TechNet
Exportieren (0) Drucken
Alle erweitern
Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Testumgebungsanleitung: Bereitstellen einer AD CS-PKI-Hierarchie mit zwei Ebenen

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

In dieser Testumgebungsanleitung wird erläutert, wie Sie eine Public Key-Infrastruktur (PKI) mit zwei Ebenen mithilfe von Windows Server® 2012 Active Directory-Zertifikatdienste (AD CS) erstellen können.

System_CAPS_noteHinweis

Verwenden Sie für Anmerkungen zu diesen Inhalten und Fragen zu den Informationen in diesem Dokument unseren Feedbackleitfaden.

Dieses Dokument enthält Anweisungen zum Erweitern der Testumgebungsanleitung für die Windows Server 2012-Basiskonfiguration, um eine Offline-Stammzertifizierungsstelle einzufügen und auf dem Computer APP1 aus der Basiskonfiguration-Testumgebungsanleitung eine untergeordnete Unternehmenszertifizierungsstelle zu installieren. In dieser Anleitung stellen Sie eine PKI-Hierarchie auf zwei Ebenen bereit, konfigurieren einen Verteilungspunkt für eine Zertifikatsperrliste (Certificate Revocation List, CRL), teilen der Domäne automatisch Zertifikate zu und verwenden eine Kommunikation mit aktivierten SSL-Zertifikaten (Secure Sockets Layer) mit der APP1-Website.

System_CAPS_importantWichtig

Die in dieser Anleitung beschriebene Konfiguration des Computers und des Netzwerks ist so konzipiert, dass Sie dabei die Erstellung einer Zertifizierungsstellen-PKI-Hierarchie mit zwei Ebenen üben können. Die dieser Anleitung zugrunde liegenden Entwurfsentscheidungen sollen es Ihnen ermöglichen, praktische Erfahrungen zu sammeln. Sie stellen nicht die empfohlene Konfiguration dar. Bewährte Methoden finden Sie im Thema über Bewährte Methoden zur Implementierung einer Public Key-Infrastruktur für Microsoft Windows Server 2003 (http://technet.microsoft.com/library/cc772670.aspx) und in der Kurzübersicht zum PKI-Entwurf (http://social.technet.microsoft.com/wiki/contents/articles/pki-design-brief-overview.aspx).

Mit der in dieser Anleitung veranschaulichten Testumgebungskonfiguration wird die Testumgebung für die Windows Server 2012- oder Windows Server 2012 R2-Basiskonfiguration um einen Servercomputer erweitert. Dieser zusätzliche Computer dient als Offline-Stammzertifizierungsstelle und erhält die Bezeichnung ORCA1. Die Testumgebungsanleitung setzt sich aus sechs wesentlichen Schritten zusammen, die jeweils aus mehreren untergeordneten Abläufen bestehen.

  1. Vervollständigen der Testumgebung für die Basiskonfiguration

  2. Konfigurieren von ORCA1

  3. Konfigurieren von APP1 zum Verteilen von Zertifikaten und Zertifikatsperrlisten

  4. Konfigurieren von APP1 als untergeordnete Unternehmenszertifizierungsstelle

  5. Aktivieren der automatischen Registrierung von Zertifikaten

  6. Konfigurieren der SSL für APP1

PKI-Netzwerklayout für Basiskonfiguration

Konfiguration des AD CS PKI-Hierarchie-Netzwerks

System_CAPS_importantWichtig

Obwohl EDGE1 und INET1 in der Abbildung dargestellt sind, werden sie nicht in der Übung verwendet.

Die folgenden Komponenten sind mindestens für die Testumgebung erforderlich:

  1. Die Produkt-CD oder -dateien für Windows Server 2012 oder Windows Server 2012 R2.

  2. Drei Computer, die die Mindesthardwareanforderungen für Windows Server 2012 oder Windows Server 2012 R2 erfüllen.

    System_CAPS_noteHinweis

    Sie benötigen nur die DC1-, APP1- und CLIENT1-Computer aus der Testumgebung für die Basiskonfiguration, um diese Testumgebung abzuschließen. In dieser Umgebung erstellen Sie auch den ORCA1-Computer. Wie bereits erwähnt, werden INET1 und EDGE1 in dieser Übung nicht verwendet.

  3. Die Produkt-CD oder -dateien für Windows® 8 oder Windows® 8.1.

  4. Ein Computer, der die Mindesthardwareanforderungen für Windows 8 oder Windows 8.1 erfüllt.

  5. Ein Wechselmedium mit ausreichend freiem Speicherplatz für einige Zertifikate und Zertifikatsperrlisten (ca. 10 Kilobyte). Dies kann entweder ein physisches oder ein virtuelles Wechselmedium sein, je nachdem, ob Ihre Testumgebung physische oder virtuelle Computer nutzt.

    System_CAPS_noteHinweis

    Anweisungen zum Übertragen von Dateien mit einer virtuellen Diskette mithilfe von Microsoft Windows Server™ Hyper-V finden Sie im Thema zum Erstellen, Verwenden und Übertragen von Dateien mithilfe virtueller Disketten (http://social.technet.microsoft.com/wiki/contents/articles/4272.aspx).

  6. Wenn Sie die Testumgebung für die Basiskonfiguration in einer virtualisierten Umgebung bereitstellen möchten, muss Ihre Virtualisierungslösung virtuelle 64-Bit-Computer mit Windows Server 2012 oder Windows Server 2012 R2 unterstützen. Die Serverhardware muss einen ausreichend großen Arbeitsspeicher unterstützen, um die in der Testumgebung für die Basiskonfiguration und in allen weiteren virtuellen Computern, die möglicherweise für zusätzliche Testumgebungen erforderlich sind, enthaltenen virtuellen Betriebssysteme ausführen zu können.

System_CAPS_importantWichtig

Führen Sie auf allen Computern oder virtuellen Computern während oder nach der Installation des Betriebssystems ein Windows Update durch. Nachdem Sie das Windows Update durchgeführt haben, können Sie die physische oder virtuelle Testumgebung vom Produktionsnetzwerk isolieren.

Die Testumgebungsanleitung für die Windows Server 2012-Basiskonfiguration befindet sich unter http://go.microsoft.com/fwlink/p/?LinkId=236358.

System_CAPS_tipTipp

Unter Testumgebungsanleitungen finden Sie Informationen zum Speicherort der anderen Dateien mit Testumgebungsanleitungen.

Das Verfahren zur Vervollständigung der Offline-Stammzertifizierungsstelle mit der Bezeichnung ORCA1 besteht aus den folgenden Schritten:

  • Installieren des Betriebssystems

  • Umbenennen des Computers

  • Vorbereiten der Datei "CAPolicy.inf" für die eigenständige Zertifizierungsstelle

  • Installieren der eigenständigen Stammzertifizierungsstelle

  • Konfigurieren der Einstellungen der Stammzertifizierungsstelle

  • Kopieren der Zertifikate und Sperrlisten der Stammzertifizierungsstelle auf das Wechselmedium

  • Verteilen der Stammzertifizierungsstelle über ein Gruppenrichtlinienobjekt

  • Erstellen der internen DNS-Zone "contoso.com" und des www-Hostdatensatzes

So installieren Sie das Betriebssystem auf ORCA1

  1. Schließen Sie diesen Computer nicht an ein Netzwerk an.

  2. Starten Sie die Installation von Windows Server 2012 oder Windows Server 2012 R2.

  3. Folgen Sie den Installationsanweisungen. Wählen Sie Windows Server 2012 oder Windows Server 2012 R2 (vollständige Installation) aus, und geben Sie ein sicheres Kennwort für das lokale Administratorkonto an. Verwenden Sie für die Anmeldung das lokale Administratorkonto.

So benennen Sie den Computer um

  1. Öffnen Sie den Reporting Services-Konfigurations-Manager, und bestätigen Sie, dass Sie eine Verbindung zum Berichtsserver herstellen können.

  2. Geben Sie rename-computer orca1 ein, und drücken Sie die EINGABETASTE.

  3. Geben Sie restart-computer ein, und drücken Sie die EINGABETASTE.

    Melden Sie sich nach dem Neustart des Computers mit dem lokalen Administratorkonto an.

So bereiten Sie die Datei "CAPolicy.inf" für die eigenständige Zertifizierungsstelle vor

  1. Öffnen Sie den Reporting Services-Konfigurations-Manager, und bestätigen Sie, dass Sie eine Verbindung zum Berichtsserver herstellen können.

  2. Klicken Sie auf Ja, wenn Sie zum Erstellen einer neuen Datei aufgefordert werden.

  3. Geben Sie folgenden Dateiinhalt an:

    [Version]
    Signature="$Windows NT$"
    [PolicyStatementExtension]
    Policies=InternalPolicy
    [InternalPolicy]
    OID= 1.2.3.4.1455.67.89.5
    Notice="Legal Policy Statement"
    URL=http://www.contoso.com/pki/cps.txt
    [Certsrv_Server]
    RenewalKeyLength=2048
    RenewalValidityPeriod=Years
    RenewalValidityPeriodUnits=20
    CRLPeriod=weeks
    CRLPeriodUnits=26
    CRLDeltaPeriod=Days
    CRLDeltaPeriodUnits=0
    LoadDefaultTemplates=0
    AlternateSignatureAlgorithm=1
    
    
    System_CAPS_cautionAchtung

    Von Clients mit Windows XP- und Windows Server 2003-Zertifikat wird der alternative Signaturalgorithmus nicht unterstützt. Wenn diese Clients in der Lage sein sollen, sich für Zertifikate zu registrieren, fügen Sie der Datei "CAPolicy.inf" nicht die Zeile "AlternateSignatureAlgorithm=1" hinzu. Weitere Informationen finden Sie unter Richtlinien für die Verwendung von alternativen Signaturformaten.

    System_CAPS_noteHinweis

    Die im Beispiel angezeigte Objektkennung (OID) ist die Microsoft-OID. Einzelne Organisationen sollten eigene OIDs anfordern. Weitere Informationen zu OIDs finden Sie im Thema zum Anfordern einer Stamm-OID von einer ISO-Namensregistrierungsstelle.

    System_CAPS_tipTipp

    Durch Verwenden der Einstellung "CRLDeltaPeriodUnits=0" in der Datei "CAPolicy.inf" wird die Veröffentlichung von Deltazertifikatsperrlisten deaktiviert. Dies ist die korrekte Einstellung für eine Offline-Stammzertifizierungsstelle.

  4. Click Vergewissern Sie sich, dass folgende Bedingungen erfüllt sind:

    • Dateiname ist auf CAPolicy.inf festgelegt.

    • Dateityp ist auf Alle Dateien festgelegt.

    • Die Codierung ist ANSI.

  5. Klicken Sie auf Ja, wenn Sie zum Überschreiben der Datei aufgefordert werden.

    Konfigurieren von CAPolicy.inf-Stammdatei

    Stellen Sie sicher, dass die Einstellungen für die Datei "CAPolicy.inf" korrekt sind.

    System_CAPS_cautionAchtung

    Vergewissern Sie sich, dass die Datei "CAPolicy.inf" mit der Dateierweiterung INF gespeichert wurde. Wenn Sie am Ende des Dateinamens nicht ausdrücklich .inf eingeben und die beschriebenen Optionen auswählen, wird die Datei als Textdatei gespeichert und nicht während der Zertifizierungsstelleninstallation verwendet.

  6. Schließen Sie den Editor.

System_CAPS_importantWichtig

In der Datei "CAPolicy.inf" sehen Sie eine Zeile, in der die URL "http://www.contoso.com/pki/cps.txt" angegeben wird. Der Abschnitt der Datei "CAPolicy.inf" zu den internen Richtlinien dient lediglich als Beispiel dafür, wie Sie den Speicherort einer Zertifikatverwendungserklärung (Certificate Practice Statement, CPS) angeben können. Weitere Informationen zu Richtlinienanweisungen einschließlich CPS finden Sie im Thema zum Erstellen von Zertifikatsrichtlinien und Zertifikatverwendungserklärungen (http://technet.microsoft.com/library/cc780454.aspx) und unter RFC 2527 (http://www.ietf.org/rfc/rfc2527.txt). Weitere Informationen zu Syntax und Zweck der Datei "CAPolicy.inf" finden Sie im Thema zur CA Policy.inf-Syntax (http://technet.microsoft.com/library/cc728279.aspx).

So installieren Sie die eigenständige Zertifizierungsstelle

  1. Klicken Sie im Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.

  2. Klicken Sie auf dem Bildschirm Bevor Sie beginnen auf Weiter.

  3. Stellen Sie im Bildschirm Installationstyp auswählen sicher, dass die Standardauswahl Rollenbasierte oder featurebasierte Installation ausgewählt ist. Klicken Sie auf Weiter.

  4. Stellen Sie auf dem Bildschirm Zielserver auswählen sicher, dass orca1 ausgewählt ist, und klicken Sie dann auf Weiter.

  5. Wählen Sie auf dem Bildschirm Serverrollen auswählen die Rolle Active Directory-Zertifikatsdienste aus.

  6. Wenn Sie zur Installation der Remoteserver-Verwaltungstools aufgefordert werden, klicken Sie auf Features hinzufügen. Klicken Sie auf Weiter.

  7. Klicken Sie auf dem Bildschirm Features auswählen auf Weiter.

  8. Klicken Sie auf der Seite Active Directory-Zertifikatdienste auf Weiter.

  9. Auf dem Bildschirm Rollendienste auswählen ist die Rolle Zertifizierungsstelle standardmäßig ausgewählt. Klicken Sie auf Weiter.

  10. Überprüfen Sie die Informationen auf dem Bildschirm Installationsauswahl bestätigen, und klicken Sie dann auf Installieren.

  11. Warten Sie bis zum Abschluss der Installation. Während die Binärdateien für die Zertifizierungsstelle installiert werden, wird der Bildschirm mit dem Installationsstatus angezeigt. Wenn die Installation der Binärdatei abgeschlossen ist, klicken Sie auf den Link Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.

    Konfigurieren von AD CS auf dem Zielserver

    Klicken Sie auf dem Zielserver auf "Konfigurieren von Active Directory-Zertifikatdiensten".

    System_CAPS_tipTipp

    Wenn Sie auf Schließen klicken, bevor die Installation abgeschlossen ist, könnten Sie die Konfiguration des Rollendiensts über einen Link zum Abschließen der Konfiguration beenden, der im Benachrichtigungssymbol von Server-Manager enthalten ist.

  12. Auf dem Bildschirm Anmeldeinformationen sollten Sie sehen, dass ORCA1\Administrator im Feld Anmeldeinformationen angezeigt wird. Klicken Sie auf Weiter.

    System_CAPS_noteHinweis

    Wenn Sie eine eigenständige Zertifizierungsstelle installieren, müssen Sie ein Konto verwenden, das Mitglied der lokalen Gruppe Administrators ist.

  13. Wählen Sie auf dem Bildschirm Rollendienste auswählen die Option Zertifizierungsstelle aus. Wenn auf dem Server nur die Binärdateien für die Zertifizierungsstellenrolle installiert sind, ist dies die einzige Auswahlmöglichkeit. Klicken Sie auf Weiter.

  14. Auf dem Bildschirm Installationstyp ist nur die Option Eigenständige Zertifizierungsstelle verfügbar. Das liegt daran, dass es sich bei dem für die Installation verwendeten Konto um ein Mitglied der Gruppe "Lokale Administratoren" handelt und dass der Server nicht Mitglied einer AD DS-Domäne (Active Directory-Domänendienste) ist. Klicken Sie auf Weiter.

  15. Auf dem Bildschirm Zertifizierungsstellentyp ist Stammzertifizierungsstelle standardmäßig ausgewählt. Klicken Sie auf Weiter.

  16. Lassen Sie auf dem Bildschirm Privater Schlüssel die Standardoption Neuen privaten Schlüssel erstellen ausgewählt. Klicken Sie auf Weiter.

  17. Stellen Sie auf dem Bildschirm Kryptografie für Zertifizierungsstelle sicher, dass der Kryptografieanbieter RSA#Microsoft Software Key Storage Provider ist, die Schlüssellänge 2048 beträgt und der Hashalgorithmus auf SHA1 festgelegt ist, und klicken Sie dann auf Weiter.

    System_CAPS_noteHinweis

    Aktivieren Sie nicht das Kontrollkästchen Administratorinteraktion bei jedem Zertifizierungsstellenzugriff auf den privaten Schlüssel zulassen. Diese Einstellung wird normalerweise bei Hardwaresicherheitsmodulen (HSM) und ähnlichen Schlüsselschutzgeräten verwendet, um zur Eingabe zusätzlicher Informationen aufzufordern, wenn auf den privaten Schlüssel zugegriffen wird.

  18. Geben Sie auf dem Bildschirm Zertifizierungsstellenname im Textfeld Allgemeiner Name für diese Zertifizierungsstelle den Namen ContosoRootCA ein, und klicken Sie dann auf Weiter.

  19. Geben Sie auf dem Bildschirm Gültigkeitsdauer den Wert 20 für die Anzahl der Jahre ein, für die das Zertifikat gültig ist.

  20. Behalten Sie auf dem Bildschirm Zertifizierungsstellendatenbank die Standardspeicherorte für die Datenbank und Datenbankprotokolldateien bei. Klicken Sie auf Weiter.

  21. Klicken Sie auf dem Bildschirm Bestätigung auf Konfigurieren.

  22. Der Bildschirm Status wird während der Konfigurationsverarbeitung angezeigt, dann erscheint der Bildschirm Ergebnisse. Klicken Sie auf Schließen. Klicken Sie auf dem Bildschirm Installationsstatus auf Schließen, während dieser Bildschirm noch geöffnet ist.

System_CAPS_tipTipp

Mit den folgenden Windows PowerShell-Befehlen wird dieselbe Aktion wie oben gezeigt ausgeführt.

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

Install-AdcsCertificationAuthority –CAType StandaloneRootCA –CACommonName "ContosoRootCA" –KeyLength 2048 –HashAlgorithm SHA1 –CryptoProviderName "RSA#Microsoft Software Key Storage Provider"

So konfigurieren Sie die Einstellungen der Stammzertifizierungsstelle

  1. Klicken Sie in Server-Manager auf Extras und dann auf Zertifizierungsstelle.

  2. Erweitern Sie in der Konsolenstruktur "Zertifizierungsstelle" den Eintrag ORCA1-ContosoRootCA. Klicken Sie mit der rechten Maustaste auf das Gesperrte Zertifikate, und klicken Sie anschließend auf Eigenschaften.

  3. Stellen Sie auf der Registerkarte Parameter für Sperrlistenveröffentlichung sicher, dass Deltasperrlisten veröffentlichen deaktiviert ist. Klicken Sie auf OK.

  4. Klicken Sie in der Konsolenstruktur "Zertifizierungsstelle" mit der rechten Maustaste auf ORCA1-ContosoRootCA, und klicken Sie dann auf Eigenschaften.

  5. Klicken Sie auf die Registerkarte Erweiterungen. Stellen Sie sicher, dass Erweiterungen auswählen auf Sperrlisten-Verteilungspunkt festgelegt ist, und prüfen Sie in Geben Sie Standorte an, von denen Benutzer eine Zertifikatsperrliste erhalten können die Standardeinstellungen.

  6. Ändern Sie Erweiterung auswählen in Zugriff auf Stelleninformationen (Authority Information Access, AIA), und prüfen Sie die Standardeinstellungen. Klicken Sie auf OK. Klicken Sie auf Nein, wenn Sie zum Neustarten der Active Directory-Zertifikatsdienste aufgefordert werden. Sie werden den Dienst neu starten, nachdem Sie im nächsten Schritt die Standardpfade geändert haben.

  7. Führen Sie in Windows PowerShell die folgenden Befehle aus:

    certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://www.contoso.com/pki/%3%8.crl"

    certutil –setreg CA\CACertPublicationURLs "2:http://www.contoso.com/pki/%1_%3%4.crt"

    Certutil -setreg CA\CRLOverlapPeriodUnits 12

    Certutil -setreg CA\CRLOverlapPeriod "Hours"

    Certutil -setreg CA\ValidityPeriodUnits 10

    Certutil -setreg CA\ValidityPeriod "Years"

    certutil -setreg CA\DSConfigDN CN=Configuration,DC=corp,DC=contoso,DC=com

    restart-service certsvc

    certutil -crl

System_CAPS_noteHinweis

Mit den obigen "certutil"-Befehlen wird der Pfad für den Sperrlisten-Verteilungspunkt (CRL Distribution Point, CDP) bzw. der AIA-Pfad für die Stammzertifizierungsstelle festgelegt. Der Überschneidungszeitraum für Zertifikatsperrlisten ist die Zeitspanne am Ende der Gültigkeitsdauer einer veröffentlichten Zertifikatsperrliste, die ein Client verwenden kann, um eine neue Sperrliste zu erhalten, bevor die alte Zertifikatsperrliste als unbrauchbar eingestuft wird. Diese Zeitspanne ist auf 12 Stunden festgelegt. Die Standardeinstellung für diesen Wert ist 10 % der Gültigkeitsdauer der Zertifikatsperrliste. Die Einstellungen der Gültigkeitsdauer dienen zum Definieren die Anzahl von Tagen, Wochen, Monaten oder Jahren, die ein von der Zertifizierungsstelle ausgestelltes Zertifikat gültig ist. In den obigen Befehlen ist sie auf 10 Jahre festgelegt. Die Gültigkeitsdauer eines Zertifikats kann nicht länger als die Gültigkeitsdauer der Zertifizierungsstelle sein, die das Zertifikat ausgestellt hat. Der Standardwert hängt vom Typ des Zertifikats ab. Der Standardspeicherort für den Sperrlisten-Verteilungspunkt wird auch für die letztendliche Verwendung mit Active Directory eingerichtet. Dieselbe Konfiguration kann mithilfe der folgenden Windows PowerShell®- und "certutil"-Befehle erzielt werden:

$crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-CACrlDistributionPoint $crl.uri -Force};

Add-CACRLDistributionPoint -Uri C:\Windows\System32\CertSrv\CertEnroll\%3%8.crl -PublishToServer -Force

Add-CACRLDistributionPoint -Uri http://www.contoso.com/pki/%3%8.crl -AddToCertificateCDP -Force

$aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-CAAuthorityInformationAccess $aia.uri -Force};

Certutil -setreg CA\CRLOverlapPeriodUnits 12

Certutil -setreg CA\CRLOverlapPeriod "Hours"

Certutil -setreg CA\ValidityPeriodUnits 10

Certutil -setreg CA\ValidityPeriod "Years"

restart-service certsvc

certutil -crl

Zum Anzeigen von AIA und CDP können Sie die folgenden Befehle ausführen: Get-CAAuthorityInformationAccess | format-list und Get-CACRLDistributionPoint | format-list. Sie können auch zur Registerkarte Erweiterungen im Dialogfeld mit den Zertifizierungsstelleneigenschaften zurückkehren, um die Änderungen anzuzeigen, die an AIA und CDP vorgenommen wurden.

So kopieren Sie das Zertifikat der Stammzertifizierungsstelle und die Zertifikatsperrlisten auf das Wechselmedium

  1. Führen Sie in Windows PowerShell den Befehl dir C:\Windows\system32\certsrv\certenroll\*.cr* aus. Daraufhin werden die Zertifikate und Zertifikatsperrlisten im Standardzertifikatspeicher angezeigt.

  2. Kopieren Sie die Zertifikatsdatei der Zertifizierungsstelle und die Zertifikatsperrliste auf das Wechselmedium. Wenn Sie beispielsweise den Befehl zum Kopieren des Zertifikats und der Zertifikatsperrliste auf ein Diskettenlaufwerk (A:) ausführen, müssen Sie die folgenden Befehle ausführen:

    1. copy C:\Windows\system32\certsrv\certenroll\*.cr* A:\

    2. dir A:\

    System_CAPS_tipTipp

    Ersetzen Sie " A:" in den oben angegebenen Befehlen durch den Laufwerkbuchstaben des Wechselmediums. Wechselmedien können entweder physisch oder virtuell sein, so wie in Hardware- und Softwareanforderungen erörtert. Möglicherweise wird die Fehlermeldung "Auf dem Datenträger befindet sich kein erkanntes Dateisystem." angezeigt. Sie müssen das Medium möglicherweise formatieren. Wenn es sich beispielsweise um eine Diskette handelt, müssen Sie ggf. format a: eingeben und dann die EINGABETASTE drücken.

So verteilen Sie das Zertifikat der Stammzertifizierungsstelle

  1. Melden Sie sich auf dem Computer AP1 mit dem Konto "User1" an, das sowohl Mitglied von Domain Admins als auch Enterprise Admins ist. Öffnen Sie Windows PowerShell als Administrator. Klicken Sie dazu mit der rechten Maustaste auf das Symbol Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen. Klicken Sie auf Ja, wenn Sie durch die Benutzerkontensteuerung zur Bestätigung aufgefordert werden.

  2. Legen Sie das Wechselmedium mit der Offline-Stammzertifizierungsstelle in den APP1-Computer ein.

  3. Wechseln Sie mit dem Befehl "cd" von Windows PowerShell zum Wechseldatenträgerlaufwerk (wie bei der Ausführung von cd a:\, um zum Stammverzeichnis des Laufwerks A zu wechseln).

  4. Führen Sie von Windows PowerShell für das Wechseldatenträgerlaufwerk die folgenden Befehle aus:
    certutil –dspublish –f orca1_ContosoRootCA.crt RootCA

    certutil –addstore –f root orca1_ContosoRootCA.crt

    certutil –addstore –f root ContosoRootCA.crl

System_CAPS_noteHinweis

Der erste Befehl fügt das Zertifikat der Stammzertifizierungsstelle in den Konfigurationscontainer von Active Directory ein. Dies sorgt dafür, dass Domänenclientcomputer das Zertifikat der Stammzertifizierungsstelle automatisch als vertrauenswürdig einstufen, und es ist nicht notwendig, dieses Zertifikat über die Gruppenrichtlinie zu verteilen. Mit dem zweiten und dritten Befehl werden das Zertifikat der Stammzertifizierungsstelle und die Zertifikatsperrliste in den lokalen Speicher des APP1-Computers eingefügt. So kann der APP1-Computer das Zertifikat der Stammzertifizierungsstelle für den APP1 sofort als vertrauenswürdig einstufen und erhält unverzüglich Kenntnis über die Zertifikatsperrliste der Stammzertifizierungsstelle. APP1 kann das Zertifikat aus der Gruppenrichtlinie und die Zertifikatsperrliste aus dem CDP-Speicherort abrufen, aber das Veröffentlichen dieser beiden Objekte im lokalen Speicher auf dem APP1-Computer ist hilfreich, um die Konfiguration des APP1 als eine untergeordnete Zertifizierungsstelle zu beschleunigen.

Alle öffentlichen Zertifikate, Zertifikatsperrlisten und Zertifikatverwendungserklärungen müssen unter http://www.contoso.com/pki abgelegt werden. Interne Clientcomputer können diesen Computernamen nicht auf die interne Website (APP1) auflösen, es sei denn, auf dem DNS-Server wurde ein entsprechender DNS-Eintrag platziert.

So erstellen Sie die DNS-Zone "contoso.com" und den www-Hostdatensatz

  1. Öffnen Sie die DNS-Konsole auf dem DC1-Computer. Klicken Sie in Server-Manager auf Extras und dann auf DNS.

  2. Erweitern Sie in der DNS-Konsole die folgende Konsolenstruktur: DC1, Forward-Lookupzonen.

  3. Klicken Sie mit der rechten Maustaste auf Forward-Lookupzonen, und klicken Sie dann auf Neue Zone.

  4. Klicken Sie auf dem Bildschirm Willkommen auf Weiter.

  5. Standardmäßig ist Primäre Zone ausgewählt, und die Zone wird in Active Directory gespeichert. Klicken Sie zum Übernehmen dieser Standardwerte auf Weiter.

  6. Behalten Sie die Standardeinstellung bei, und klicken Sie auf Weiter.

  7. Geben Sie auf dem Bildschirm Zonenname den Namen contoso.com ein, und klicken Sie auf Weiter.

  8. Übernehmen Sie auf der Seite Dynamisches Update die Standardeinstellung, und klicken Sie auf Weiter.

  9. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  10. Klicken Sie in der Konsolenstruktur der DNS-Konsole mit der rechten Maustaste auf die Zone contoso.com, und klicken Sie dann auf Neuer Host (A oder AAAA).

    System_CAPS_tipTipp

    Möglicherweise müssen Sie zunächst die Zone "corp.contoso.com" einmal anklicken, bevor Sie mit der rechten Maustaste auf die entsprechenden Optionen zugreifen können.

  11. Geben Sie in Name (bei Nichtangabe wird übergeordneter Domänenname verwendet) den Namen www ein.

  12. Geben Sie in IP-Adresse die Adresse 10.0.0.3 ein. Durch diese Zone und diesen Eintrag wird die Kommunikation von internen Clients an "www.contoso.com" an die Adresse von APP1 weitergeleitet. Klicken Sie auf Host hinzufügen.

  13. Click Klicken Sie auf Fertig.

  14. Schließen Sie die DNS-Konsole.

Bei den Erweiterungen der Stammzertifizierungsstelle wurde erläutert, dass die Zertifikatsperrliste der Stammzertifizierungsstelle unter "http://www.contoso.com/pki" verfügbar ist. Noch existiert jedoch kein virtuelles PKI-Verzeichnis auf dem APP1-Computer, daher muss es erstellt werden. In einer Produktionsumgebung wird die Rolle der ausstellenden Zertifizierungsstelle normalerweise von der Rolle zum AIA- und CDP-Hosting getrennt. In dieser Umgebung werden jedoch beide Rollen kombiniert, damit zum Abschließen der Testumgebung weniger Ressourcen erforderlich sind.

System_CAPS_tipTipp

Wenn die Zertifizierungsstelle keine Zertifikatsperrlisten der übergeordneten Zertifizierungsstelle finden kann, kann der AD DS-Dienst (certsvc) die untergeordnete Zertifizierungsstelle nicht starten. Abhilfe kann nur durch die Lösung des Problems bei der Verteilung der Zertifikatsperrlisten (empfohlen) oder durch die Änderung der Protokollebene der Zertifizierungsstelle von 3 auf 2 geschaffen werden. Weitere Informationen zu den Protokollebenen der Zertifizierungsstelle finden Sie im Microsoft Knowledge Base-Artikel 305018 (http://support.microsoft.com/kb/305018).

So konfigurieren Sie APP1 für die Verteilung von Zertifikaten und Zertifikatsperrlisten

  1. Achten Sie darauf, dass Sie sich mit dem Benutzerkonto "User1" anmelden. Führen Sie Windows PowerShell als Administrator aus, und führen Sie dann die folgende Befehle aus:

    New-item -path c:\pki –type directory

    write-output "Example CPS statement" | out-file c:\pki\cps.txt

    new-smbshare -name pki c:\pki -FullAccess SYSTEM,"CORP\Domain Admins" -ChangeAccess "CORP\Cert Publishers"

  2. Öffnen Sie die IIS-Konsole. Klicken Sie in Server-Manager auf Extras, klicken Sie auf Verwaltung, und klicken Sie dann auf Internetinformationsdienste-Manager.

  3. Erweitern Sie in der Konsolenstruktur von Internetinformationsdienste-Manager den Knoten APP1. Wenn Sie gefragt werden, ob Sie mit Microsoft-Webplattform beginnen möchten, klicken Sie auf Abbrechen.

  4. Erweitern Sie Websites, klicken Sie mit der rechten Maustaste auf Standardwebsite, und klicken Sie dann auf Virtuelles Verzeichnis hinzufügen.

  5. Geben Sie pki im Feld Alias ein, geben Sie für den physischen Pfad C:\pki ein, und klicken Sie dann auf OK.

  6. Aktivieren Sie den anonymen Zugriff auf das virtuelle PKI-Verzeichnis. Gehen Sie hierzu wie folgt vor:

    1. Erweitern Sie im Bereich Verbindungen die Option Standardwebsite, und stellen sicher, dass pki ausgewählt ist.

    2. Klicken Sie in pki-Startseite auf Authentifizierung.

    3. Klicken Sie im Bereich Aktionen auf Berechtigungen bearbeiten.

    4. Klicken Sie auf der Registerkarte Sicherheit auf Bearbeiten.

    5. Klicken Sie im Dialogfeld Berechtigungen für pki auf Hinzufügen.

    6. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen den Wert Zertifikatherausgeber ein, und klicken Sie dann auf Namen überprüfen.

    7. Klicken Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen auf Objekttypen.

    8. Wählen Sie in Objekttypen den Objekttyp Dienstkonten aus, und klicken Sie dann auf OK.

    9. Klicken Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen auf Standorte.

    10. Klicken Sie unter Standorte auf APP1, und klicken Sie dann auf OK.

    11. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen hinter Zertifikatherausgeber den Wert ;IIS AppPool\DefaultAppPool ein, und klicken Sie dann auf Namen überprüfen. Klicken Sie auf OK.

      System_CAPS_noteHinweis

      Durch diese Schritte wurden dem IIS-Standardanwendungspool die Berechtigungen Lesen und Ausführen, Ordnerinhalt auflisten und Lesen erteilt. IIS verwendet den Standardanwendungspool, um den anonymen Zugriff zu ermöglichen. Hierdurch können Benutzer AIA und CDP prüfen, die unter IIS gehostet werden.

    12. Wählen Sie unter Berechtigungen für pki den Eintrag Zertifikatherausgeber (CORP\Cert Publishers) aus. Aktivieren Sie unter Berechtigungen für Zertifikatherausgeber in der Spalte Zulassen das Kontrollkästchen Ändern, und klicken Sie dann zwei Mal auf OK.

      System_CAPS_noteHinweis

      Indem Cert Publishers Änderungsberechtigungen für den Ordner "pki" gewährt werden, können Zertifikate und Zertifikatsperrlisten von den Unternehmenszertifizierungsstellen in diesem Ordner veröffentlicht werden.

  7. Doppelklicken Sie im Bereich pki-Startseite auf Anforderungsfilterung.

  8. Im Bereich Anforderungsfilterung ist die Registerkarte Dateinamenerweiterungen standardmäßig ausgewählt. Klicken Sie im Bereich Aktionen auf Featureeinstellungen bearbeiten.

  9. Wählen Sie unter Einstellungen für die Anforderungsfilterung bearbeiten die Option Doppelte Escapezeichen zulassen aus, und klicken Sie dann auf OK. Schließen Sie Internetinformationsdienste-Manager.

    System_CAPS_noteHinweis

    Das Zulassen doppelter Escapezeichen ist erforderlich, wenn Sie Deltazertifikatsperrlisten in IIS veröffentlichen, da die Datei mit den Deltazertifikatsperrlisten ein Plussymbol (+) enthält. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 942076 (http://support.microsoft.com/kb/942076).

  10. Führen Sie Windows PowerShell als Administrator aus. Führen Sie in Windows PowerShell den Befehl iisreset aus.

Die Schritte für die Konfiguration von APP1 als untergeordnete Unternehmenszertifizierungsstelle beinhalten die folgenden Abläufe:

  1. Konfigurieren der Datei "CAPolicy.inf"

  2. Installieren der Rolle der untergeordneten Unternehmenszertifizierungsstelle

  3. So konfigurieren Sie AIA und CDP

So konfigurieren Sie die Datei "CAPolicy.inf"

  1. Öffnen Sie auf dem APP1-Computer als "User1" Windows PowerShell als Administrator, geben Sie dann notepad c:\Windows\CAPolicy.inf ein, und drücken Sie die EINGABETASTE.

  2. Wenn Sie gefragt werden, ob Sie die Datei erstellen möchten, klicken Sie auf Ja.

  3. Verwenden Sie die folgenden Informationen für die Datei "CAPolicy.inf" der untergeordneten Unternehmenszertifizierungsstelle.

    [Version]
    Signature="$Windows NT$"
    [PolicyStatementExtension]
    Policies=InternalPolicy
    [InternalPolicy]
    OID= 1.2.3.4.1455.67.89.5
    Notice="Legal Policy Statement"
    URL=http://www.contoso.com/pki/cps.txt
    [Certsrv_Server]
    RenewalKeyLength=2048
    RenewalValidityPeriod=Years
    RenewalValidityPeriodUnits=5
    LoadDefaultTemplates=0
    AlternateSignatureAlgorithm=1
    
    
    System_CAPS_cautionAchtung

    Von Clients mit Windows XP- und Windows Server 2003-Zertifikat wird der alternative Signaturalgorithmus nicht unterstützt. Wenn diese Clients in der Lage sein sollen, sich für Zertifikate zu registrieren, fügen Sie der Datei "CAPolicy.inf" nicht die Zeile "AlternateSignatureAlgorithm=1" hinzu. Weitere Informationen finden Sie unter Richtlinien für die Verwendung von alternativen Signaturformaten.

  4. Click Sie müssen den Dateityp in Alle Dateien ändern, um die Dateinamenerweiterung INF anstatt TXT zu erhalten. Klicken Sie auf Ja, wenn Sie gefragt werden, ob die Datei "CAPolicy.inf" ersetzt werden soll.

  5. Schließen Sie den Editor.

So installieren Sie die Rolle der untergeordneten Unternehmenszertifizierungsstelle

  1. Führen Sie auf dem Computer APP1 als "User1" Windows PowerShell als Administrator aus, und führen Sie dann den Befehl gpupdate /force aus. Dadurch stellen Sie sicher, dass das Gruppenrichtlinienobjekt für vertrauenswürdige Stammzertifizierungsstellen auf APP1 angewendet wird.

  2. Klicken Sie im Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.

  3. Klicken Sie auf dem Bildschirm Vorbemerkungen auf Weiter.

  4. Stellen Sie auf dem Bildschirm Installationstyp auswählen sicher, dass die Standardauswahl Rollenbasierte oder featurebasierte Installation ausgewählt ist. Klicken Sie auf Weiter.

  5. Stellen Sie auf dem Bildschirm Zielserver auswählen sicher, dass APP1 ausgewählt ist, und klicken Sie dann auf Weiter.

  6. Wählen Sie auf dem Bildschirm Serverrollen auswählen die Rolle Active Directory-Zertifikatsdienste aus.

  7. Wenn Sie zur Installation der Remoteserver-Verwaltungstools aufgefordert werden, klicken Sie auf Features hinzufügen. Klicken Sie auf Weiter.

  8. Klicken Sie auf dem Bildschirm Features auswählen auf Weiter.

  9. Klicken Sie auf der Seite Active Directory-Zertifikatdienste auf Weiter.

  10. Stellen Sie auf dem Bildschirm Rollendienste auswählen sicher, dass Zertifizierungsstelle ausgewählt ist, und klicken Sie dann auf Weiter.

  11. Überprüfen Sie die Informationen auf dem Bildschirm Installationsauswahl bestätigen, und klicken Sie dann auf Installieren.

  12. Warten Sie bis zum Abschluss der Installation. Während die Binärdateien für die Zertifizierungsstelle installiert werden, wird der Bildschirm mit dem Installationsstatus angezeigt. Wenn die Installation der Binärdatei abgeschlossen ist, klicken Sie auf den Link Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.

    System_CAPS_tipTipp

    Wenn Sie vor dem Abschließen der Installation auf Schließen geklickt haben, könnten Sie die Konfiguration des Rollendiensts über einen Link zum Abschließen der Konfiguration beenden, der im Benachrichtigungssymbol von Server-Manager enthalten ist.

  13. Auf dem Bildschirm Anmeldeinformationen werden die Anmeldeinformationen für "User1" angezeigt. Klicken Sie auf Weiter.

  14. Wählen Sie auf dem Bildschirm Rollendienste auswählen die Option Zertifizierungsstelle aus.

  15. Stellen Sie auf dem Bildschirm Setuptyp sicher, dass die Option Unternehmenszertifizierungsstelle ausgewählt ist, und klicken Sie dann auf Weiter.

    System_CAPS_noteHinweis

    Wenn der Computer ein Domänenmitglied ist und die zuvor bereitgestellten Anmeldeinformationen zu einem Mitglied der Gruppe Enterprise Admins gehören, können Sie Unternehmenszertifizierungsstelle oder Eigenständige Zertifizierungsstelle auswählen. Wenn der Computer kein Domänenmitglied ist oder die Anmeldeinformationen für ein Konto eingegeben wurden, das kein Mitglied von Enterprise Admins ist, steht nur die Option Eigenständige Zertifizierungsstelle zur Verfügung.

  16. Wählen Sie auf dem Bildschirm Zertifizierungsstellentyp die Option Untergeordnete Zertifizierungsstelle aus, um eine untergeordnete Unternehmenszertifizierungsstelle zu installieren. Klicken Sie auf Weiter.

  17. Vergewissern Sie sich auf dem Bildschirm Privater Schlüssel, dass die Option Neuen privaten Schlüssel erstellen ausgewählt ist, und klicken Sie dann auf Weiter.

  18. Stellen Sie auf dem Bildschirm Kryptografie für Zertifizierungsstelle sicher, dass der Kryptografieanbieter RSA#Softwareschlüsselspeicher-Anbieter von Microsoft ist, die Schlüssellänge 2048 beträgt und der Hashalgorithmus auf SHA1 festgelegt ist. Klicken Sie auf Weiter.

  19. Geben Sie auf dem Bildschirm Zertifizierungsstellenname im Feld Allgemeiner Name für diese Zertifizierungsstelle den Namen IssuingCA-APP1 ein. Daraufhin wird der Dinstinguished Name in CN=IssuingCA-APP1,DC=corp,DC=contoso,DC=com geändert. Klicken Sie auf Weiter.

  20. Beachten Sie auf dem Bildschirm Zertifikatanforderung, dass Zertifikatanforderung in einer Datei auf dem Zielcomputer speichern ausgewählt ist. Dies ist die korrekte Option, da in dieser Konfiguration eine übergeordnete Offlinezertifizierungsstelle (die Stammzertifizierungsstelle) verwendet wird. Behalten Sie die Standardeinstellung bei, und klicken Sie auf Weiter.

  21. Behalten Sie auf dem Bildschirm Zertifizierungsstellendatenbank die Standarddatenbank und Protokollspeicherorte bei, und klicken Sie auf Weiter.

  22. Klicken Sie auf dem Bildschirm Bestätigung auf Konfigurieren.

  23. Auf dem Bildschirm Ergebnisse sehen Sie, dass Sie die Zertifikatanforderung in "ContosoRootCA" speichern müssen, um die Konfiguration abzuschließen. Klicken Sie auf Schließen.

    System_CAPS_noteHinweis

    Die Windows PowerShell-Befehle zum Installieren der untergeordneten Unternehmenszertifizierungsstelle, so wie in diesem Abschnitt gezeigt, lauten:

    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

    Install-AdcsCertificationAuthority -CAType EnterpriseSubordinateCA -CACommonName "IssuingCA-APP1" -KeyLength 2048 -HashAlgorithm SHA1 -CryptoProviderName "RSA#Microsoft Software Key Storage Provider"

  24. Kopieren Sie die Zertifikatanforderung auf das Wechselmedium, um sie auf ORCA1 zu übertragen. Wenn Sie die Datei z. B. vom Laufwerk "C:\" auf ein Diskettenlaufwerk mit dem Laufwerkbuchstaben "A:\" kopieren möchten, könnten Sie in Windows PowerShell den folgenden Befehl ausführen: copy C:\*.req A:\

  25. Nehmen Sie das Wechselmedium mit der Zertifikatanforderung mit zu ORCA1. Melden Sie sich an der Stammzertifzierungsstelle mit einem Konto an, das Mitglied der Gruppe für lokale Administrators ist.

  26. Übermitteln Sie auf dem Computer ORCA1 von Windows PowerShell aus die Anforderung mit dem folgenden Befehl (vorausgesetzt, dass "A:\" der Laufwerkbuchstabe für das Wechselmedium ist):
    certreq -submit A:\APP1.corp.contoso.com_IssuingCA-APP1.req

    System_CAPS_noteHinweis

    Wenn für das Wechselmedium ein anderer Laufwerkbuchstabe gilt, ersetzen Sie "A:\" durch diesen Buchstaben.

  27. Stellen Sie in der Liste der Zertifizierungsstellen sicher, dass die Zertifizierungsstelle ContosoRootCA (Kerberos) ausgewählt ist, und klicken Sie auf OK. Sie sehen, dass die Zertifikatanforderung ausstehend ist. Zudem wird die Anforderungsnummer angezeigt. Notieren Sie sich unbedingt diese Anforderungsnummer.

  28. Auf ORCA1 müssen Sie die Anforderung genehmigen. Sie können dazu Server-Manager oder certutil an der Befehlszeile verwenden.

    • Klicken Sie in Server-Manager auf Extras und dann auf Zertifizierungsstelle. Erweitern Sie das Objekt ContosoRootCA, und klicken Sie dann auf Ausstehende Anforderungen.

      Klicken Sie mit der rechten Maustaste auf die Anforderungsnummer, die im vorherigen Schritt beim Übermitteln der Anforderung angezeigt wurde. Klicken Sie auf Alle Aufgaben und dann auf Problem.

      Click

    • Geben Sie bei Verwenden von certutil die Certutil resubmit<Anforderungs-ID> ein. Ersetzen Sie <Anforderungs-ID> durch die die tatsächliche Anforderungsnummer. Wenn die Anforderungs-ID z. B. 2 ist, geben Sie Certutil resubmit 2 ein.

  29. Rufen Sie auf ORCA1 an der Befehlszeile das ausgestellte Zertifikat durch Ausführen des Befehls
    certreq –retrieve <Anforderungs-ID> <Laufwerk> ab:\APP1.corp.contoso.com_corp-APP1-CA.crt.

    Ersetzen Sie durch die tatsächliche Nummer der Anforderung, die Sie beim Übermitteln der Anforderung notiert haben, und <Anforderungs-ID> durch den tatsächlichen Laufwerkbuchstaben des Wechselmediums <Laufwerk>.
    Wenn die Anforderungsnummer z. B. 2 ist und sich das Wechselmedium im Laufwerk A, befindet, lautet der Befehl: certreq –retrieve 2 a:\APP1.corp.contoso.com_IssuingCA-APP1.crt. Stellen Sie sicher, dass "ORCA1-ContosoRootCA" ausgewählt ist, wenn Sie zum Auswählen der Zertifizierungsstelle aufgefordert werden, und klicken Sie dann auf OK.

  30. Führen Sie auf dem Computer ORCA1 den Befehl dir A:\ aus (vorausgesetzt, dass "A:\" der Laufwerkbuchstabe für das Wechselmedium ist. Ersetzen Sie andernfalls "A:\" durch den richtigen Laufwerkbuchstaben). Sie sehen, dass "ContosoRootCA.crl", "orca1_ORCA1-ContosoRootCA.crt" und "APP1.corp.contoso.com_corp-APP1-CA.crt" nun auf dem Wechselmedium gespeichert sind. Gehen Sie nun mit dem Wechselmedium zum APP1-Computer.

  31. Führen Sie auf APP1 in Windows PowerShell die folgenden Befehle zum Kopieren des Zertifikats der Stammzertifizierungsstelle in den Ordner "PKI" aus (wenn Ihr Wechselmedium nicht den Laufwerkbuchstaben A hat, geben Sie Ihren Laufwerkbuchstaben an). Installieren das Zertifikat der untergeordnete Zertifizierungsstelle, starten Sie den Zertifikatdienst, und kopieren Sie das Zertifikat der untergeordneten Zertifizierungsstelle und die Zertifikatsperrlisten in den Ordner "PKI".

    • copy a:\*.cr* c:\pki\

    • certutil –installcert a:\APP1.corp.contoso.com_corp-APP1-CA.crt

    • start-service certsvc

    • copy c:\Windows\system32\certsrv\certenroll\*.cr* c:\pki\

System_CAPS_tipTipp

ORCA1 wird für diese Testumgebung nicht mehr benötigt und kann ausgeschaltet werden. Zum Ausschalten eines Computers können Sie in Windows PowerShell den Befehl stop-computer ausführen.

So konfigurieren Sie Einstellungen für AIA und CDP

  1. Klicken Sie auf dem Computer APP1 als "User1" mit der rechten Maustaste auf Windows PowerShell, und klicken Sie auf Als Administrator ausführen. Klicken Sie auf Ja, um zu bestätigen, dass Sie Windows PowerShell als Administrator ausführen möchten.

  2. Führen Sie in Windows PowerShell die folgenden Befehle aus:

    certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://www.contoso.com/pki/%3%8.crl"

    certutil -setreg CA\CACertPublicationURLs "2:http://www.contoso.com/pki/%1_%3%4.crt\n1:file://\\App1.corp.contoso.com\pki\%1_%3%4.crt"

    Certutil -setreg CA\CRLPeriodUnits 2

    Certutil -setreg CA\CRLPeriod "Weeks"

    Certutil -setreg CA\CRLDeltaPeriodUnits 1

    Certutil -setreg CA\CRLDeltaPeriod "Days"

    Certutil -setreg CA\CRLOverlapPeriodUnits 12

    Certutil -setreg CA\CRLOverlapPeriod "Hours"

    Certutil -setreg CA\ValidityPeriodUnits 5

    Certutil -setreg CA\ValidityPeriod "Years"

    restart-service certsvc

    certutil -crl

System_CAPS_noteHinweis

Dieselbe Konfiguration kann mithilfe der folgenden Windows PowerShell- und -"certutil"-Befehle erzielt werden:

$crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-CACrlDistributionPoint $crl.uri -Force};

Add-CACRLDistributionPoint -Uri C:\Windows\System32\CertSrv\CertEnroll\%3%8%9.crl -PublishToServer -PublishDeltaToServer -Force

Add-CACRLDistributionPoint -Uri http://www.contoso.com/pki/%3%8%9.crl -AddToCertificateCDP -Force

Add-CACRLDistributionPoint -Uri file://\\App1.corp.contoso.com\pki\%3%8%9.crl -PublishToServer -PublishDeltaToServer -Force

$aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-CAAuthorityInformationAccess $aia.uri -Force};

Add-CAAuthorityInformationAccess -AddToCertificateAia http://www.contoso.com/pki/%1_%3%4.crt -Force

Certutil -setreg CA\CRLPeriodUnits 2

Certutil -setreg CA\CRLPeriod "Weeks"

Certutil -setreg CA\CRLDeltaPeriodUnits 1

Certutil -setreg CA\CRLDeltaPeriod "Days"

Certutil -setreg CA\CRLOverlapPeriodUnits 12

Certutil -setreg CA\CRLOverlapPeriod "Hours"

Certutil -setreg CA\ValidityPeriodUnits 5

Certutil -setreg CA\ValidityPeriod "Years"

restart-service certsvc

certutil -crl

Indem Sie den Ordner "pki" freigeben und den Dateipfad "file://\\App1.corp.contoso.com\pki\%3%8%9.crl" als CDP-Erweiterung einfügen, werden die Zertifikatsperrlisten und Deltazertifikatsperrlisten auf die Freigabe kopiert, wenn Sie den Befehl certutil –crl ausführen. Wenn Sie den Zugriff auf die Freigabe weiter einschränken möchten, sollten Sie eine separate Gruppe erstellen und darin nur die Zertifikatsperrlisten einfügen, die Sie zum Veröffentlichen auf der Freigabe autorisieren möchten. Geben Sie den Ordner "pki" dann nur für diese bestimmte Gruppe und das SYSTEM-Konto frei.

System_CAPS_importantWichtig

Für ein Konfigurationselement, das normalerweise in Produktionszertifizierungsstellen ausgeführt wird und kein Bestandteil dieser Testumgebung ist, müssen Sie Objektzugriffsversuche überwachen (http://technet.microsoft.com/library/cc776774.aspx). Aktivieren Sie dann alle Überwachungsereignisse, indem Sie den folgenden Befehl ausführen: certutil -setreg CA\AuditFilter 127. Stellen Sie anschließend sicher, dass Sie regelmäßig das Sicherheitsereignisprotokoll archivieren, und folgen Sie den Empfehlungen für das Überwachen von Sicherheitsereignissen (http://technet.microsoft.com/library/cc778162.aspx).

Es gibt zwei Verfahren zum Konfigurieren der automatischen Registrierung von Computerzertifikaten:

  1. Aktivieren der automatischen Registrierung von Zertifikaten in der Gruppenrichtlinie

  2. Konfigurieren einer Vorlage für ein Client- und Server-Authentifizierungszertifikat für die automatische Registrierung

So konfigurieren Sie die automatische Registrierung von Serverzertifikaten in der Gruppenrichtlinie

  1. Melden Sie auf dem Computer DC1 als "User1" an. Klicken Sie in Server-Manager auf Extras und dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Konsolenstruktur die folgenden Objekte: Gesamtstruktur: corp.contoso.com, Domänen, corp.contoso.com.

    System_CAPS_noteHinweis

    Möglicherweise wird eine Warnung mit dem Hinweis angezeigt, dass alle mit der Domäne verbundenen Richtlinien sich auf alle Computer auswirken, mit denen die Richtlinie verknüpft ist. Ist dies der Fall, lesen Sie die Warnung, und klicken Sie auf OK.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.

  4. Erweitern Sie in der Konsolenstruktur des Gruppenrichtlinienverwaltungs-Editors klicken Sie unter Computerkonfiguration die folgenden Objekte: Richtlinien, Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien für öffentliche Schlüssel.

  5. Doppelklicken Sie im Detailbereich auf Zertifikatdiensteclient - automatische Registrierung. Wählen Sie in Konfigurationsmodell die Option Aktiviert aus.

  6. Wählen Sie Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen und Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren aus. Klicken Sie auf OK.

  7. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor und die Gruppenrichtlinien-Verwaltungskonsole.

So konfigurieren Sie eine Vorlage für ein Clientserver-Authentifizierungszertifikat für die automatische Registrierung

  1. Stellen Sie auf dem Computer APP1 im Konsolenbereich "Zertifizierungsstelle" sicher, dass IssuingCA-APP1 erweitert ist.

  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie anschließend auf Verwalten.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf Arbeitsstationsauthentifizierung, und klicken Sie dann auf Vorlage duplizieren.

  4. Geben Sie auf der Registerkarte Allgemein in Vorlagenanzeigename den Begriff Client/Server-Authentifizierung ein.

  5. Klicken Sie auf die Registerkarte Erweiterungen, stellen Sie sicher, dass Anwendungsrichtlinien ausgewählt ist, und klicken Sie dann auf Bearbeiten.

  6. Click Klicken Sie zweimal auf OK.

  7. Klicken Sie im Dialogfeld Eigenschaften der neuen Vorlage auf die Registerkarte Sicherheit.

  8. Klicken Sie unter Gruppen- oder Benutzernamen auf Domänencomputer (CORP\Domain Computers).

  9. Aktivieren Sie in der Zeile Automatisch registrieren das Kontrollkästchen Zulassen. Dies bewirkt, dass alle Domänencomputer automatisch diese Vorlage zur automatischen Registrierung von Zertifikaten verwenden.

    System_CAPS_noteHinweis
    • Einer Vorlage werden in der Regel nicht sowohl die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für die Clientauthentifizierung als auch die erweiterte Schlüsselverwendung für die Serverauthentifizierung zugeordnet. Die Serverauthentifizierungs-EKU ist außerdem normalerweise nicht für die automatische Registrierung konfiguriert. Dies geschieht in dieser Übung nur zur Vereinfachung und zur Kompatibilität mit anderen Übungen.

    • Die Computer benötigen auch eine Read-Berechtigung für die Vorlage, um sich registrieren zu können. Diese Berechtigung wurde jedoch bereits der Gruppe Authenticated Users erteilt. Alle Computerkonten in der Domäne sind Mitglied der Gruppe Authenticated Users, sodass sie bereits über die Berechtigung zum Read der Vorlage verfügen.

  10. Click Schließen Sie die Zertifikatvorlagenkonsole.

  11. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu, und klicken Sie dann auf Auszustellende Zertifikatvorlage.

  12. Klicken Sie im Dialogfeld Zertifikatvorlagen aktivieren auf Client-/Serverauthentifizierung und dann auf OK. Schließen Sie die Zertifizierungsstellenkonsole.

Um zu zeigen, wie die mit AD DS und AD CS bereitgestellten Zertifikate verwendet werden können, werden Sie die APP1-Website sichern und die sichere Website anschließend mit CLIENT1 verbinden.

System_CAPS_noteHinweis

In diesem Teil der Übung wird die Verwendung eines Zertifikats zum Sichern einer Website veranschaulicht.

Dieser Schritt besteht aus zwei Verfahren:

  1. Sicherung der APP1-Standardwebsite

  2. Herstellen einer Verbindung mit der gesicherten Website

So sichern Sie die APP1-Standardwebsite

  1. Melden Sie sich auf dem Computer APP1 als "User1" an, und führen Sie Windows PowerShell als Administrator aus. Führen Sie dann die folgende Befehle aus:

    Gpupdate /force. Warten Sie, bis die Aktualisierung der Gruppenrichtlinie abgeschlossen ist, und schließen Sie dann die Eingabeaufforderung. So wird sichergestellt, dass das automatisch registrierte Zertifikat durch die Gruppenrichtlinie für APP1 ausgestellt wird.

    cd cert:\LocalMachine\My

    dir | format-list

    Es sollten nun zwei Zertifikate angezeigt werden. Eines wurde von "ContosoRootCA" ausgestellt. Dabei handelt es sich um das Zertifikat der APP1-Zertifizierungsstelle. Das andere Zertifikat wurde von "IssuingCA-APP1" ausgestellt und kann zum Sichern der APP1-Standardwebsite verwendet werden.

  2. Öffnen Sie die IIS-Manager-Konsole. Klicken Sie in Server-Manager auf Extras, und klicken Sie dann auf Internetinformationsdienste-Manager. Erweitern Sie im Inhaltsbereich den folgenden Pfad: APP1, Websites und Standardwebsite.

    System_CAPS_noteHinweis

    Wenn Sie in einer Eingabeaufforderung von Internetinformationsdienste-Manager gefragt werden, ob Sie mit Microsoft-Webplattform beginnen möchten, klicken Sie auf Abbrechen.

  3. Click Klicken Sie im Bereich Aktionen auf Bindungen.

  4. Klicken Sie im Dialogfeld Sitebindungen auf Hinzufügen.

  5. Klicken Sie im Dialogfeld Sitebindung hinzufügen unter Typ auf "https".

  6. Klicken Sie unter SSL-Zertifikat auf Auswählen.

  7. Wählen Sie in Zertifikat auswählen mit dem Auswahlfeld das Zertifikat aus, das von "IssuingCA-APP1" über die Gruppenrichtlinie ausgestellt wurde. Dies wird ein Zertifikat mit einer langen alphanumerischen Zeichenfolge sein und keines mit einer kurzen wie "IssuingCA-APP1". Klicken Sie auf Anzeigen, um sicherzustellen, dass Sie das richtige Zertifikat haben. Stellen Sie sicher, dass das ausgewählte Zertifikat für APP1.corp.contoso.com und von IssuingCA-APP1 ausgestellt wurde. Sobald Sie das korrekte Zertifikat ausgewählt haben, klicken Sie im Dialogfeld Zertifikat auf OK.

  8. Klicken Sie im Dialogfeld Sitebindung hinzufügen auf OK.

  9. Klicken Sie im Dialogfeld Sitebindungen auf Schließen.

So stellen Sie eine Verbindung mit der sicheren Website her

  1. Verbinden Sie CLIENT1 mit dem Unternehmensnetzwerk.

  2. Melden Sie sich bei CLIENT1 als User1 an.

  3. Öffnen Sie Internet Explorer auf CLIENT1.

  4. Geben Sie in Internet Explorer die Adresse https://app1.corp.contoso.com ein, und drücken Sie die EINGABETASTE. Wenn die Standard-IIS 8-Webseite angezeigt wird, bestätigen Sie, dass https und die SSL-Bindung bei der Standardwebsite auf APP1 funktionieren.

    System_CAPS_tipTipp

    Wenn Sie stattdessen feststellen, dass ein Problem mit dem Zertifikat besteht, haben Sie vermutlich zuvor ein falsches Zertifikat ausgewählt. Sie müssen das Zertifikat auswählen, das auf den Namen "APP1.corp.contoso.com" ausgestellt wurde. Es ist auch möglich, dass die Gruppenrichtlinie noch nicht die vertrauenswürdigen Stammzertifizierungsstellen aktualisiert hat. Um sicherzustellen, dass die Gruppenrichtlinienaktualisierungen vorhanden sind, öffnen Sie Explorer, und geben Sie dann cmd in der Explorer-Adressleiste ein. Geben Sie dann gpupdate /force ein, und drücken Sie die EINGABETASTE.

System_CAPS_importantWichtig

Die ORCA1-Zertifikatsperrliste ist 26 Wochen lang gültig. Dies wurde mithilfe der Datei "CAPolicy.inf" festgelegt. Die APP1-Zertifikatsperrliste ist standardmäßig wöchentlich zu aktualisieren. Um die Zertifikatsperrliste zu aktualisieren, verwenden Sie den Befehl:

Certutil –crl, der die Zertifikatsperrliste an den Speicherorten veröffentlicht, die Sie in den Zertifizierungsstelleneigenschaften auf der Registerkarte "Erweiterungen" angegeben haben.

System_CAPS_noteHinweis

Verwenden Sie für Anmerkungen zu diesen Inhalten und Fragen zu den Informationen in diesem Dokument unseren Feedbackleitfaden.

Anzeigen:
© 2016 Microsoft