TechNet
Exportieren (0) Drucken
Alle erweitern
Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Leitfaden für die Zertifizierungsstellen-Webregistrierung

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

Der Rollendienst "Zertifizierungsstellen-Webregistrierung" enthält eine Reihe von Webseiten für die Interaktion mit dem Rollendienst "Zertifizierungsstelle". Diese Webseiten befinden sich unter der Adresse https://<Servername>/certsrv, wobei <Servername> der Name des Servers ist, der die ZS-Webregistrierungs-Seiten hostet. Der "certsrv"-Teil der URL sollte immer in Kleinbuchstaben stehen, ansonsten können Probleme beim Prüfen und Abrufen ausstehender Zertifikate entstehen.

System_CAPS_noteHinweis

Die ZS-Webregistrierungs-Seiten müssen mit Secure Sockets Layer (SSL) / Transport Layer Security (TLS) gesichert werden. Andernfalls wird der folgende Fehler angezeigt: "Um die Zertifikatregistrierung abzuschließen, muss die Webseite der ZS für HTTPS-Authentifizierung konfiguriert sein." Um dieses Problem zu beheben, müssen Sie HTTPS-Authentifizierung konfigurieren, wie im folgenden TechNet Wiki-Artikel beschrieben: Active Directory-Zertifikatdienste (AD CS): Fehler: "In order to complete certificate enrollment, the Web site for the CA must be configured to use HTTPS authentication".

Über die ZS-Webregistrierungs-Seiten können Sie sich mit einem Webbrowser mit der ZS verbinden und gängige Aufgaben ausführen, wie z. B.:

  • Zertifikate von der ZS anfordern.

  • Das Zertifikat der ZS anfordern.

  • Eine Zertifikatanforderung mit einer PKCS #10-Datei übermitteln.

  • Die Zertifikatsperrliste (Certificate Revocation List CRL) der ZS anfordern.

Die ZS-Webregistrierung ist hilfreich, wenn Sie mit einer eigenständigen ZS interagieren, da das Microsoft Management Console (MMC)-Snap-In für Zertifikate nicht für die Interaktion mit eigenständigen ZS verwendet werden kann. Unternehmens-ZS können Zertifikatanforderungen über das Zertifikat-Snap-In oder die ZS-Webregistrierungs-Seiten empfangen.

Ab Windows Server® 2008 enthält der ZS-Webregistrierungs-Rollendienst aktualisierte Beispielwebseiten für webbasierte Zertifikatregistrierungsvorgänge. Diese Webseiten wurden aktualisiert und funktionieren nun zusammen mit der CertEnroll-Komponente (verfügbar ab Windows Vista). Diese Webseiten funktionieren außerdem zusammen mit Xenroll.

Ab Windows Server 2008 erkennen die Zertifikatregistrierungs-Webseiten das Clientbetriebssystem und wählen die entsprechende Steuerung aus.

  • Wenn ein Clientcomputer unter Windows Server 2003 oder Windows XP läuft, verwenden die Zertifikatregistrierungs-Webseiten Xenroll.

  • Wenn der Clientcomputer mindestens unter Windows Vista® oder Windows Server 2008 läuft, verwendet der ZS-Webregistrierungs-Rollendienst CertEnroll.

System_CAPS_importantWichtig

Unter Windows® 8 funktionieren die ZS-Webregistrierungs-Seiten nur mit Internet Explorer 10 für den Desktop.

Ab Windows Server 2012 R2 werden Clientcomputer mit Windows XP nicht mehr für die Webregistrierung unterstützt.

Weitere Informationen zu CertEnroll und Xenroll finden Sie in den folgenden Ressourcen:

Sie können die ZS-Webregistrierung auf einem Server installieren, der keine ZS ist, um den Web-Datenverkehr von der ZS zu trennen. Bei der Installation der ZS-Webregistrierung wird der Computer als Registrierungsstelle konfiguriert. Sie müssen eine ZS auswählen, die zusammen mit den ZS-Webregistrierungs-Seiten verwendet werden soll. Die von der ZS-Webregistrierung verwendete ZS heißt in der Benutzeroberfläche Ziel-ZS. Sie können die ZS entweder über den ZS-Namen oder über den Computernamen auswählen, der der ZS zugeordnet ist. Klicken Sie auf Auswählen, um die zu verwendende ZS zu suchen.

Wenn Sie die ZS-Webregistrierungs-Seiten auf einem Computer installieren, der nicht gleichzeitig Ziel-ZS ist, muss das Computerkonto, unter dem die ZS-Webregistrierungs-Seiten installiert werden, vertrauenswürdig für die Delegierung sein. Weitere Informationen finden Sie in den folgenden Ressourcen:

System_CAPS_tipTipp

Wenn die Installation der ZS-Webregistrierungs-Seiten auf einer migrierten ZS fehlschlägt, kann dies an einem falsch gesetzten Setupstatus in der Registrierung liegen. Weitere Informationen finden Sie unter Certification Authority Web Enrollment Configuration Failed 0x80070057 (WIN32: 87)

Wenn Sie über Zugriffsberechtigungen verfügen, können Sie auf den ZS-Webregistrierungs-Seiten die folgenden Aufgaben durchführen:

  • Anfordern eines einfachen Zertifikats.

  • Anfordern eines Zertifikats mit erweiterten Optionen.

    Auf diese Weise haben Sie mehr Kontrolle über die Zertifikatanforderung. In der erweiterten Zertifikatanforderung sind unter anderem die folgenden Optionen wählbar:

    • Kryptografiedienstanbieter (CSP)-Optionen. Name des Kryptografiedienstanbieters, Schlüsselgröße (1024, 2048 usw.), Hashalgorithmus (z. B. SHA/RSA, SHA/DSA, MD2 oder MD5) und die Schlüssel-Spezifikation (Austausch oder Signatur).

    • Schlüsselgenerierungs-Optionen. Neuen Schlüsselsatz erstellen oder existierenden Schlüsselsatz verwenden, Schlüssel als exportierbar markieren, starken Schlüsselschutz aktivieren und lokalen Computerspeicher für die Schlüsselgenerierung verwenden.

    • Zusätzliche Optionen. Anforderung als PKCS #10-Datei speichern oder bestimmte Attribute zum Zertifikat hinzufügen.

  • Prüfen einer ausstehenden Zertifikatanforderung. Wenn Sie eine Zertifikatanforderung an eine eigenständige Zertifizierungsstelle übermittelt haben, müssen Sie den Status der ausstehenden Anforderung prüfen, um festzustellen, ob die ZS das Zertifikat ausgestellt hat. Wenn das Zertifikat ausgestellt wurde, ist es verfügbar und Sie können es installieren.

  • Rufen Sie das Zertifikat der ZS ab und platzieren Sie es in Ihrem vertrauenswürdigen Stammspeicher oder installieren Sie die gesamte Zertifikatkette in Ihrem Zertifikatspeicher.

  • Rufen Sie die aktuelle Basis- und alle Delta-CRLs ab.

  • Übermitteln Sie eine Zertifikatanforderung mit einer PKCS #10- oder einer PKCS #7-Datei.

    System_CAPS_noteHinweis

    Normalerweise verwenden Sie eine PKCS #10, um eine Anforderung für ein neues Zertifikat zu übermitteln, und eine PKCS #7-Datei für Anforderungen zur Erneuerung existierender Zertifikate. Die Übermittlung von Anforderungen mit Dateien ist nützlich, wenn der Anforderer nicht in der Lage ist, eine Anforderung online an die Zertifizierungsstelle zu senden.

System_CAPS_noteHinweis
  • Unter Umständen müssen Sie https://Servername als vertrauenswürdige Site in Internet Explorer eintragen, um die Festplatte Ihres Computers nach der Datei zu durchsuchen. Um https://Servername als vertrauenswürdige Site einzutragen, klicken Sie in Internet Explorer auf Extras, anschließend auf Internetoptionen, auf Sicherheit, dann auf Vertrauenswürdige Sites und klicken Sie auf Sites. Geben Sie https://<Servername> ein, und klicken Sie auf OK. Ersetzen Sie <Servername> durch den Hostnamen des Servers, mit dem Sie sich verbinden möchten. Wenn Sie normalerweise den vollqualifizierten Domänennamen (FQDN) für die Verbindung zum Server verwenden, können Sie auch diesen Namen anstelle des Hostnamens verwenden.

  • Wenn Sie bei der Übermittlung der Anforderung sofort gefragt werden, ob Sie die Anforderung übermitteln möchten, obwohl diese keine BEGIN- und END-Tags enthält, klicken Sie auf OK.

Verwenden von Internet Explorer zum Anfordern eines einfachen Zertifikats

  1. Verbinden Sie sich in Internet Explorer mit https://<Servername>/certsrv, wobei <Servername> der Hostname des Computers ist, auf dem der ZS-Webregistrierungs-Rollendienst ausgeführt wird.

  2. Click

  3. Klicken Sie unter Zertifikat anfordern auf Benutzerzertifikat.

  4. Führen Sie auf der Seite Informationen über Benutzerzertifikat eine der folgenden Aktionen aus:

    • Folgen Sie der Aufforderung "Es sind keine weiteren Identifizierungsinformationen erforderlich. Klicken Sie auf "Einsenden", um das Zertifikat fertig zu stellen."

    • Geben Sie Ihre Identifizierungsinformationen für die Zertifikatanforderung ein.

  5. (Optional) Klicken Sie auf Weitere Optionen, um den Kryptografiedienstanbieter (CSP) einzustellen und auszuwählen, ob Sie den starken Schlüsselschutz aktivieren möchten. (Sie erhalten jedes Mal eine Aufforderung, wenn Sie den mit diesem Zertifikat verknüpften privaten Schlüssel verwenden.)

  6. Click

  7. Führen Sie einen der folgenden Schritte aus:

    • Wenn die Seite Zertifikat ausstehend angezeigt wird, muss der ZS-Administrator die Anforderung genehmigen, bevor Sie das Zertifikat abrufen und installieren können.

    • Wenn die Seite Zertifikat ausgestellt angezeigt wird, klicken Sie auf Dieses Zertifikat installieren.

Verwenden von Internet Explorer zum Anfordern eines Zertifikats mit erweiterten Optionen

  1. Verbinden Sie sich in Internet Explorer mit https://<Servername>/certsrv, wobei <Servername> der Hostname des Computers ist, auf dem der ZS-Webregistrierungs-Rollendienst ausgeführt wird.

  2. Click

  3. Click

  4. Click

  5. Füllen Sie die geforderten Identifizierungsinformationen und sonstige gewünschte Optionen aus.

  6. Click

  7. Führen Sie einen der folgenden Schritte aus:

    • Wenn die Seite Zertifikat ausstehend angezeigt wird, muss der ZS-Administrator die Anforderung genehmigen, bevor Sie das Zertifikat abrufen und installieren können.

    • Wenn die Seite Zertifikat ausgestellt angezeigt wird, klicken Sie auf Dieses Zertifikat installieren.

Prüfen einer ausstehenden Zertifikatanforderung mit Internet Explorer

  1. Öffnen Sie in Internet Explorer https://<Servername>/certsrv, wobei <Servername> der Hostname des Computers ist, auf dem der ZS-Webregistrierungs-Rollendienst ausgeführt wird.

  2. Click

  3. Wenn keine ausstehenden Zertifikatanforderungen vorliegen, wird eine entsprechende Nachricht angezeigt. Wählen Sie andernfalls die gewünschte Zertifikatanforderung aus und klicken Sie auf Weiter.

  4. Prüfen Sie die folgenden ausstehenden Zertifikatanforderungen:

    • Immer noch ausstehend. Sie müssen warten, bis der Administrator der ZS das Zertifikat ausgestellt hat. Klicken Sie auf Entfernen, um die Zertifikatanforderung zu entfernen.

    • Ausgestellt. Klicken Sie auf Dieses Zertifikat installieren, um das Zertifikat zu installieren.

    • Verweigert. Wenden Sie sich an den Administrator der Zertifizierungsstelle, um weitere Informationen zu erhalten.

Abrufen des Zertifizierungsstellenzertifikats mit Internet Explorer

  1. Verbinden Sie sich in Internet Explorer mit https://<Servername>/certsrv, wobei <Servername> der Name des Computers ist, auf dem der ZS-Webregistrierungs-Rollendienst ausgeführt wird.

  2. Click

  3. Führen Sie einen der folgenden Schritte aus:

    • Klicken Sie auf Diese Zertifizierungsstellen-Zertifikatkette installieren, um allen von dieser ZS ausgestellten Zertifikaten zu vertrauen.

    • Falls die ZS erneuert wurde, können Sie auswählen, welche Version des ZS-Zertifikats Sie herunterladen möchten.

  4. Wählen Sie die gewünschte Codierungsmethode für die Sperrliste aus: DER oder Base 64.

  5. Klicken Sie unter ZS-Zertifikat auf das ZS-Zertifikat, das Sie herunterladen möchten und klicken Sie dann auf ZS-Zertifikat herunterladen oder auf ZS-Zertifikatkette herunterladen.

  6. Klicken Sie unter Dateidownload auf Die Datei von ihrem aktuellen Ort öffnen und dann auf OK.

  7. Klicken Sie auf Dieses Zertifikat installieren, wenn das Dialogfeld Zertifikat angezeigt wird.

  8. Aktivieren Sie im Zertifikatimport-Assistent auf Zertifikatspeicher automatisch auswählen (auf dem Zertifikatstyp basierend).

Abrufen einer Zertifikatsperrliste mit Internet Explorer

  1. Verbinden Sie sich in Internet Explorer mit https://<Servername>/certsrv, wobei <Servername> der Name des Computers ist, auf dem der ZS-Webregistrierungs-Rollendienst ausgeführt wird.

  2. Click

  3. Wählen Sie die gewünschte Codierungsmethode für die Sperrliste aus, entweder DER oder Base 64.

  4. Führen Sie einen der folgenden Schritte aus:

    • Click

    • Click

    • Click

    • Click

      System_CAPS_noteHinweis

      Die Deltasperrliste funktioniert nur, wenn die neueste Basissperrliste bereits installiert ist.

  5. Wenn das Dialogfeld Dateiübertragung angezeigt wird, klicken Sie auf Speichern. Wählen Sie ein Verzeichnis aus, in dem die CRL-Datei gespeichert werden soll, und klicken Sie auf Speichern.

  6. Öffnen Sie Windows-Explorer und suchen Sie nach der CRL-Datei, die Sie soeben gespeichert haben.

  7. Klicken Sie mit der rechten Maustaste auf die CER- oder CRL-Datei, und klicken Sie auf Zertifikat installieren oder auf Zertifikatsperrliste installieren und anschließend auf Weiter.

  8. Wenn der Zertifikatimport-Assistent geöffnet wird, klicken Sie auf Zertifikatspeicher automatisch auswählen (auf dem Zertifikatstyp basierend).

Übermitteln einer Zertifikatanforderung mit einer PKCS #10- oder einer PKCS #7-Datei mit Internet Explorer

  1. Verbinden Sie sich in Internet Explorer mit https://<Servername>/certsrv, wobei <Servername> der Name des Computers ist, auf dem der ZS-Webregistrierungs-Rollendienst ausgeführt wird.

  2. Click

  3. Click

  4. Klicken Sie in Notepad auf Datei, dann auf Öffnen, wählen Sie die PKCS #10- oder PKCS #7-Datei aus, klicken Sie auf Bearbeiten, dann auf Alles auswählen, klicken Sie auf Bearbeiten und dann auf Kopieren. Aktivieren Sie auf der Webseite das Bildlauffeld Gespeicherte Anforderung. Klicken Sie auf Bearbeiten und dann auf Einfügen, um den Inhalt der Zertifikatanforderung in das Bildlauffeld einzufügen.

  5. Wenn Sie mit einer Unternehmens-ZS verbunden sind, können Sie die Zertifikatvorlage auswählen, die Sie verwenden möchten. Standardmäßig heißt die entsprechende Vorlage Untergeordnete Zertifizierungsstelle.

  6. Falls Sie irgendwelche Attribute zur Zertifikatanforderung hinzufügen möchten, geben Sie diese unter Zusätzliche Attribute ein.

  7. Click

  8. Führen Sie einen der folgenden Schritte aus:

    1. Falls die Webseite Zertifikat steht noch aus angezeigt wird, lesen Sie den Abschnitt Prüfen einer ausstehenden Zertifikatanforderung weiter oben in diesem Dokument.

    2. Wenn die Seite Zertifikat ausgestellt angezeigt wird, klicken Sie auf Zertifikatkette herunterladen. Speichern Sie die Datei auf Ihrer Festplatte und importieren Sie das Zertifikat in Ihren Zertifikatspeicher.

Anzeigen:
© 2016 Microsoft