Leitfaden zum Zertifikat Zertifikatregistrierungsrichtlinien-Webdienst

 

Veröffentlicht: September 2016

Gilt für: Windows Server 2012 R2, Windows Server 2012

Der Zertifikatregistrierungsrichtlinien-Webdienst ist ein Rollendienst für Active Directory-Zertifikatdienste (AD CS), die von Benutzern und Computern das Ausführen der zertifikatregistrierung mithilfe des HTTPS-Protokolls ermöglicht. Zusammen mit dem Zertifikatregistrierungsrichtlinien-Webdienst wird dadurch eine richtlinienbasierte Zertifikatregistrierung ermöglicht, wenn der Clientcomputer nicht Mitglied einer Domäne ist oder wenn für ein Domänenmitglied keine Verbindung mit der Domäne besteht.

Der Zertifikatregistrierungsrichtlinien-Webdienst verwendet das HTTPS-Protokoll akzeptieren zertifikatanforderungen vom und ausgestellten Zertifikate an Clientcomputern im Netzwerk. Der Zertifikatregistrierungsrichtlinien-Webdienst verwendet das DCOM-Protokoll zum Herstellen der Zertifizierungsstelle (CA) und vollständige Zertifikatregistrierungs im Auftrag des anfordernden. In Versionen von AD CS vorWindows Server 2008 R2Registrierung von richtlinienbasierten Zertifikaten abgeschlossen werden kann, nur von Domänenmitglieds-Clientcomputer, die das DCOM-Protokoll verwenden. Dies schränkt die Ausstellung von Zertifikaten, die Vertrauensgrenzen, die von Active Directory-Domänen und Gesamtstrukturen eingerichtet werden.

Registrierung von Zertifikaten über HTTPS ermöglicht die folgenden neuen Bereitstellungsszenarios:

  • Registrierung von Zertifikaten über Gesamtstrukturgrenzen hinweg zum Reduzieren der Anzahl von Zertifizierungsstellen in einem Unternehmen

  • Extranetbereitstellung, um mobilen Mitarbeitern und Geschäftspartnern Ausstellen von Zertifikaten

Weitere Informationen zu den Zertifikatregistrierungs-Webdienst und der Zertifikatregistrierungsrichtlinien-Webdienst finden Sie unterZertifikatregistrierungs-Webdienste. In den verbleibenden Abschnitten dieses Dokuments bieten die Installationsanforderungen für Zertifikatregistrierungs-Webdienst und Informationen zu den Konfigurationsoptionen, die angezeigt werden, wenn Sie Server-Manager verwenden, um den Rollendienst installieren.

System_CAPS_ICON_note.jpg Hinweis


Verwenden Sie diesen Inhalt kommentieren oder Fragen zu den hier vorgestellten Informationen, unserefeedbackleitfaden.

Die Anforderungen zum Installieren des Zertifikatregistrierungsrichtlinien-Webdiensts sind:

  • Der Administrator, der die Installation ausführt, muss ein Mitglied der Gruppe "Organisations-Admins" sein.

  • Der Administrator, der den Zertifikatregistrierungs-Webdienst installiert muss Zertifikate anfordern-Berechtigungen für die Ziel-Zertifizierungsstelle (CA) verfügen.

  • Der Computer, auf dem die Zertifikatregistrierungs-Webdienst installiert werden, muss ein Mitglied der Domäne sein und muss ausgeführt werden,Windows Server 2008 R2oderWindows Server 2012.

  • Eine AD DS-Gesamtstruktur mit mindestens einemWindows Server 2008 R2Schema. Weitere Informationen finden Sie unterVorbereiten von Windows 2000 oder Windows Server 2003-Gesamtstruktur-Schema für eine Domäne unter Windows Server 2008 oder Windows Server 2008 R2.

  • Ein Enterprise-Zertifizierungsstelle (CA) auf einem Computer mitWindows Server 2012Windows Server 2008 R2Windows Server 2008oder Windows Server 2003.

    • Wenn die Zertifikatregistrierungs-Webdienst für die Authentifizierung von Clientzertifikaten konfiguriert ist, die Zertifizierungsstelle muss ausgeführt werden mindestensWindows Server 2008.

    • Für die Anmeldung in AD DS-Gesamtstrukturen, muss die Zertifizierungsstelle auf einem Computer installiert werdenWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 DatacenteroderWindows Server 2012.

    • Für die automatische Verlängerung von Zertifikaten in AD DS-Gesamtstrukturen oder von Computern, die nicht Teil einer AD DS-Gesamtstruktur oder Domäne sind, müssen die Zertifizierungsstelle und Zertifikatregistrierungs-Webdienste-Server ausgeführt werdenWindows Server 2012.

  • Clientcomputer müssen mindestens ausführenWindows 7oderWindows Server 2008 R2. Für die automatische Verlängerung von Zertifikaten in AD DS-Gesamtstrukturen oder von Computern, die nicht Teil einer AD DS-Gesamtstruktur oder Domäne sind, die Zertifizierungsstelle und Zertifikatregistrierungs-Webdienste-Clients müssen ausgeführt werden, mindestensWindows 8oderWindows Server 2012.

  • Ein für HTTPS installiertes Serverauthentifizierungszertifikat.

System_CAPS_ICON_note.jpg Hinweis


Der Webserver (IIS)-Rollendienst, mit dem Microsoft .NET Framework werden automatisch während der Installation des Zertifikatregistrierungs-Webdienste hinzugefügt, wenn sie nicht bereits installiert sind.

Wenn der Zertifizierungsstellen-Rollendienst auf dem lokalen Computer installiert ist, wird der lokale Computer als Zertifizierungsstelle automatisch ausgewählt. Der Zertifikatregistrierungs-Webdienst und CA-Rollendienst kann jedoch gleichzeitig installiert werden. Wenn Sie den Zertifikatregistrierungs-Webdienst und die Zertifizierungsstellen-Rollendienst installieren möchten, führen Sie zunächst die Installation des CA-Rollendiensts. Konfigurieren der Zertifizierungsstelle für den Zertifikatregistrierungs-Webdienst Folgendes gelten:

  • Der Zertifikatregistrierungsrichtlinien-Webdienst kann auf demselben oder auf einem anderen Computer arbeiten mit einer Unternehmenszertifizierungsstelle konfiguriert werden. Die Zertifizierungsstelle muss auf einem Computer mit mindestens Windows Server 2003.

  • Der Zertifikatregistrierungsrichtlinien-Webdienst kann nicht konfiguriert werden, um die Arbeit mit einer eigenständigen Zertifizierungsstelle – eine Unternehmenszertifizierungsstelle erforderlich ist.

  • Wenn Clientauthentifizierung verwendet wird, muss die Zertifizierungsstelle auf einem Computer mit mindestensWindows Server 2008. Eine Zertifizierungsstelle auf einem Computer unter Windows Server 2003 funktionieren nicht als Ziel Zertifizierungsstelle eines Enrollment Service, die für die Authentifizierung von Clientzertifikaten konfiguriert ist.

  • Ausführen der Registrierungsdienst Erneuerung nur im Modus erfordert eine Zertifizierungsstelle auf einem Computer mit mindestensWindows Server 2008 R2.

System_CAPS_ICON_note.jpg Hinweis

  • Wenn zu vermeiden, dass das Konto Zertifikatregistrierungs-Webdienst für die Delegierung vertrauen soll und Sie nur die zertifikaterneuerungsanforderungen zu verarbeiten müssen, können Sie nur Erneuerung-Modus aktivieren. Wählen Sie hierzukonfigurieren den Zertifikatregistrierungs-Webdienst für die Erneuerung Dateimodus.
  • Wenn der Zertifikatregistrierungs-Webdienst neue zertifikatregistrierungsanforderungen und Erneuerung des Zertifikats verarbeitet werden sollen, aktivieren Sie nichtkonfigurieren den Zertifikatregistrierungs-Webdienst für die Erneuerung Dateimodus. Stellen Sie zudem sicher Zertifikatregistrierungs-Webdienst-Konto wird für Delegierungszwecke vertraut, wie in erläutertKonfigurieren eines Dienstkontos.
  • Sie können mehrere Instanzen von den Zertifikatregistrierungs-Webdienst auf einem einzelnen Computer installieren. Allerdings können Sie nur eine Instanz mithilfe des Server-Managers installieren. Um eine zweite Instanz zu installieren, verwenden SieWindows PowerShellgemäßInstallation AdcsEnrollmentWebService.
System_CAPS_ICON_warning.jpg Warnung


Verfügt die Zertifizierungsstelle, die den Zertifikatregistrierungs-Webdienst verwendet Leerzeichen im Namen, z. B. Margies Reisen ausstellende Zertifizierungsstelle, anstatt Margies-Reise-ausstellenden-CA, sind zusätzliche Konfigurationsschritte erforderlich nach der Installation des Diensts. Zusätzliche Schritte sind in diesem Artikel dokumentiertimplementieren Zertifikatregistrierungs-Webdienste in Windows Server ® 2012, der einer ausstellenden Zertifizierungsstelle mit Leerzeichen im Namen verwendet.

Clients kommunizieren mit dem Zertifikatregistrierungs-Webdienst müssen eines der folgenden Authentifizierungstypen verwenden:

  • Integrierte Windows-Authentifizierung, auch bekannt als Kerberos-Authentifizierung

  • Clientzertifikatsauthentifizierung, auch bekannt als x. 509-Zertifikat-Authentifizierung

  • Benutzernamen- und Kennwortauthentifizierung

System_CAPS_ICON_note.jpg Hinweis

  • Wenn Sie Schlüsselbasierte Erneuerung aktivieren möchten, müssen Sie die Clientauthentifizierung für den Zertifikatregistrierungs-Webdienst aktivieren.
  • Anonyme Authentifizierung an die Webdienste wird nicht unterstützt.

Schlüsselbasierte Erneuerung-Modus ist ein Feature inWindows Server 2012mit ein vorhandenes gültiges Zertifikat zur Authentifizierung der Anforderung einer zertifikaterneuerung verwendet werden können. Die Möglichkeit, automatisch die Erneuerung eines vorhandenen Zertifikats des Netzwerks dieser ermöglicht Computern, die nicht direkt mit dem internen verbunden sind. Um dieses Feature nutzen zu können, die Zertifikat-Clientcomputer müssen ausgeführt werden mindestensWindows 8oderWindows Server 2012.

Während der Konfiguration der Zertifikatregistrierungs-Webdienst haben Sie die Möglichkeit, die folgenden Arten von Konten als Dienstkonto anzugeben:

  • Benutzerkonto, das als Dienstkonto (empfohlen)

  • Integrierte Anwendungspoolidentität der Installation (Internet Information Services, IIS) auf dem lokalen computer

Es wird empfohlen, ein bestimmtes Benutzerkonto als Dienstkonto verwenden. Es gibt jedoch weitere Schritte erforderlich, um ein Benutzerkonto als Dienstkonto konfigurieren. Das Benutzerkonto, das als Dienstkonto konfiguriert werden muss:

  • Ein Domänenkonto in der Domäne, in der der Zertifikatregistrierungs-Webdienste-Computer Mitglied ist.

  • Ein Mitglied der lokalen IIS_IUSRS-Gruppe auf der der Zertifikatregistrierungsrichtlinien-Webdienst installiert ist.

  • Konfiguriert einen Dienstprinzipalnamen (SPN), wenn die Kerberos-Authentifizierung aktiviert ist oder die Delegierung ist erforderlich, da die Zertifikatregistrierungs-Webdienst gehostet wird, auf einem anderen Computer als der Zertifizierungsstellen-Rollendienst ausgeführt.

  • Für vertraut Delegierungszwecke für Hostdienst und der Remote Procedure Call-Systemdienst (RPCSS), wenn Zertifikatregistrierungs-Webdienst auf einem anderen Computer als die Zertifizierungsstelle installiert ist, und neue Zertifikate werden von den Zertifikatregistrierungs-Webdienst veröffentlicht werden.

Erstellen Sie ein Domänenbenutzerkonto als Dienstkonto fungieren.

  1. Melden Sie sich am Domänencontroller bzw. am Verwaltungscomputer an, auf dem die Remoteserver-Verwaltungstools für Active Directory-Domänendienste installiert sind. Öffnen Sie Active Directory-Benutzer und -Computer mit einem Konto, das die Berechtigungen zum Erstellen neuer Benutzer in der Domäne hat.

  2. Suchen Sie in der Konsolenstruktur den Container, in dem das Benutzerkonto erstellt werden soll. Manche Organisationen haben z. B. eine Dienst-OU oder ein ähnliches Konto. Klicken Sie mit der rechten Maustaste auf den Container, anschließend auf Neu und auf Benutzer.

  3. Geben Sie in den Textfeldern Neues Objekt - Benutzer die entsprechenden Namen für alle Felder ein, sodass klar ist, dass Sie ein Benutzerkonto erstellen. Beachten Sie die Richtlinien Ihrer Organisation für die Erstellung von Dienstkonten, falls solche Richtlinien existieren. Geben Sie z. B. die folgenden Daten ein und klicken Sie auf Weiter.

    1. Vorname: CES

    2. Nachname: Dienst

    3. Benutzeranmeldename: CES

  4. Legen Sie ein komplexes Kennwort für das Konto ein, und bestätigen Sie das Kennwort. Konfigurieren Sie die Kennwortoptionen gemäß der Sicherheitsrichtlinien Ihrer Organisation für Dienstkonten.

  5. Klicken Sie auf Weiter und dann auf Fertig stellen.

System_CAPS_ICON_tip.jpg Tipp


Sie können auch dieNew-ADUserWindows PowerShell-Cmdlet zum Hinzufügen eines Domänenbenutzerkontos.

Das Dienstkonto der lokalen IIS_IUSERS-Gruppe hinzufügen

  1. Öffnen Sie auf dem Server, der Zertifikatregistrierungs-Webdienst gehostet wird,Computerverwaltung(compmgmt.msc).

  2. In der Computer-Konsolenstruktur unterSystemprogrammeerweitern Siefür lokale Benutzer und Gruppenund klicken Sie dann aufGruppen.

  3. Doppelklicken Sie im Detailbereich auf IIS_IUSRS.

  4. Auf derAllgemeineaufHinzufügen.

  5. Geben Sie im Textfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen den Benutzeranmeldenamen des Kontos ein, das Sie für die Verwendung als Dienstkonto konfiguriert haben.

  6. Klicken Sie auf Namen überprüfen, klicken Sie zwei mal auf OK und schließen Sie die Computerverwaltung.

System_CAPS_ICON_tip.jpg Tipp


Sie können auch eingebennet localgroup IIS_IUSRS <domain>\<username> /Addan das Dienstkonto der lokalen Gruppe "IIS_IUSRS" für den Zertifikatregistrierungs-Webdienst hinzufügen. Die Befehlszeile oderWindows PowerShellmuss als Administrator ausgeführt werden. Weitere Informationen finden Sie unterHinzufügen eines Mitglieds zu einer lokalen Gruppe.

Um einen Dienstprinzipalnamen für das Dienstkonto festlegen

  1. Vergewissern Sie sich, dass Sie ein Konto verwenden, das Mitglied der Gruppe Domänen-Admins ist. OpenWindows PowerShelloder ein Eingabeaufforderungsfenster als Administrator.

  2. Verwenden Sie die folgende Befehlssyntax zum Registrieren der Server-Dienstprinzipalnamen (SPN) für das Dienstkonto:setspn -s http/<computername> <domainname>\<accountname>. Klicken Sie z. B. um ein Dienstkonto mit der Anmeldename CES in der Domäne cpandl.com für einen Computer mit dem Namen CES1 zu registrieren, führen den folgenden Befehl:setspn -s http/CES1.cpandl.com cpandl\CES.

Um den Zertifikatregistrierungs-Webdienst-Benutzerkonto für die eingeschränkte Delegierung konfigurieren

  1. Melden Sie sich am Domänencontroller bzw. am Verwaltungscomputer an, auf dem die Remoteserver-Verwaltungstools für Active Directory-Domänendienste installiert sind. Öffnen Sie Active Directory-Benutzer und -Computer mit einem Konto, das die Berechtigungen zum Erstellen neuer Benutzer in der Domäne hat.

  2. Erweitern Sie in der Konsolenstruktur der Struktur, bis Sie den Container angezeigt, der das Benutzerkonto enthält. Klicken Sie auf diesen Container.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste des Benutzerkontos, das Dienstkonto für den Zertifikatregistrierungs-Webdienst ist, und klicken Sie dann aufEigenschaften.

  4. Wählen Sie auf der Registerkarte Delegierung die Option Benutzer bei Delegierungen angegebener Dienste vertrauen aus.

    System_CAPS_ICON_note.jpg Hinweis


    DieDelegierungRegisterkarte ist nur verfügbar in den Eigenschaften des Benutzerkontos, nachdem Sie einen SPN für das Benutzerkonto erstellt haben.

  5. Stellen Sie sicher,nur Kerberos verwendenausgewählt ist (Wenn Sie der Authentifizierungstyp auf integrierte Windows-Authentifizierung während der Installation festgelegt wurde) oderBeliebiges Authentifizierungsprotokoll verwenden(Wenn Sie der Authentifizierungstyp auf Clientzertifikatauthentifizierung während der Installation festgelegt wurde), und klicken Sie dann aufHinzufügen.

  6. In derDienste hinzufügen(Dialogfeld), klicken Sie aufBenutzer oder Computer.

  7. In derBenutzer oder Computer auswählenDialogfeld Geben Sie den Namen des Computers, der die Zertifizierungsstelle hostet. Klicken Sie auf Namen überprüfen, und klicken Sie dann auf OK.

  8. In derDienste hinzufügen(Dialogfeld), drücken Sie die STRG-Taste und klicken Sie dann auf die beiden folgenden Dienste:

    • HOST

    • RPCSS

    Klicken Sie zweimal auf OK.

  9. Schließen Sie "Active Directory-Benutzer und -Computer".

Bei Angabe den Standardanwendungspool anstelle eines Benutzerkontos, das als Dienstkonto für Zertifikatregistrierungs-Webdienst fungiert, müssen Sie das Computerkonto vertrauen, auf dem die Zertifikatregistrierungs-Webdienst, für die Delegierung installiert ist.

System_CAPS_ICON_important.jpg Wichtig


Sie müssen das folgende Verfahren nur ausführen, wenn Sie ausgewähltverwenden die integrierten AnwendungspoolidentitätWenn Sie das Dienstkonto für den Zertifikatregistrierungs-Webdienst angegeben.

So konfigurieren Sie das Computerkonto Zertifikatregistrierungs-Webdienst für die eingeschränkte Delegierung

  1. Melden Sie sich am Domänencontroller bzw. am Verwaltungscomputer an, auf dem die Remoteserver-Verwaltungstools für Active Directory-Domänendienste installiert sind. Öffnen Sie Active Directory-Benutzer und -Computer mit einem Konto, das die Berechtigungen zum Erstellen neuer Benutzer in der Domäne hat.

  2. Erweitern Sie in der Konsolenstruktur der Struktur, bis Sie den Container angezeigt, der das Computerkonto enthält, das den Zertifikatregistrierungs-Webdienst gehostet wird. Klicken Sie auf diesen Container.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste des Computerkontos, das den Zertifikatregistrierungs-Webdienst gehostet wird, und klicken Sie dann aufEigenschaften.

  4. Auf derDelegierungRegisterkarteComputer bei Delegierungen angegebener Dienste vertrauen.

  5. Stellen Sie sicher,nur Kerberos verwendenausgewählt ist, und klicken Sie dann aufHinzufügen.

  6. In derDienste hinzufügen(Dialogfeld), klicken Sie aufBenutzer oder Computer.

  7. In derBenutzer oder Computer auswählenDialogfeld Geben Sie den Namen des Computers, der den Zertifikatregistrierungs-Webdienst gehostet wird. Klicken Sie auf Namen überprüfen, und klicken Sie dann auf OK.

  8. In derDienste hinzufügen(Dialogfeld), drücken Sie die STRG-Taste und klicken Sie dann auf die beiden folgenden Dienste

    • HOST

    • RPCSS

    Klicken Sie zweimal auf OK.

  9. Schließen Sie "Active Directory-Benutzer und -Computer".

Der Zertifikatregistrierungsrichtlinien-Webdienst und der Zertifikatregistrierungsrichtlinien-Webdienst muss Secure Sockets Layer (SSL) für die Kommunikation mit Clients (mithilfe von HTTPS) verwenden. Jeder Dienst muss ein gültiges Zertifikat verfügen, eine erweiterte Schlüsselverwendung (EKU) Richtlinie der Serverauthentifizierung im Zertifikatspeicher lokalen Computers.

System_CAPS_ICON_note.jpg Hinweis


Wenn Sie nicht noch ein SSL-Zertifikat auf dem Server bereitgestellt haben, die den Zertifikatregistrierungs-Webdienst gehostet wird, Sie können dazu die Anweisungen im ArtikelKonfigurieren von SSL/TLS auf einer Website in der Domäne mit einer Unternehmenszertifizierungsstelle.

Wenn Sie die Delegierung aktivieren müssen, finden Sie unterKonfigurieren eines Dienstkontos.

Wenn Sie nur Erneuerung-Modus aktiviert haben, müssen Sie folgende zusätzliche Konfigurationsschritte ausführen.

  • Update-CA-Berechtigungen

  • Legen Sie das CA-Richtlinie-Modul-flag

Update-CA-Berechtigungen

  1. Melden Sie sich auf der Zertifizierungsstelle als Administrator einer Zertifizierungsstelle an.

  2. Öffnen Sie die Zertifizierungsstellenkonsole.

  3. Mit der rechten Maustaste in der Zertifizierungsstelle, und klicken Sie dann aufEigenschaften.

  4. Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen.

  5. In derBenutzer, Computer, Dienstkonten oder GruppenDialogfeld Geben Sie den Namen des Dienstkontos für den Registrierungsdienst für das Zertifikat. Klicken Sie auf Namen überprüfen, und klicken Sie dann auf OK.

    System_CAPS_ICON_note.jpg Hinweis


    Wenn Sie den integrierte Anwendungspool als Dienstkonto zugewiesen haben, werden Sie den Namen des Computerkontos eingeben, der den Zertifikatregistrierungs-Webdienst gehostet wird.

  6. In derEigenschaften der ZertifizierungsstelleDialogfeld unterGruppen-oder Benutzernamenklicken Sie auf den Dienstkontonamen für den Zertifikatregistrierungs-Webdienst. Sicherstellen, dass dieZulassenKontrollkästchen fürLesenBerechtigung. Deaktivieren derZulassenfür das KontrollkästchenZertifikate anfordernBerechtigung (die standardmäßig aktiviert ist), und klicken Sie dann aufOK.

  7. Schließen Sie die Zertifizierungsstellenkonsole.

Die CA-Richtlinie Modul Kennzeichen festgelegt

  1. Melden Sie sich auf der Zertifizierungsstelle als Administrator einer Zertifizierungsstelle an.

  2. Öffnen Sie ein Eingabeaufforderungsfenster oderWindows PowerShellals Administrator.

  3. Führen Siecertutil | findstr "Config"und notieren Sie sich die Ausgabe der Konfiguration der Zertifizierungsstelle.

  4. Führen Siecertutil -config "<CAConfig>" -setreg policy\EditFlags +EDITF_ENABLERENEWONBEHALFOFwobei< CAConfig >sind die eigentlichen Config CA-Informationen, die im vorherigen Schritt zurückgegeben wurde.

  5. Starten Sie den Zertifizierungsstellendienst neu. Führen Sie dazu über eine Befehlszeilenet stop certsvc && net start certsvc. Neustart vonWindows PowerShellführenrestart-service certsvc.

  1. Zertifikatregistrierungs-Webdienste

  2. Windows Server-Sicherheitsforum

  3. Häufig gestellte Fragen (FAQs) zur Public Key-Infrastruktur (PKI) der Active Directory-Zertifikatdienste (AD CS)

  4. Windows PKI-Dokumentationsreferenz und -Bibliothek

  5. Windows PKI-Blog

System_CAPS_ICON_note.jpg Hinweis


Verwenden Sie diesen Inhalt kommentieren oder Fragen zu den hier vorgestellten Informationen, unserefeedbackleitfaden.

Anzeigen: