Hinzufügen der Computer zur Domäne:

$NetIP = Get-NetIPAddress | where {$_.Addressfamily -eq "IPv4" -and $_.InterfaceAlias -like "*Ethernet*"}

$NetAlias = $NetIP.InterfaceAlias

New-NetIPAddress -InterfaceAlias $NetAlias -IPAddress 10.0.0.4 -PrefixLength 24

Set-DnsClientServerAddress -InterfaceAlias $NetAlias -ServerAddresses 10.0.0.1

Set-DnsClient -InterfaceAlias $NetAlias -ConnectionSpecificSuffix corp.contoso.com

Add-Computer -NewName CEP1 -DomainName corp.contoso.com -Credential CORP\User1

Restart-computer

  1. Vergewissern Sie sich auf dem Server CEP1, dass Sie als "User1" angemeldet sind. Klicken Sie mit der rechten Maustaste auf Windows PowerShell, klicken Sie auf Als Administrator ausführen, und führen Sie anschließend die folgenden Befehle aus:

    gpupdate /force
    cd cert:\LocalMachine\My
    dir | format-list
    
    ImportantWichtig
    Zum Ausführen des folgenden Verfahrens benötigen Sie ein Serverauthentifizierungszertifikat für den Server CEP1. Das Zertifikat sollte automatisch über die Gruppenrichtlinie und die auf APP1 ausgeführte Zertifizierungsstelle (ZS), die in "Testumgebungsanleitung: Bereitstellen einer AD CS-PKI-Hierarchie mit zwei Ebenen" konfiguriert wurde, an den Computer verteilt werden. Der Befehl gpupdate zwingt die Gruppenrichtlinie, das Zertifikat zu aktualisieren und herunterzuladen. Es sollte ein von "IssuingCA-APP1" ausgestelltes Zertifikat angezeigt werden, das Sie zum Installieren des Zertifikatregistrierungsrichtlinien-Webdiensts verwenden. Falls Sie das Zertifikat direkt nach dem Ausführen der Befehle nicht sehen, warten Sie einige Minuten, und führen Sie den Befehl dir | format-list dann erneut aus.

  2. Klicken Sie in Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.

  3. Vergewissern Sie sich auf der Seite Installationstyp auswählen, dass Rollenbasierte oder featurebasierte Installation ausgewählt ist, und klicken Sie dann auf Weiter.

  4. Stellen Sie auf der Seite Zielserver auswählen sicher, dass CEP1.corp.contoso.com ausgewählt ist, und klicken Sie dann auf Weiter.

  5. Wählen Sie auf der Seite Serverrollen auswählen die Rolle Active Directory-Zertifikatdienste aus. Wenn Sie aufgefordert werden, die Remoteserver-Verwaltungstools hinzuzufügen, klicken Sie auf Features hinzufügen und dann auf Weiter.

  6. Klicken Sie auf der Seite Features auswählen auf Weiter.

  7. Klicken Sie auf der Seite Active Directory-Zertifikatdienste auf Weiter.

  8. Deaktivieren Sie auf der Seite Rollendienste auswählen die Rolle Zertifizierungsstelle, und wählen Sie Zertifikatregistrierungsrichtlinien-Webdienst aus. Wenn Sie aufgefordert werden, Rollen und Features hinzuzufügen, klicken Sie auf Features hinzufügen und dann auf Weiter.

  9. Klicken Sie auf der Seite Webserverrolle (IIS) auf Weiter.

  10. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter.

  11. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.

  12. Klicken Sie nach Abschluss der Installation auf Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.

    TipTipp
    Falls Sie vor Abschluss der Installation auf Schließen geklickt haben, können Sie die Konfiguration des Rollendiensts über einen Link im Benachrichtigungssymbol in Server-Manager abschließen.

  13. Klicken Sie auf der Seite Anmeldeinformationen auf Weiter.

  14. Wählen Sie auf der Seite Rollendienst die Option Zertifikatregistrierungsrichtlinien-Webdienst aus, und klicken Sie dann auf Weiter.

  15. Wählen Sie auf der Seite Authentifizierungstyp für CEP die Option Benutzername und Kennwort aus, und klicken Sie dann auf Weiter.

  16. Aktivieren Sie auf der Seite Schlüsselbasierte Erneuerung für CEP aktivieren das Kontrollkästchen Schlüsselbasierte Erneuerung aktivieren, und klicken Sie dann auf Weiter.

  17. Wählen Sie auf der Seite Serverzertifikat das von "IssuingCA-APP1" ausgestellte Zertifikat CEP1.corp.contoso.com aus, und klicken Sie dann auf Weiter.

  18. Klicken Sie auf der Seite Bestätigung auf Konfigurieren.

  19. Klicken Sie nach Abschluss der Konfiguration auf der Seite Ergebnisse auf Schließen, und klicken Sie dann im Assistenten zum Hinzufügen von Rollen und Features auf Schließen.

    TipTipp
    Sie können die in den obigen Schritten beschriebene Installation auch durchführen, indem Sie die folgenden Windows PowerShell-Befehle über den Pfad Cert:\LocalMachine\My als Administrator ausführen:

    Install-WindowsFeature Web-WebServer -IncludeManagementTools

    Add-WindowsFeature Adcs-Enroll-Web-Pol

    Install-AdcsEnrollmentPolicyWebService -AuthenticationType Username -KeyBasedRenewal -SSLCertThumbprint (dir -dnsname cep1.corp.contoso.com).Thumbprint

  20. Klicken Sie im Server-Manager auf Extras und anschließend auf Internetinformationsdienste-Manager.

  21. Erweitern Sie im Bereich Verbindungen der Internetinformationsdienste (IIS)-Manager-Konsole den Server CEP1.

    noteHinweis
    Klicken Sie auf Abbrechen, wenn eine Eingabeaufforderung zur Verwendung der Microsoft-Webplattform angezeigt wird.

  22. Erweitern Sie Sites und dann Default Web Site.

  23. Klicken Sie auf die Anwendung KeyBasedRenewal_ADPolicyProvider_CEP_UsernamePassword.

  24. Doppelklicken Sie im mittleren Bereich auf Anwendungseinstellungen.

  25. Doppelklicken Sie in Anwendungseinstellungen auf FriendlyName. Geben Sie in das Textfeld WertSSL-Serverzertifikate ein, und klicken Sie dann auf OK.

  26. Doppelklicken Sie in Anwendungseinstellungen auf URI, und vergewissern Sie sich, dass der URI-Wert https://cep1.corp.contoso.com/KeybasedRenewal_ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP ist.

    noteHinweis
    Dieser URI wird später in einem Windows PowerShell-Befehl auf WEB1 verwendet, um für die Zertifikatregistrierung eine Verbindung mit dem Server CEP1 herzustellen.

  27. Klicken Sie auf OK, und schließen Sie dann Internetinformationsdienste (IIS)-Manager.

  1. Zum Installieren einer zweiten Instanz des Zertifikatregistrierungsrichtlinien-Webdiensts auf dem Server CEP1 müssen Sie Windows PowerShell verwenden. Öffnen Sie Windows PowerShell als Administrator, und führen Sie den folgenden Befehl aus:

    cd Cert:\LocalMachine\My
    Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate -KeyBasedRenewal -SSLCertThumbprint (dir -dnsname cep1.corp.contoso.com).Thumbprint
    
    
  2. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie Y ein, und drücken Sie dann die EINGABETASTE.

    noteHinweis
    Eine Bestätigung mit dem Text ErrorString wird angezeigt. Wenn die Bestätigung unter ErrorString leer ist, war die Installation erfolgreich. Überprüfen Sie andernfalls, ob der Befehl fehlerhaft ist, korrigieren Sie die Fehler, und versuchen Sie es noch einmal.

  3. Klicken Sie im Server-Manager auf Extras und anschließend auf Internetinformationsdienste-Manager.

  4. Erweitern Sie im Bereich Verbindungen der Internetinformationsdienste (IIS)-Manager-Konsole den Server CEP1.

    noteHinweis
    Klicken Sie auf Abbrechen, wenn eine Eingabeaufforderung zur Verwendung der Microsoft-Webplattform angezeigt wird.

  5. Erweitern Sie Sites und dann Default Web Site.

  6. Klicken Sie auf die Anwendung KeyBasedRenewal_ADPolicyProvider_CEP_Certificate.

  7. Doppelklicken Sie im mittleren Bereich auf Anwendungseinstellungen.

  8. Doppelklicken Sie in Anwendungseinstellungen, auf FriendlyName, und geben Sie dann im Textfeld WertSSL-Serverzertifikate ein. Klicken Sie auf OK.

  9. Doppelklicken Sie in Anwendungseinstellungen auf URI, und vergewissern Sie sich, dass der URI-Wert https://cep1.corp.contoso.com/KeybasedRenewal_ADPolicyProvider_CEP_Certificate/service.svc/CEP ist. Mit diesem URI wird WEB1 konfiguriert, um für die Zertifikaterneuerung eine Verbindung mit dem Server CEP1 herzustellen.

Folgende Verfahren müssen ausgeführt werden, um den Server CES1 zur Unterstützung der hier beschriebenen Konfiguration zu konfigurieren:

  1. Installieren des Betriebssystems

  2. Konfigurieren von TCP/IP

  3. Hinzufügen des Computers zur Domäne

  4. Konfigurieren des Administratorkontos

  5. Installieren des Zertifikatregistrierungs-Webdiensts zur Verwendung der Benutzernamen- und Kennwortauthentifizierung

  6. Installieren des Zertifikatregistrierungs-Webdiensts zur Verwendung der Zertifikatauthentifizierung

  7. Gewähren der Leseberechtigung für die Zertifizierungsstelle für das Dienstkonto

  8. Einrichten des Dienstkontos als vertrauenswürdig für die Delegierung

Der Zertifikatregistrierungs-Webdienstserver wird verwendet, um Zertifikatanforderungen an die Zertifizierungsstelle zu senden. Die Zertifikatanforderungen werden vom Dienstkonto "Zertifikatregistrierungsrichtlinien-Webdienst" im Auftrag von Benutzern, Computern und Geräten an APP1 gesendet. Neben der Konfiguration für die Benutzernamen- und Kennwortauthentifizierung und die Zertifikatauthentifizierung muss dem Dienstkonto die Leseberechtigung für die Zertifizierungsstelle gewährt werden.

  1. Starten Sie die Installation von Windows Server 2012.

  2. Folgen Sie den Installationsanweisungen. Wählen Sie "Windows Server 2012 (vollständige Installation)" aus, und geben Sie ein sicheres Kennwort für das lokale Administratorkonto an. Melden Sie sich mit dem lokalen Administratorkonto an.

  3. Verbinden Sie den Computer mit einem Netzwerk, das über Internetzugriff verfügt, und führen Sie Windows Update aus, um die neuesten Updates für Windows Server 2012 zu installieren.

  4. Verbinden Sie den Computer mit dem Subnetz "Corpnet".

  1. Führen Sie in Windows PowerShell ncpa.cpl aus.

  2. Klicken Sie in Netzwerkverbindungen mit der rechten Maustaste auf Ethernet, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf Internetprotokoll Version 4 (TCP/IPv4), und klicken Sie dann auf Eigenschaften.

  4. Wählen Sie Folgende IP-Adresse verwenden aus. Geben Sie 10.0.0.5 in das Feld IP-Adresse ein. Geben Sie im Feld Subnetzmaske den Wert 255.255.255.0 ein.

  5. Wählen Sie Folgende DNS-Serveradressen verwenden aus. Geben Sie im Feld Bevorzugter DNS-Server den Wert 10.0.0.1 ein.

  6. Klicken Sie auf OK und dann auf Schließen.

  7. Schließen Sie das Fenster Netzwerkverbindungen.

  8. Führen Sie in Windows PowerShell sysdm.cpl aus.

  9. Klicken Sie im Dialogfeld Systemeigenschaften auf der Registerkarte Computername auf Ändern.

  10. Geben Sie im Feld Computername als neuen Namen für den Computer CES1 ein, und klicken Sie anschließend auf OK.

  11. Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.

  12. Klicken Sie im Dialogfeld Systemeigenschaften auf Schließen.

  13. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.

  14. Melden Sie sich nach dem Neustart mit dem lokalen Administratorkonto an.

  1. Führen Sie in Windows PowerShell sysdm.cpl aus.

  2. Klicken Sie im Dialogfeld Systemeigenschaften auf der Registerkarte Computername auf Ändern.

  3. Wählen Sie im Feld Mitglied von die Option Domäne aus, und geben Sie corp.contoso.com ein. Klicken Sie auf OK.

  4. Wenn Sie zur Eingabe eines Benutzernamens und Kennworts aufgefordert werden, geben Sie einen Domänenbenutzernamen und das zugehörige Kennwort ein (Sie können jedes gültige Benutzerkonto verwenden, einschließlich des standardmäßigen Administratorkontos). Klicken Sie anschließend auf OK.

  5. Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne "corp.contoso.com" angezeigt wird.

  6. Klicken Sie, wenn die Aufforderung zum Neustart des Computers angezeigt wird, auf OK.

  7. Klicken Sie im Dialogfeld Systemeigenschaften auf Schließen.

  8. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.

  9. Klicken Sie nach dem Neustart des Computers auf Benutzer wechseln und dann auf Anderer Benutzer. Melden Sie sich mit einem Konto, das Mitglied der Gruppe Enterprise Admins ist, bei der Domäne CORP an.

TipTipp
Windows PowerShell-Befehle zum Konfigurieren der IP-Adresse, Umbenennen des Computers und Hinzufügen der Computer zur Domäne:

$NetIP = Get-NetIPAddress | where {$_.Addressfamily -eq "IPv4" -and $_.InterfaceAlias -like "*Ethernet*"}

$NetAlias = $NetIP.InterfaceAlias

New-NetIPAddress -InterfaceAlias $NetAlias -IPAddress 10.0.0.5 -PrefixLength 24

Set-DnsClientServerAddress -InterfaceAlias $NetAlias -ServerAddresses 10.0.0.1

Set-DnsClient -InterfaceAlias $NetAlias -ConnectionSpecificSuffix corp.contoso.com

Add-Computer -NewName CES1 -DomainName corp.contoso.com -Credential CORP\User1

Restart-computer

  1. Klicken Sie auf dem Domänencontroller DC1 als "User1" in Server-Manager auf Tools und dann auf Active Directory-Verwaltungscenter.

  2. Klicken Sie in der Konsolenstruktur auf corp (lokal).

  3. Klicken Sie im Bereich Aufgaben auf Neu und dann auf Benutzer.

  4. Geben Sie im Dialogfeld Neuen Benutzer erstellen im Feld Vollständiger Name den NamenCES ein, vergewissern Sie sich, dass in SamAccountName-Anmeldung von Benutzer als Domäne corp\ angezeigt wird, und geben Sie dann CES als Kontonamen ein.

  5. Geben Sie das Kennwort, das Sie für dieses Konto verwenden möchten, in das Feld Kennwort ein, und wiederholen Sie die Eingabe im Feld Kennwort bestätigen.

  6. Wählen Sie unter "Kennwortoptionen" die Option Andere Kennwortoptionen und dann Kennwort läuft nie ab aus.

  7. Klicken Sie auf OK, um das Benutzerkonto zu erstellen, und schließen Sie dann das Dialogfeld Neuen Benutzer erstellen.

    TipTipp
    Alternativ können Sie das Dienstkonto mit Windows PowerShell erstellen. Sie können das CES-Benutzerkonto den Active Directory-Domänendiensten (AD DS) mit dem folgenden Befehl hinzufügen:

    New-ADUser -SamAccountName ces -AccountPassword (read-host "Set user password" -assecurestring) -name "ces" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false

  8. Das CES-Benutzerkonto erfordert einen Dienstprinzipalnamen (Service Principal Name, SPN), damit Webregistrierungsberechtigungen an das Konto delegiert werden können. Öffnen Sie zum Erstellen des Dienstprinzipalnamens Windows PowerShell, und führen Sie den folgenden Befehl aus: setspn -s http/ces1.corp.contoso.com corp\ces

  9. Melden Sie sich auf CES1 als "User1" an. Klicken Sie in Server-Manager auf Tools und dann auf Computerverwaltung.

  10. Erweitern Sie in der Konsolenstruktur Lokale Benutzer und Gruppen, und klicken Sie dann auf Gruppen.

  11. Doppelklicken Sie im Detailbereich auf IIS_IUSRS.

  12. Klicken Sie in Eigenschaften von IIS_IUSRS auf Hinzufügen.

  13. Geben Sie im Dialogfeld zur Auswahl von Benutzern, Computern, Dienstkonten oder GruppenCES ein, und klicken Sie dann auf Namen überprüfen. Klicken Sie zweimal auf OK.

    TipTipp
    Alternativ können Sie Windows PowerShell verwenden, um das CES-Benutzerkonto der lokalen Gruppe "IIS_IUSRS" hinzuzufügen. Führen Sie dazu den folgenden Befehl aus:

    Net localgroup IIS_IUSRS corp\ces /Add

ImportantWichtig
Zum Ausführen des folgenden Verfahrens benötigen Sie ein Serverauthentifizierungszertifikat für den Server CES1. Das Zertifikat sollte automatisch über die Gruppenrichtlinie und die auf APP1 ausgeführte Zertifizierungsstelle, die in "Testumgebungsanleitung: Bereitstellen einer AD CS-PKI-Hierarchie mit zwei Ebenen" konfiguriert wurde, an den Computer verteilt werden. Der erste Befehl im folgenden Verfahren dient zum Aktualisieren der Gruppenrichtlinie, um sicherzustellen, dass das Zertifikat an CES1 verteilt wird.

  1. Öffnen Sie auf CES1 als "User1" Windows PowerShell als Administrator, und führen Sie den folgenden Befehl aus:

    gpupdate /force
    cd cert:\LocalMachine\My
    dir | format-list
    

    Es sollte ein von "IssuingCA-APP1" ausgestelltes Zertifikat angezeigt werden, das Sie zum Installieren des Zertifikatregistrierungs-Webdiensts verwenden. Falls dies nicht der Fall ist, starten Sie den Computer neu.

  2. Klicken Sie in Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen. Wenn die Seite Vorbemerkungen angezeigt wird, klicken Sie auf Weiter.

  3. Klicken Sie auf der Seite Installationstyp auswählen auf Rollenbasierte oder featurebasierte Installation und anschließend auf Weiter.

  4. Wählen Sie auf der Seite Zielserver auswählen den Eintrag CES1.corp.contoso.com aus, und klicken Sie dann auf Weiter.

  5. Wählen Sie auf der Seite Serverrollen auswählen die Rolle Active Directory-Zertifikatdienste aus. Wenn Sie aufgefordert werden, die Remoteserver-Verwaltungstools hinzuzufügen, klicken Sie auf Features hinzufügen und dann auf Weiter.

  6. Klicken Sie auf der Seite Features auswählen auf Weiter.

  7. Klicken Sie auf der Seite Active Directory-Zertifikatdienste auf Weiter.

  8. Deaktivieren Sie auf der Seite Rollendienste auswählen die Rolle Zertifizierungsstelle, und wählen Sie dann Zertifikatregistrierungs-Webdienst aus. Wenn Sie aufgefordert werden, Rollen und Features hinzuzufügen, klicken Sie auf Features hinzufügen und dann auf Weiter.

  9. Klicken Sie auf der Seite Webserverrolle (IIS) auf Weiter.

  10. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter.

  11. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.

  12. Klicken Sie nach Abschluss der Installation auf Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.

    TipTipp
    Falls Sie vor Abschluss der Installation auf Schließen geklickt haben, können Sie die Konfiguration des Rollendiensts über einen Link im Benachrichtigungssymbol in Server-Manager abschließen.

  13. Vergewissern Sie sich auf der Seite Anmeldeinformationen, dass "CORP\User1" als Konto für die Installation angezeigt wird, und klicken Sie dann auf Weiter.

  14. Wählen Sie auf der Seite Rollendienst die Option Zertifikatregistrierungs-Webdienst aus, und klicken Sie dann auf Weiter.

  15. Klicken Sie auf der Seite ZS für CES auf Auswählen. Wählen Sie in Zertifizierungsstelle auswählen die Zertifizierungsstelle IssuingCA-APP1 aus, klicken Sie auf OK und dann auf Weiter.

  16. Wählen Sie auf der Seite Authentifizierungstyp für CES die Option Benutzername und Kennwort aus, und klicken Sie dann auf Weiter.

  17. Vergewissern Sie sich auf der Seite Dienstkonto für CES, dass Dienstkonto angeben (empfohlen) ausgewählt ist, und klicken Sie dann auf Auswählen.

  18. Geben Sie in "AD CS-Konfiguration" CORP\CES als Benutzernamen ein. Geben Sie das Kennwort für das Konto ein, und klicken Sie auf OK.

  19. Wählen Sie auf der Seite Serverzertifikat das von "IssuingCA-APP1" ausgestellte Zertifikat CES1.corp.contoso.com aus, und klicken Sie dann auf Weiter.

  20. Klicken Sie auf der Seite Bestätigung auf Konfigurieren.

  21. Klicken Sie nach Abschluss der Konfiguration auf der Seite Ergebnisse auf Schließen, und klicken Sie dann im Assistenten zum Hinzufügen von Rollen und Features auf Schließen.

TipTipp
Alternativ können Sie die in den obigen Schritten beschriebene Installation und Konfiguration durchführen, indem Sie die folgenden Windows PowerShell-Befehle über den Pfad Cert:\LocalMachine\My als Administrator ausführen:

Install-WindowsFeature Web-WebServer -IncludeManagementTools

Add-WindowsFeature Adcs-Enroll-Web-Svc

Install-AdcsEnrollmentWebService -ServiceAccountName "CORP\CES" -CAConfig "APP1.corp.contoso.com\IssuingCA-APP1" -SSLCertThumbprint (dir -dnsname ces1.corp.contoso.com).Thumbprint -AuthenticationType Username

  1. Zum Installieren einer zweiten Instanz des Zertifikatregistrierungs-Webdiensts auf dem Server CES1 müssen Sie Windows PowerShell verwenden. Öffnen Sie Windows PowerShell.

  2. Geben Sie cd cert:\LocalMachine\My ein, und drücken Sie dann die EINGABETASTE.

  3. Geben Sie certutil ein, und drücken Sie dann die EINGABETASTE. Beachten Sie die Zeile Config. Dies ist die Konfiguration, die Sie beim Installieren des Zertifikatregistrierungs-Webdiensts verwenden. Für diese Umgebung lautet die Konfiguration "APP1.corp.contoso.com\IssuingCA-APP1".

    noteHinweis
    In der letzten Zeile der Konfigurationsausgabe werden Webregistrierungsserver und "https://ces1.corp.contoso.com/IssuingCA-APP1_CES_UsernamePassword/service.svc/CES" angezeigt. Dies ist der URI, den der Zertifikatregistrierungsrichtlinien-Webdienst während der Zertifikatregistrierung an den Client übergibt.

  4. Geben Sie die folgenden Befehle ein, um den Zertifikatregistrierungs-Webdienst zu installieren:

    Install-AdcsEnrollmentWebService -CAConfig "APP1.corp.contoso.com\IssuingCA-APP1" -SSLCertThumbprint (dir -dnsname ces1.corp.contoso.com).Thumbprint -AuthenticationType Certificate -RenewalOnly -AllowKeyBasedRenewal
    
  5. Geben Sie an der entsprechenden Eingabeaufforderung das Kennwort für das CES-Benutzerkonto ein, und drücken Sie dann die EINGABETASTE.

  6. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie Y ein, und drücken Sie dann die EINGABETASTE.

    noteHinweis
    1. Eine Bestätigung mit dem Text ErrorString wird angezeigt. Wenn die Bestätigung unter ErrorString leer ist, war die Installation erfolgreich. Überprüfen Sie andernfalls, ob der Befehl fehlerhaft ist, korrigieren Sie die Fehler, und versuchen Sie es noch einmal.

    2. Geben Sie nach dem Konfigurieren des Diensts erneut certutil ein. Sie werden sehen, dass jetzt zwei Webregistrierungsserver vorhanden sind. Der in diesem Verfahren hinzugefügte URI ist "https://ces1.corp.contoso.com/IssuingCA-APP1_CES_Certificate/services.svc/CES". Dies ist der URI, den der Zertifikatregistrierungs-Webdienst während der Erneuerung an den Client übergibt.

  1. Öffnen Sie auf APP1 als "CORP\User1" die Zertifizierungsstellenkonsole.

  2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf IssuingCA-APP1, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen.

  4. Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen CES ein, klicken Sie auf Namen überprüfen und dann auf OK.

  5. Wählen Sie CES aus, und aktivieren Sie dann in Berechtigungen für CES die Kontrollkästchen für die Berechtigungen Zulassen und Lesen. Deaktivieren Sie die Kontrollkästchen für Zulassen und Zertifikate anfordern, und klicken Sie anschließend auf OK.

    noteHinweis
    Für die Gruppe Authentifizierte Benutzer ist die Berechtigung Lesen standardmäßig festgelegt. Zudem enthält die Gruppe Authentifizierte Benutzer alle Computerkonten in der Domäne. Dies bedeutet, dass CES die Berechtigung Lesen aufgrund der Mitgliedschaft in der Gruppe Authentifizierte Benutzer besitzt.

  1. Öffnen Sie auf DC1 als "User1" Active Directory-Benutzer und -Computer.

  2. Erweitern Sie im Navigationsbereich corp.contoso.com, und klicken Sie dann auf Users.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf das Benutzerkonto CES, und klicken Sie dann auf Eigenschaften.

  4. Wählen Sie auf der Registerkarte Delegierung die Option Benutzer bei Delegierungen angegebener Dienste vertrauen aus. Wählen Sie Beliebiges Authentifizierungsprotokoll verwenden aus, und klicken Sie dann auf Hinzufügen.

  5. Klicken Sie in Dienste hinzufügen auf Benutzer oder Computer.

  6. Geben Sie in Benutzer oder Computer auswählen unter Geben Sie die zu verwendenden Objektnamen ein den Namen APP1 ein, klicken Sie auf Namen überprüfen und dann auf OK.

  7. Wählen Sie in der Liste der verfügbaren Dienste die Dienste HOST und rpcss aus. Klicken Sie zweimal auf OK.

    TipTipp
    Sie können auf dieser Seite die STRG-Taste gedrückt halten, um mehrere Dienste auszuwählen.

  8. Schließen Sie Active Directory-Benutzer und -Computer.

Damit Zertifikatregistrierungs-Webdienste Zertifikate für Clients bereitstellen können, muss eine entsprechende Zertifikatvorlage konfiguriert und veröffentlicht werden.

  1. Erweitern Sie auf APP1 im Navigationsbereich der Zertifizierungsstellenkonsole "IssuingCA-APP1".

  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten. Die Zertifikatvorlagenkonsole wird geöffnet.

  3. Klicken Sie in Vorlagenanzeigename mit der rechten Maustaste auf die Vorlage Webserver, und klicken Sie dann auf Vorlage duplizieren.

  4. Legen Sie auf der Registerkarte Kompatibilität in Kompatibilitätseinstellungen die Zertifizierungsstelle auf Windows Server 2012 fest. Wenn das Dialogfeld Resultierende Änderungen angezeigt wird, klicken Sie auf OK.

  5. Legen Sie Zertifikatsempfänger auf Windows 8/Windows Server 2012 fest. Wenn das Dialogfeld Resultierende Änderungen angezeigt wird, klicken Sie auf OK.

    noteHinweis
    Durch das Festlegen der Zertifizierungsstelle und des Zertifikatclients auf Windows Server 2012/Windows 8 wird die schlüsselbasierte Erneuerung ermöglicht, mit deren Hilfe der Client sein Zertifikat anhand des vorhandenen Zertifikats erneuern kann.

  6. Geben Sie auf der Registerkarte Allgemein in Vorlagenanzeigename den Namen Internetserver ein, um die Vorlage umzubenennen. Legen Sie Gültigkeitsdauer auf 1 Jahr fest, und stellen Sie sicher, dass Erneuerungszeitraum auf 6 Wochen festgelegt ist.

  7. Wählen Sie auf der Registerkarte Sicherheit unter Gruppen- oder Benutzernamen die Gruppe Authentifizierte Benutzer aus, und aktivieren Sie dann das Kontrollkästchen für die Berechtigung Zulassen und Registrieren. Dadurch wird sichergestellt, dass die Vorlage für alle Mitglieder der Gruppe Authenticated Users sichtbar ist. Diese Gruppe enthält alle Konten (Benutzer, Computer oder Gerät), die erfolgreich in der Domäne authentifiziert werden.

    noteHinweis
    In einer Produktionsumgebung können Sie diese Vorlage zusätzlich sichern, damit nur Mitglieder einer bestimmten Gruppe auf sie zugreifen können.

  8. Wählen Sie auf der Registerkarte Erweiterungen unter Erweiterungen in dieser Vorlage die Option Anwendungsrichtlinien aus, und klicken Sie dann auf Bearbeiten.

  9. Klicken Sie unter Anwendungsrichtlinienerweiterung bearbeiten auf Hinzufügen.

  10. Doppelklicken Sie in Anwendungsrichtlinie hinzufügen unter Anwendungsrichtlinien auf Clientauthentifizierung. Klicken Sie in Anwendungsrichtlinienerweiterung bearbeiten auf OK.

    noteHinweis
    Unter Beschreibung von Anwendungsrichtlinien sollten Clientauthentifizierung und Serverauthentifizierung angezeigt werden. Clientauthentifizierung ermöglicht es einem Zertifikat, die Identität des Zertifikatdienstclients nachzuweisen. Serverauthentifizierung ermöglicht es einem Zertifikat, die Identität eines Webservers nachzuweisen.

  11. Wählen Sie auf der Registerkarte Antragstellername die Option Informationen werden in der Anforderung angegeben und dann Antragstellerinformationen aus vorhandenen Zertifikaten für Erneuerungsanforderungen für die automatische Registrierung verwenden aus.

  12. Wählen Sie auf der Registerkarte Ausstellungsvoraussetzungen unter Erneute Registrierung erfordert Folgendes die Option Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle aus. Wählen Sie unter Erneute Registrierung erfordert Folgendes die Option Gültiges vorhandenes Zertifikat und dann Schlüsselbasierte Erneuerung zulassen aus. Klicken Sie auf OK.

  13. Öffnen Sie Windows PowerShell als Administrator. Geben Sie certutil ein, und drücken Sie dann die EINGABETASTE. Die im folgenden Befehl verwendete Zertifizierungsstellenkonfiguration wird angezeigt.

  14. Führen Sie den folgenden Befehl aus:

    Certutil -config "APP1.corp.contoso.com\IssuingCA-APP1" -setreg policy\EditFlags +EDITF_ENABLERENEWONBEHALFOF

  15. Starten Sie den Zertifizierungsstellendienst mit dem folgenden Befehl neu, um sicherzustellen, dass die Konfigurationsänderung vollständig ist:

    Restart-service certsvc

  16. Schließen Sie Windows PowerShell.

  17. Schließen Sie die Zertifikatvorlagenkonsole.

  18. Klicken Sie in der Zertifizierungsstellenkonsole in der Navigationskonsolenstruktur auf Zertifikatvorlagen. Im Detailbereich werden die ausgestellten Zertifikatvorlagen angezeigt.

  19. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu, und dann auf Auszustellende Zertifikatvorlage.

  20. Klicken Sie im Dialogfeld Zertifikatvorlagen aktivieren unter Name auf Internet Server und dann auf OK.

    noteHinweis
    Sie können die Zertifikatvorlage "Internet Server" auch mit dem folgenden Windows PowerShell-Befehl aktivieren:

    Add-CATemplate InternetServer

In diesem Schritt konfigurieren Sie WEB1 als Mitglied einer Arbeitsgruppe, die mit dem Subnetz "CorpNet" verbunden ist. Sie konfigurieren WEB1 so, dass er der Stammzertifizierungsstelle von "corp.contoso.com" vertraut. Folgende Verfahren müssen in diesem Schritt ausgeführt werden:

  1. Installieren des Betriebssystems

  2. Konfigurieren von TCP/IP

  3. Konfigurieren von WEB1 zum Vertrauen der Stammzertifizierungsstelle

  1. Starten Sie die Installation von Windows Server 2012.

  2. Folgen Sie den Installationsanweisungen. Wählen Sie "Windows Server 2012 (vollständige Installation)" aus, und geben Sie ein sicheres Kennwort für das lokale Administratorkonto an. Melden Sie sich mit dem lokalen Administratorkonto an.

  3. Verbinden Sie den Computer mit einem Netzwerk, das über Internetzugriff verfügt, und führen Sie Windows Update aus, um die neuesten Updates für Windows Server 2012 zu installieren.

  4. Verbinden Sie den Computer mit dem Subnetz "Corpnet".

  1. Führen Sie in Windows PowerShell ncpa.cpl aus.

  2. Klicken Sie in Netzwerkverbindungen mit der rechten Maustaste auf Ethernet, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf Internetprotokoll Version 4 (TCP/IPv4), und klicken Sie dann auf Eigenschaften.

  4. Wählen Sie Folgende IP-Adresse verwenden aus. Geben Sie 10.0.0.6 in das Feld IP-Adresse ein. Geben Sie im Feld Subnetzmaske den Wert 255.255.255.0 ein.

  5. Wählen Sie Folgende DNS-Serveradressen verwenden aus. Geben Sie im Feld Bevorzugter DNS-Server den Wert 10.0.0.1 ein.

  6. Klicken Sie auf OK und dann auf Schließen.

  7. Schließen Sie das Fenster Netzwerkverbindungen.

  8. Führen Sie in Windows PowerShell sysdm.cpl aus.

  9. Klicken Sie im Dialogfeld Systemeigenschaften auf der Registerkarte Computername auf Ändern.

  10. Geben Sie im Feld Computername als neuen Namen für den Computer WEB1 ein, und klicken Sie anschließend auf OK.

  11. Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.

  12. Klicken Sie im Dialogfeld Systemeigenschaften auf Schließen.

  13. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.

  14. Melden Sie sich nach dem Neustart mit dem lokalen Administratorkonto an.

TipTipp
Die Windows PowerShell-Befehle zum Ändern der IP-Adresse und Umbenennen des Computers lauten wie folgt:

$NetIP = Get-NetIPAddress | where {$_.Addressfamily -eq "IPv4" -and $_.InterfaceAlias -like "*Ethernet*"}

$NetAlias = $NetIP.InterfaceAlias

New-NetIPAddress -InterfaceAlias $NetAlias -IPAddress 10.0.0.6 -PrefixLength 24

Set-DnsClientServerAddress -InterfaceAlias $NetAlias -ServerAddresses 10.0.0.1

Set-DnsClient -InterfaceAlias $NetAlias -ConnectionSpecificSuffix corp.contoso.com

Rename-computer WEB1

Restart-computer

  1. Legen Sie auf WEB1 das Wechselmedium ein, das die Zertifikate für APP1 und ORCA1 enthält.

    TipTipp
    Falls Sie das Wechselmedium nicht mehr haben, können Sie die Dateien "orca1_ORCA-CA.crt" aus dem Ordner "c:\pki" auf APP1 auf ein Wechselmedium kopieren. Das Medium kann wie weiter oben in diesem Dokument unter Hardware- und Softwareanforderungen erläutert physisch oder virtuell sein.

  2. Öffnen Sie auf WEB1 Windows PowerShell als Administrator, und geben Sie dann mmc ein.

  3. Klicken Sie auf Datei und dann auf Snap-In hinzufügen/entfernen.

  4. Klicken Sie in Snap-Ins hinzufügen bzw. entfernen auf Zertifikate und dann auf Hinzufügen.

  5. Wählen Sie in Zertifikat-Snap-In die Option Computerkonto aus. Klicken Sie auf Weiter.

  6. Lassen Sie in Computer auswählen die Option Lokaler Computer aktiviert, klicken Sie auf Fertig stellen und dann auf OK.

  7. Erweitern Sie im Navigationsbereich Zertifikate (Lokaler Computer).

  8. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen, klicken Sie auf Alle Aufgaben und anschließend auf Importieren.

  9. Klicken Sie im Zertifikatimport-Assistenten auf Weiter.

  10. Geben Sie auf der Seite Zu importierende Datei im Feld Dateiname den Pfad zum ORCA1-Zertifikat auf dem Wechselmedium ein. Wenn der Name des ORCA1-Zertifikats z. B. "orca1_ORCA1-ContosoRootCA.crt" lautet und es sich auf einer Diskette befindet, geben Sie A:\orca1_ORCA1-ContosoRootCA.crt ein. Alternativ können Sie die Schaltfläche Durchsuchen verwenden, um nach dem Zertifikat zu suchen. Wählen Sie "orca1_ORCA1-ContosoRootCA.crt" aus, und klicken Sie dann auf Weiter.

  11. Wählen Sie auf der Seite Zertifikatspeicher die Option Alle Zertifikate in folgendem Speicher speichern aus, und legen Sie Zertifikatspeicher auf Vertrauenswürdige Stammzertifizierungsstellen fest. Klicken Sie auf Weiter und dann auf Fertig stellen. Wenn der Zertifikatimport-Assistent anzeigt, dass der Import erfolgreich war, klicken Sie auf OK.

  12. Klicken Sie auf Console1, auf Datei und dann auf Speichern. Vergewissern Sie sich, dass Speichern in auf Desktop festgelegt ist (um die Konsole auf dem Desktop des aktuellen Benutzerkontos zu speichern). Geben Sie in Dateiname den Namen Zertifikate ein, um den Konsolennamen von "Console1" in "Zertifikate" zu ändern. Klicken Sie auf OK.

Sie verwenden die Benutzernamen- und Kennwortauthentifizierung für Zertifikatregistrierungs-Webdienste, um ein Erstzertifikat anzufordern. Anschließend simulieren Sie die automatische Erneuerung dieses Zertifikats anhand des vorhandenen Zertifikats. Folgende Verfahren müssen in diesem Schritt ausgeführt werden:

  1. Anfordern eines Zertifikats

  2. Genehmigen der Zertifikatanforderung

  3. Installieren des Zertifikats

  4. Konfigurieren von WEB1 für die automatische Zertifikaterneuerung

  5. Testen der Zertifikaterneuerung

  1. Um die zertifikatbasierte Authentifizierung verwenden zu können, müssen Sie zunächst ein Zertifikat abrufen. Melden Sie sich auf WEB1 als lokaler Administrator an. Führen Sie Windows PowerShell als Administrator aus. Führen Sie den folgenden Befehl aus, um das Erstzertifikat unter Verwendung der Benutzernamen- und Kennwortauthentifizierung abzurufen:

    Get-Certificate -template InternetServer -Url "https://cep1.corp.contoso.com/KeybasedRenewal_ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP" -SubjectName "CN=WEB1" -DnsName "web1.treyresearch.com" -Credential (Get-Credential) -CertStoreLocation "cert:\LocalMachine\My"

    Geben Sie an der entsprechenden Eingabeaufforderung die Anmeldeinformationen von "Corp\User1" ein.

    noteHinweis
    Die Anforderung hat nun den Status "ausstehend", und Sie müssen sie auf APP1 genehmigen. Falls die Anforderung nicht erfolgreich abgeschlossen wird, überprüfen Sie die Befehlssyntax, und versuchen Sie es noch einmal. Wenn bei der Anforderung eine Zeitüberschreitung auftritt, wiederholen Sie sie.

  1. Öffnen Sie auf APP1 als "User1" die Zertifizierungsstellenkonsole. Klicken Sie im Navigationsbereich auf Ausstehende Anforderungen.

  2. Notieren Sie die im Detailbereich angezeigte Anforderungs-ID, und klicken Sie dann mit der rechten Maustaste auf die ausstehende Anforderung. Klicken Sie auf Alle Aufgaben und dann auf Ausstellen.

  1. Führen Sie auf WEB1 die folgenden Windows PowerShell-Befehle aus, um das Zertifikat abzurufen.

    Cd Cert:\LocalMachine\Request

    Dir | Get-Certificate -Credential (Get-Credential)

    Geben Sie an der entsprechenden Eingabeaufforderung die Anmeldeinformationen von "Corp\User1" ein. Falls die Anforderung beim ersten Mal nicht erfolgreich abgeschlossen wird, überprüfen Sie die Befehlssyntax, und versuchen Sie es noch einmal. Wenn bei der Anforderung eine Zeitüberschreitung auftritt, wiederholen Sie sie.

  1. Öffnen Sie auf WEB1 die Konsole "Editor für lokale Gruppenrichtlinien". Öffnen Sie dazu Windows PowerShell als Administrator, und geben Sie den Befehl gpedit.msc ein.

  2. Erweitern Sie im Navigationsbereich des Editors für lokale Gruppenrichtlinien Richtlinie für "Lokaler Computer", Computerkonfiguration, Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie anschließend auf Richtlinien für öffentliche Schlüssel.

  3. Doppelklicken Sie im Detailbereich auf Zertifikatdienstclient - Automatische Registrierung.

  4. Legen Sie auf der Registerkarte Registrierungsrichtlinienkonfiguration die Option Konfigurationsmodell auf Aktiviert fest. Wählen Sie Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen und Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren aus, und klicken Sie anschließend auf OK.

  5. Doppelklicken Sie im Detailbereich der Konsole "Editor für lokale Gruppenrichtlinien" auf Zertifikatdienstclient - Zertifikatregistrierungsrichtlinie.

  6. Legen Sie Konfigurationsmodell auf Aktiviert fest.

  7. Klicken Sie auf der Registerkarte Registrierungsrichtlinie auf Hinzufügen.

  8. Geben Sie in Zertifikatregistrierungs-Richtlinienserver den folgenden URI in das Textfeld URI für Registrierungsrichtlinienserver eingeben ein:

    https://cep1.corp.contoso.com/KeyBasedRenewal_ADPolicyProvider_CEP_Certificate/service.svc/CEP

  9. Legen Sie Authentifizierungstyp auf X.509-Zertifikat fest.

  10. Klicken Sie auf Server überprüfen. In Windows-Sicherheit wird das Zertifikat "web1.treyresearch.com" angezeigt. Klicken Sie auf OK.

    noteHinweis
    Falls eine Zeitüberschreitung auftritt, vergewissern Sie sich, dass die Server CEP1 und CES1 online sind, und versuchen Sie es dann noch einmal.

  11. Klicken Sie auf Hinzufügen, wenn die Überprüfung des Pfads erfolgreich ist.

  12. Aktivieren Sie auf der Registerkarte Registrierungsrichtlinie in der Liste der Zertifikatregistrierungsrichtlinien das Kontrollkästchen Standard für SSL-Serverzertifikat, und klicken Sie dann auf OK.

  1. Führen Sie auf WEB1 den folgenden Befehl in Windows PowerShell als Administrator aus:

    Cd Cert:\LocalMachine\My
    Dir | format-list
    

    Kopieren Sie den Zertifikatfingerabdruck aus der Ausgabe. (Sie können dazu den Text markieren und mit der rechten Maustaste das Kontextmenü aufrufen.)

  2. Führen Sie den folgenden Befehl aus, um den Richtliniencache zu löschen:

    certutil -f -policyserver * -policycache delete

  3. Führen Sie den folgenden Befehl aus, um das Zertifikat zu erneuern: Ersetzen Sie <thumbprint> durch den zuvor kopierten tatsächlichen Zertifikatfingerabdruck. (Sie können ihn über das Kontextmenü einfügen.)

    certreq -machine -q -enroll -cert <thumbprint> renew

    noteHinweis
    Wenn eine Zeitüberschreitung auftritt, wiederholen Sie den Vorgang. Sollten Fehler auftreten, führen Sie auf den Servern CES1 und CEP1 den Befehl iisreset in Windows PowerShell aus, um sicherzustellen, dass die Server online sind, und versuchen Sie es dann noch einmal.

  4. Führen Sie auf WEB1 den folgenden Befehl in Windows PowerShell als Administrator aus:

    Cd Cert:\LocalMachine\My
    Dir | format-list
    

    Beachten Sie, dass sich der Zertifikatfingerabdruck geändert hat. Dies beweist, dass das Zertifikat erfolgreich erneuert wurde.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft