Certificate Enrollment-Richtlinie Leitfaden zum-Webdienst

 

Veröffentlicht: September 2016

Gilt für: Windows Server 2012 R2, Windows Server 2012

Dieses Dokument enthält zusätzliche Informationen für den Server-Manager-Konfigurationsseiten für den Zertifikatregistrierungsrichtlinien-Webdienst. Einen Überblick über den Dienst und die für die Installation finden Sie unterLeitfaden zum Zertifikat Zertifikatregistrierungsrichtlinien-Webdienst. Weitere Informationen zu den Zertifikatregistrierungs-Webdienst und der Zertifikatregistrierungsrichtlinien-Webdienst finden Sie unterZertifikatregistrierungs-Webdienste.

In den verbleibenden Abschnitten dieses Dokuments bieten weitere Informationen für die Konfigurationsoptionen, die angezeigt werden, wenn Sie Server-Manager verwenden, installieren Sie den Zertifikatregistrierungsrichtlinien-Webdienst.

System_CAPS_ICON_note.jpg Hinweis


Verwenden Sie diesen Inhalt kommentieren oder Fragen zu den hier vorgestellten Informationen, unserefeedbackleitfaden.

Clients, die mit der Zertifikatregistrierungsrichtlinien-Webdienst kommunizieren müssen einen der folgenden Authentifizierungstypen verwenden:

  • Integrierte Windows-Authentifizierung, auch bekannt als Kerberos-Authentifizierung

  • Clientzertifikatsauthentifizierung, auch bekannt als x. 509-Zertifikat-Authentifizierung

  • Benutzernamen- und Kennwortauthentifizierung

System_CAPS_ICON_note.jpg Hinweis

  • Wenn Sie Schlüsselbasierte Erneuerung konfigurieren möchten, müssen Sie Benutzernamen und Kennwort-Authentifizierung oder der Clientzertifikatsauthentifizierung aktivieren.
  • Anonyme Authentifizierung an die Webdienste wird nicht unterstützt.

Schlüsselbasierte Erneuerung-Modus ist ein Feature inWindows Server 2012mit ein vorhandenes gültiges Zertifikat zur Authentifizierung der Anforderung einer zertifikaterneuerung verwendet werden können. Diese ermöglicht Computern, die nicht direkt mit dem internen verbunden sind Netzwerk die Möglichkeit, ein vorhandenes Zertifikat automatisch verlängert. Um dieses Feature nutzen zu können, die Zertifikat-Clientcomputer müssen ausgeführt werden mindestensWindows 8oderWindows Server 2012.

System_CAPS_ICON_note.jpg Hinweis


Wenn Schlüsselbasierte Erneuerung im Modus für den Zertifikatregistrierungsrichtlinien-Webdienst aktiviert ist, werden Anfragen für neue Zertifikate nicht akzeptiert. Sie können mehrere Instanzen des Zertifikatregistrierungsrichtlinien-Webdienst installieren, aufWindows Server 2012müssen jedoch verwenden, dieWindows PowerShellInstallation AdcsEnrollmentPolicyWebServicezusätzliche Instanzen installieren.

Der Zertifikatregistrierungsrichtlinien-Webdienst und der Zertifikatregistrierungsrichtlinien-Webdienst muss Secure Sockets Layer (SSL) für die Kommunikation mit Clients (mithilfe von HTTPS) verwenden. Jeder Dienst muss ein gültiges Zertifikat verfügen, eine erweiterte Schlüsselverwendung (EKU) Richtlinie der Serverauthentifizierung im Zertifikatspeicher lokalen Computers.

System_CAPS_ICON_note.jpg Hinweis


Wenn Sie nicht noch ein SSL-Zertifikat auf dem Server bereitgestellt haben, die den Zertifikatregistrierungs-Webdienst gehostet wird, Sie können dazu die Anweisungen im ArtikelKonfigurieren von SSL/TLS auf einer Website in der Domäne mit einer Unternehmenszertifizierungsstelle.

Nach der Installation der Zertifikatregistrierungsrichtlinien-Webdienst stehen zwei zusätzliche Konfigurationsschritte ausführen.

  1. Konfigurieren Sie einen angezeigter Name-Wert für den Zertifikatregistrierungsrichtlinien-Webdienst.

  2. Konfigurieren von Gruppenrichtlinien zur Verwendung der Zertifikatregistrierungsrichtlinien-Webdienst zu aktivieren.

So konfigurieren Sie einen benutzerfreundlichen Namenswert für den Zertifikatregistrierungsrichtlinien-Webdienst

  1. Öffnen Sie die IIS-Manager-Konsole.

  2. In derVerbindungenBereich, erweitern Sie den Webserver, der Zertifikatregistrierungsrichtlinien-Webdienst gehostet wird.

    System_CAPS_ICON_note.jpg Hinweis


    Wenn Sie aufgefordert werden, die mit Microsoft-Webplattform beginnen, klicken Sie aufNr..

  3. Erweitern SieSiteserweitern SieDefault Web Siteund klicken Sie dann auf den Namen der entsprechenden Installation virtuelle Anwendung. Der Namen der virtuellen Anwendung variiert mit der die Art der Installation, die Sie ausgeführt. Die Variation lautet wie folgt:

    KeyBasedRenewal _ADPolicyProvider_CEP_ AuthenticationType

    Beispiel:

    • KeyBasedRenewal_ADPolicyProvider_CEP_CertificateNamen der virtuellen Anwendung ist, wenn Sie Schlüsselbasierte Erneuerung aktiviert und Clientzertifikatsauthentifizierung konfiguriert.

    • ADPolicyProvider_CEP_UsernamePasswordNamen der virtuellen Anwendung ist, wenn Sie Schlüsselbasierte Erneuerung nicht aktiviert haben und Sie die Benutzernamen-und Kennwort konfiguriert.

    • ADPolicyProvider_CEP_KerberosNamen der virtuellen Anwendung ist, wenn Schlüsselbasierte Erneuerung wurde nicht aktiviert, und Sie die integrierte Windows-Authentifizierung konfiguriert.

  4. In derName der virtuellen AnwendungHome-Bereich, doppelklicken Sie aufAnwendungseinstellungenund doppelklicken Sie dann aufFriendlyName.

  5. In derAnwendungseinstellung bearbeitenDialogfeld unterWertgeben Sie den Namen, die Sie als Anzeigenamen für den Dienst konfigurieren möchten. Geben Sie z. B.Registrierung von Zertifikatenals Anzeigename für den Dienst. Klicken Sie auf OK.

  6. In derAnwendungseinstellungenBereich doppelklicken Sie aufURI. Der Wert, der für den URI angezeigt wird ist von Bedeutung, da dies der Pfad ist, den Clients verwenden, um mit dem Dienst herstellen. Kopieren Sie diesen Wert, da Sie ihn verwenden möchten, wenn Sie die Gruppenrichtlinie konfigurieren. Klicken Sie auf Abbrechen.

  7. Schließen Sie die Internet Information Services (IIS)-Manager-Konsole.

Um Client-Domänenbenutzer oder ihren Computer mit der Möglichkeit zum Abrufen von Zertifikaten mit Zertifikat Zertifikatregistrierungsrichtlinien-Webdienst bereitzustellen, können Sie den URI festlegen, die Sie mit der vorherigen Prozedur abgerufen haben. Dadurch können Domänenclients zum Anfordern von Zertifikaten mithilfe der Konsole Zertifikate ohne die Clients, die den URI auf den Namen des Zertifikats Zertifikatregistrierungsrichtlinien-Webdienst virtuelle Anwendung kennen müssen.

System_CAPS_ICON_note.jpg Hinweis


Domänenbenutzer konnte den URI durch Konfigurieren eines benutzerdefinierten Zertifikatsantrags eingegeben, aber dies ist in der Regel keine praktische Lösung, da der URI lang ist und das Verfahren sehr komplex ist. Administratoren können jedoch benutzerdefinierte zertifikatanforderungen So überprüfen Sie die Konfiguration der Zertifikatregistrierungsrichtlinien-Webdienst ausführen. Weitere Informationen finden Sie unterZertifikatregistrierungs-Webdienste

So konfigurieren Sie die Gruppenrichtlinie zum Aktivieren der Zertifikatregistrierungsrichtlinien-Webdienst

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie hierzu im Server-Manager,Toolsund klicken Sie dann aufGroup Policy Management.

    System_CAPS_ICON_note.jpg Hinweis


    Stellen Sie sicher, dass Sie melden Sie sich mithilfe eines Kontos mit Mitgliedschaft in Domänen-Admins oder Organisations-Admins, sodass Sie Gruppenrichtlinien konfigurieren können. Sie können konfigurieren, dass eine Gruppenrichtlinie für die gesamte Domäne, einer Organisationseinheit oder (wenn das verwendete Konto ist Mitglied der Gruppe Organisations-Admins), eine gesamte Website. Die folgenden Anweisungen wird davon ausgegangen, dass Sie eine neue Gruppenrichtlinie für die Domäne festlegen möchten.

  2. Erweitern Sie die Gesamtstruktur, die für die neue Gruppenrichtlinie ausgerichtet werden soll. Erweitern SieDomänen. Mit der rechten Maustaste in der Domäne, und klicken Sie dann aufin dieser Domäne ein Gruppenrichtlinienobjekt erstellen und verknüpfen Sie es hier.

  3. In derGruppenrichtlinienobjektDialogfeld unterNamegeben Sie einen geeigneten Namen für die neue Gruppe Richtlinie (Object, GPO), z. B.Zertifikat Richtlinie Web Service Anmeldungszertifikate. Klicken Sie auf OK.

  4. Klicken Sie auf das verknüpfte Gruppenrichtlinienobjekt, das Sie gerade erstellt haben. Wenn Sie eine Warnung zur Gruppenrichtlinien-Verwaltungskonsole angezeigt wird, überprüfen Sie die Nachricht, und klicken Sie dann aufOK.

  5. Maustaste das verknüpfte Gruppenrichtlinienobjekt, das Sie gerade erstellt haben, und klicken Sie dann aufBearbeiten.

  6. Es gibt zwei Arten von Zertifikaten, die Sie mithilfe eines Gruppenrichtlinienobjekts verteilen können: Computerzertifikate oder Benutzerzertifikate. Im folgenden wird beschrieben, den URI für beide Festlegen derComputerkonfigurationundBenutzerkonfigurationTeile des Gruppenrichtlinienobjekts. Sie können legen entweder separat oder beide.

  7. Verteilen Sie Zertifikate für Computer in der Konsolenstruktur unterComputerkonfigurationklicken Sie aufRichtlinienklicken Sie aufWindows-Einstellungenklicken Sie aufSicherheitseinstellungenund klicken Sie dann aufRichtlinien öffentlicher Schlüssel.

    1. Doppelklicken Sie im Detailbereich aufZertifikatdiensteclient - Zertifikatregistrierungsrichtlinie.

    2. Legen SieKonfigurationsmodellaufaktiviertund klicken Sie dann aufHinzufügen.

    3. In derZertifikatregistrierungs-RichtlinienserverDialogfeld unterRegistrierungsrichtlinienserver eingeben URIgeben Sie den URI, den Sie in der vorherigen Prozedur kopiert.

    4. InAuthentifizierungstyplegen Sie den Authentifizierungstyp, den Sie für das Zertifikat Zertifikatregistrierungsrichtlinien-Webdienst konfiguriert.

    5. Klicken Sie aufServer überprüfenund wenn der Server überprüft wird, klicken Sie aufHinzufügen. Klicken Sie auf OK.

      System_CAPS_ICON_note.jpg Hinweis


      Wenn Sie die erforderlichen Anmeldeinformationen verfügen, können Sie nur den Server überprüfen. Dies kann problematisch sein, wenn Sie die Clientvalidierung-Zertifikat ausgewählt haben und Sie kein Zertifikat für den Computer noch. Wenn dies der Fall ist, müssen Sie zunächst ein Zertifikat für den Computer zu erhalten. Sie benötigen ein Computerzertifikat mit folgenden Merkmalen: Erweiterte Schlüsselverwendung Clientauthentifizierung 1.3.6.1.5.5.7.3.2.

  8. Zum Verteilen von Zertifikaten für Benutzer, klicken Sie im Konsolenbereich unterBenutzerkonfigurationklicken Sie aufRichtlinienklicken Sie aufWindows-Einstellungenklicken Sie aufSicherheitseinstellungenund klicken Sie dann aufRichtlinien öffentlicher Schlüssel.

    1. Doppelklicken Sie im Detailbereich aufZertifikatdiensteclient - Zertifikatregistrierungsrichtlinie.

    2. Legen SieKonfigurationsmodellaufaktiviertund klicken Sie dann aufHinzufügen.

    3. In derZertifikatregistrierungs-RichtlinienserverDialogfeld unterRegistrierungsrichtlinienserver eingeben URIgeben Sie den URI, den Sie in der vorherigen Prozedur kopiert.

    4. InAuthentifizierungstyplegen Sie den Authentifizierungstyp, den Sie für das Zertifikat Zertifikatregistrierungsrichtlinien-Webdienst konfiguriert.

    5. Klicken Sie aufServer überprüfenund wenn der Server überprüft wird, klicken Sie aufHinzufügen. Klicken Sie auf OK.

      System_CAPS_ICON_note.jpg Hinweis


      Wenn Sie die erforderlichen Anmeldeinformationen verfügen, können Sie nur den Server überprüfen. Dies kann problematisch sein, wenn Sie die Clientvalidierung-Zertifikat ausgewählt haben und Sie nicht für den Benutzer ein Zertifikat noch. Wenn dies der Fall ist, müssen Sie zunächst ein Zertifikat für den Benutzer zu erhalten. Sie benötigen ein Benutzerzertifikat, das eine erweiterte Schlüsselverwendung (EKU) enthält der Clientauthentifizierung mit Objekt-ID (OID) 1.3.6.1.5.5.7.3.2.

  9. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor und die Gruppenrichtlinien-Verwaltungskonsole.

  1. Leitfaden zum Zertifikat Zertifikatregistrierungsrichtlinien-Webdienst

  2. Windows Server-Sicherheitsforum

  3. Häufig gestellte Fragen (FAQs) zur Public Key-Infrastruktur (PKI) der Active Directory-Zertifikatdienste (AD CS)

  4. Windows PKI-Dokumentationsreferenz und -Bibliothek

  5. Windows PKI-Blog

System_CAPS_ICON_note.jpg Hinweis


Verwenden Sie diesen Inhalt kommentieren oder Fragen zu den hier vorgestellten Informationen, unserefeedbackleitfaden.

Anzeigen: