Anfordern von Zertifikaten von lokalen Zertifizierungsstellen

  • Artikel

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

Wenn Serverzertifikate für den internen Gebrauch gedacht sind, können Sie eine lokale Zertifizierungsstelle erstellen und damit den Erwerb eines kommerziellen Zertifikats vermeiden.

So richten Sie eine lokale Zertifizierungsstelle ein

  1. Öffnen Sie die Systemsteuerung.

  2. Doppelklicken Sie auf Software.

  3. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.

  4. Doppelklicken Sie auf Anwendungsserver.

  5. Doppelklicken Sie auf Internetinformationsdienste (IIS).

  6. Doppelklicken Sie auf WWW-Dienst.

  7. Wählen Sie Active Server Pages aus.

  8. Klicken Sie auf OK, um das Dialogfeld WWW-Dienst zu schließen. Klicken Sie erneut auf OK, um das Dialogfeld Internetinformationsdienste (IIS) zu schließen, und klicken Sie dann auf OK, um das Dialogfeld Anwendungsserver zu schließen.

  9. Wählen Sie Zertifikatdienste aus. Überprüfen Sie die Warnmeldung hinsichtlich Computername und Domänenmitgliedschaft. Klicken Sie im Warnungsdialogfeld auf Ja, wenn Sie fortfahren möchten, und klicken Sie anschließend auf der Seite Windows-Komponenten auf Weiter.

  10. Wählen Sie auf der Seite Zertifizierungsstellentyp eine der folgenden Optionen, und klicken Sie anschließend auf Weiter.

    • Stammzertifizierungsstelle des Unternehmens. Eine Stammzertifizierungsstelle für das Unternehmen kann nur auf einem Domänenmitglied installiert werden. Die Stammzertifizierungsstelle des Unternehmens gibt automatisch Zertifikate aus, wenn dies von einem autorisierten Benutzer (der vom Domänencontroller identifiziert wird) angefordert wird.

    • Eigenständige Stammzertifizierungsstelle. Eine eigenständige Stammzertifizierungsstelle erfordert, dass jedes angeforderte Zertifikat durch den Administrator ausgegeben wird.

  11. Geben Sie auf der Seite Informationen über die Zertifizierungsstelle einen allgemeinen Namen für die Zertifizierungsstelle an, überprüfen Sie den Suffix des definierten Namens, wählen Sie einen Gültigkeitszeitraum aus, und klicken Sie dann auf Weiter.

  12. Überprüfen Sie die Standardeinstellungen auf der Seite Einstellungen der Zertifikatdatenbank. Ändern Sie bei Bedarf die Speicherorte der Datenbank. Klicken Sie auf Weiter.

  13. Überprüfen Sie auf der Seite Fertigstellen des Assistenten die Zusammenfassung, und klicken Sie dann auf Fertig stellen.

Hinweis

Durch dieses Verfahren werden auch die Dienste installiert, die auf den Computern das Abrufen von Zertifikaten über eine Webseite aktivieren. Wenn Sie ein anderes Verfahren bevorzugen, um Zertifikate für die Computer verfügbar zu machen, müssen Sie IIS (Internetinformationsdienste) und ASP (Active Server Pages) nicht installieren.

Um den Zugriff auf die Website der Zertifizierungsstelle zu ermöglichen, muss sie veröffentlicht werden. Um den Zugriff auf die Website einzuschränken, müssen sie lediglich die tatsächlich benötigten Ordner für eine bestimmte Benutzergruppe veröffentlichen, statt den kompletten Server für alle Benutzer zu veröffentlichen. Weitere Informationen über die Webveröffentlichung finden Sie unter Planen einer Veröffentlichung.

So installieren Sie ein Serverzertifikat

  1. Öffnen Sie Internet Explorer.

  2. Wählen Sie im Menü die Option Extras und dann Internetoptionen aus.

  3. Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie unter Wählen Sie eine Zone aus, um deren Sicherheitseinstellungen festzulegen auf Vertrauenswürdige Sites.

  4. Klicken Sie auf die Schaltfläche Sites, um das Dialogfeld Vertrauenswürdige Sites zu öffnen.

  5. Geben Sie in Diese Website zur Zone hinzufügen den Namen der Zertifikatserverwebsite an, (http://IP-Adresse des Zertifizierungsstellenservers/certsrvname), und klicken Sie dann auf Hinzufügen.

  6. Klicken Sie auf Schließen, um das Dialogfeld Vertrauenswürdige Sites zu schließen, und klicken Sie dann erneut auf OK, um das Dialogfeld Internetoptionen zu schließen.

  7. Rufen Sie die folgende Webseite auf:

    http://IP-Adresse des Zertifizierungsstellenservers/certsrv

  8. Fordern Sie ein Zertifikat an.

  9. Klicken Sie auf Erweiterte Zertifikatanforderung.

  10. Wählen Sie Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen aus.

  11. Füllen Sie das Formular vollständig aus, und wählen Sie in der Dropdownliste Typ die Option Serverauthentifizierungszertifikat. Damit der Client beim Herstellen einer Verbindung keine Fehlermeldung erhält, muss der von Ihnen angegebene allgemeine Name mit dem Namen des veröffentlichten Servers übereinstimmen:

    • Geben Sie bei einer Serververöffentlichung unter "Allgemeiner Name" den vollständig qualifizierten Domänennamen des Servers ein, der veröffentlicht wird.

      Hinweis

      Eine Erläuterung der auf der Seite Erweiterte Zertifikatanforderung verfügbaren Optionen finden Sie auf den Webseiten mit Informationen zu den Zertifikatdiensten von Windows Server 2003 (https://www.microsoft.com).

    • Geben Sie bei einer Webveröffentlichung für ein Zertifikat auf dem Forefront TMG-Computer den Hostnamen ein, den externe Clients in ihren Webbrowser eingeben, um auf die Website zuzugreifen (z. B. „news.adatum.com“).

    • Wenn Sie für eine Webveröffentlichung zusätzlich zum auf dem Forefront TMG-Computer erforderlichen Zertifikat ein Serverzertifikat auf dem Webserver installieren, muss der allgemeine Name dem Hostnamen entsprechen, der vom Forefront TMG-Computer über die Webveröffentlichungsregel zum Senden von HTTP-Anforderungsnachrichten an den Webserver verwendet wird. Dieser Name muss in die IP-Adresse des Webservers aufgelöst werden können und es kann sich hierbei um denselben vollqualifizierten Domänennamen des Webservers handeln, z. B. "webserver1.adatum.com".

  12. Wählen Sie Zertifikat in lokalem Zertifikatspeicher aufbewahren aus, und klicken Sie zum Übermitteln der Anforderung auf Übermitteln. Überprüfen Sie das angezeigte Warnungsdialogfeld, und klicken Sie dann auf Ja.

  13. Wenn Sie eine eigenständige Stammzertifizierungsstelle installiert haben, führen Sie auf dem Zertifizierungsstellencomputer die folgenden Schritte aus. Bei einer Stammzertifizierungsstelle des Unternehmens werden diese Schritte automatisch durchgeführt.

    1. Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle, um das MMC-Snap-In (Microsoft Management Console) der Zertifizierungsstelle zu öffnen.

    2. Erweitern Sie den Knoten CA_Name, wobei CA_Name für den Namen der Zertifizierungsstelle steht.

    3. Klicken Sie auf den Knoten Ausstehende Anforderungen, klicken Sie mit der rechten Maustaste auf die Anforderung, wählen Sie Alle Tasks und anschließend Ausstellen aus.

  14. Kehren Sie auf dem Forefront TMG-Computer zurück zur Webseite „http://IP-Adresse des Zertifizierungsstellenservers/certsrv“, und klicken Sie dann auf die Option Anzeigen des Status einer ausstehenden Anforderung.

  15. Klicken Sie auf die Anforderung, und wählen Sie die Option Dieses Zertifikat installieren aus.

  16. Überprüfen Sie, dass das Serverzertifikat ordnungsgemäß installiert wurde, indem Sie die folgenden Schritte durchführen.

    1. Klicken Sie auf Start und dann auf Ausführen. Geben Sie mmc in das Textfeld Öffnen ein, und klicken Sie anschließend auf OK.

    2. Klicken Sie im Fenster Konsole1 auf das Menü Datei und dann auf Snap-In hinzufügen/entfernen.

    3. Wählen Sie im Dialogfeld Snap-In hinzufügen/entfernen die Option Zertifikate aus, und klicken Sie dann auf Hinzufügen.

    4. Wählen Sie auf der Seite Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie anschließend auf Weiter.

    5. Wählen Sie auf der Seite Computer auswählen die Option Lokaler Computer aus, und klicken Sie dann auf Fertig stellen.

    6. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.

    7. Erweitern Sie in der Konsolenstruktur den Knoten Zertifikate (Lokaler Computer), erweitern Sie dann den Knoten Eigene Zertifikate, klicken Sie auf Zertifikate, und doppelklicken Sie anschließend auf das neue Serverzertifikat. Auf der Registerkarte Allgemein wird der Hinweis Sie besitzen einen privaten Schlüssel für dieses Zertifikat angezeigt. Auf der Registerkarte Zertifizierungspfad sollte eine hierarchische Beziehung zwischen Ihrem Zertifikat und der Zertifizierungsstelle sowie der Hinweis Dieses Zertifikat ist gültig angezeigt werden.

    8. Schließen Sie das Fenster Konsole1.

Hinweis

Dieser Vorgang wird auf dem Computer ausgeführt, für den das digitale Zertifikat benötigt wird. Bei Webveröffentlichungen handelt es sich dabei in jedem Fall um den Forefront TMG-Computer. Es kann jedoch auch auf dem Webservercomputer ein Zertifikat installiert werden. Bei einer Serververöffentlichung handelt es sich ausschließlich um den zu veröffentlichenden Servercomputer. Wenn Sie anstelle einer Stammzertifizierungsstelle des Unternehmens eine eigenständige Stammzertifizierungsstelle installiert haben, müssen auch noch einige Schritte an der Zertifizierungsstelle ausgeführt werden.

Auf einem Forefront TMG-Computer muss das von der Zertifizierungsstelle erhaltene Serverzertifikat im Zertifikatspeicher für persönliche Zertifikate des Forefront TMG-Computers gespeichert werden. Das Stammzertifikat der Zertifizierungsstelle muss im Zertifikatspeicher für vertrauenswürdige Stammzertifikate des Forefront TMG-Computers gespeichert werden.

Damit die von einer lokalen Zertifizierungsstelle installierten Serverzertifikate als vertrauenswürdig erkannt werden, muss auf dem jeweiligen Client das Stammzertifikat von der Zertifizierungsstelle installiert sein. Führen Sie das folgende Verfahren auf allen Clientcomputern durch, für die das Stammzertifikat benötigt wird. Sie können das Stammzertifikat auch auf einen Datenträger kopieren (z. B. eine Diskette) und es mithilfe des Datenträgers auf dem Clientcomputer installieren.

So installieren Sie ein Stammzertifikat

  1. Öffnen Sie Internet Explorer.

  2. Wählen Sie im Menü die Option Extras und dann Internetoptionen aus.

  3. Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie auf Stufe anpassen, um das Dialogfeld Sicherheitseinstellungen zu öffnen. Legen Sie den Wert im Dropdownmenü Benutzerdefinierte Einstellungen zurücksetzen auf Mittel fest, klicken Sie auf OK, um das Dialogfeld Sicherheitseinstellungen zu schließen, und klicken Sie dann auf OK, um das Dialogfeld Internetoptionen zu schließen.

    Hinweis

    Wenn die Sicherheitseinstellung auf Hoch festgelegt ist, können keine Zertifikate installiert werden.

  4. Rufen Sie die folgende Webseite auf:

    http://IP-Adresse des Zertifizierungsstellenservers/certsrv

  5. Klicken Sie auf Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Zertifikatsperrliste. Klicken Sie auf der nächsten Seite auf Download des Zertifizierungsstellenzertifikats. Dies ist das Stammzertifikat der Zertifizierungsstelle, das auf dem Forefront TMG-Computer installiert sein muss. Klicken Sie im Dialogfeld Dateidownload auf Öffnen.

  6. Klicken Sie im Dialogfeld Zertifikat auf Zertifikat installieren, um den Zertifikatimport-Assistenten zu starten.

  7. Klicken Sie auf der Seite Willkommen auf Weiter. Wählen Sie auf der Seite Zertifikatspeicher die Option Alle Zertifikate in folgendem Speicher speichern aus, und klicken Sie auf Durchsuchen. Wählen Sie im Dialogfeld Zertifikatspeicher auswählen die Option Physikalischen Speicher anzeigen aus. Erweitern Sie den Knoten Vertrauenswürdige Stammzertifizierungsstellen, wählen Sie Lokaler Computer aus, und klicken Sie anschließend auf OK. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter.

  8. Überprüfen Sie auf der Seite Fertigstellen des Assistenten die Details, und klicken Sie dann auf Fertig stellen.

  9. Überprüfen Sie, dass das Stammzertifikat ordnungsgemäß installiert wurde, indem Sie die folgenden Schritte durchführen.

    1. Öffnen Sie das Snap-In "Zertifikate (Lokaler Computer)" der Microsoft Management Console (MMC).

    2. Erweitern Sie den Knoten Vertrauenswürdige Stammzertifizierungsstellen, und klicken Sie auf Zertifikate. Stellen Sie anschließend sicher, dass das Stammzertifikat ordnungsgemäß installiert ist.

    Hinweis

    Sie können auf einem Computer auch Zertifikate über die Microsoft Management Console (MMC) mithilfe des Snap-Ins „Zertifikate (Lokaler Computer)“ installieren. Auf diese Weise verfügen Sie jedoch nur über Zugriff auf Zertifizierungsstellen in derselben Domäne.