Begleithandbuch zum Hauptnetzwerk: Bereitstellung von Serverzertifikaten

  • Artikel

 

Betrifft: Windows Server 2012

Das Core Network Guide für Windows Server 2012 bietet Anweisungen zum Planen und Bereitstellen der Kernkomponenten, die für eine einwandfreie Verwendung des Netzwerks und eine neue Active Directory®-Domäne in einer neuen Gesamtstruktur erforderlich sind.

Dieses Handbuch erklärt, wie das Hauptnetzwerk mithilfe von Anleitungen für die Bereitstellung von Serverzertifikaten für Computer, auf dem Netzwerkrichtlinienserver (Network Policy Server, NPS), Routing- und RAS-Dienst (RRAS) oder beides ausgeführt werden.

Tipp

Dieses Handbuch steht im Word-Format auf der Microsoft TechNet Gallery auf https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7.

Dieses Handbuch enthält die folgenden Abschnitte:

Voraussetzung für die Verwendung dieses Handbuchs

Dies ist ein Begleithandbuch zum Windows Server 2012-Kernnetzwerkhandbuch. Zum Bereitstellen von Serverzertifikaten in diesem Handbuch müssen Sie die folgenden Schritte ausführen.

  • Bereitstellen eines Hauptnetzwerks mit dem Handbuch zum Hauptnetzwerk oder Technologien haben bereits bereitgestellt, in dem Handbuch zum Hauptnetzwerk installiert und ordnungsgemäß in Ihrem Netzwerk. Zu diesen Technologien zählen TCP/IP-v4, DHCP, Active Directory-Domänendienste (AD DS), DNS, NPS und Webserver (IIS).

    Hinweis

    Die Windows Server 2012 zum Hauptnetzwerk steht in den Windows Server 2012 Technical Library (https://go.microsoft.com/fwlink/?LinkId=154884).

    Das Handbuch steht auch in der TechNet Gallery von Microsoft Word-Format (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).

Informationen zum Handbuch

Dieses Handbuch enthält Anweisungen für die Bereitstellung von Serverzertifikaten für Server mit NPS, RRAS oder beides mithilfe von AD CS in Windows Server 2012.

Serverzertifikate sind erforderlich, wenn Sie zertifikatbasierte Authentifizierungsmethoden mit EAP (Extensible Authentication Protocol) und PEAP (Protected EAP) für die Netzwerkzugriffsauthentifizierung bereitstellen.

Bereitstellen von Serverzertifikaten mit Active Directory-Zertifikatdienste (AD CS) für die Authentifizierungsmethoden EAP und PEAP-Basis bietet die folgenden Vorteile:

  • Die Identität des Servers mit NPS oder RRAS-Servers auf einen privaten Schlüssel binden

  • Eine kostengünstige und sichere Methode für die automatische Registrierung von Zertifikaten auf NPS- und RRAS Domänenmitgliedsserver

  • Eine effiziente Methode zum Verwalten von Zertifikaten und Zertifizierungsstellen (CAs)

  • Sicherheit durch zertifikatbasierte Authentifizierung

  • Möglichkeit zum Erweitern der Verwendung von Zertifikaten für weitere Zwecke

Dieses Handbuch richtet sich an Netzwerk- und Systemadministratoren, die die Anleitungen im Windows Server 2012-Kernnetzwerkhandbuch zum Bereitstellen eines Kernnetzwerks befolgt haben, oder an diejenigen, die zuvor die im Kernnetzwerkhandbuch erwähnten Technologien bereitgestellt haben, einschließlich Active Directory-Domänendiensten (AD DS), Domain Name Services (DNS), Dynamic Host Configuration-Protokoll (DHCP), TCP/IP, Webserver (IIS) und Netzwerkrichtlinienserver (NPS).

Wichtig

Dieses Handbuch, bietet eine Anleitung für die Bereitstellung von Server-Zertifikaten mit einer online Stammzertifizierungsstelle (CA), dient für kleine Unternehmen, deren Ressourcen eingeschränkt ist. Aus Sicherheitsgründen - verfügt Ihre Organisation computing-Ressourcen - wird empfohlen, dass Sie offline Stammzertifizierungsstelle des Unternehmens in einer Ebene 2 public Key-Infrastruktur (PKI) bereitstellen. Weitere Informationen finden Sie unter Weitere Ressourcen.

Sie sollten die Entwurfs- und Bereitstellungshandbücher für jede der Technologien einsehen, die in diesem Bereitstellungsszenario verwendet werden. Diese Handbücher können Ihnen helfen, zu bestimmen, ob dieses Bereitstellungsszenario die Dienste und Konfigurationen bietet, die Sie zur Organisation des Netzwerks benötigen.

Anforderungen zum Bereitstellen von Serverzertifikaten

Im folgenden sind die Anforderungen für die Verwendung von Zertifikaten:

  • Zum Bereitstellen von Serverzertifikaten mithilfe der automatischen Registrierung, AD CS erfordert die Windows Server 2012 Standard, Enterprise oder Datacenter-Betriebssysteme. AD DS muss installiert sein, bevor Sie AD CS installiert ist. Obwohl AD CS auf einem einzelnen Server bereitgestellt werden kann, umfassen viele Bereitstellungen mehrere Server, die als Zertifizierungsstellen konfiguriert.

  • Damit Computer mit Zugriff auf die Autorität für die Informationen zugreifen (AIA) und Zertifikatssperrliste (CRL), die von Ihrer Zertifizierungsstelle generiert wird, müssen Sie einen Webserver verfügen, der gemäß den Anweisungen in diesem Handbuch ordnungsgemäß konfiguriert ist.

  • Um PEAP- oder EAP für virtuelle private Netzwerke (VPNs) bereitstellen, müssen Sie RRAS als VPN-Server konfigurierten bereitstellen. Die Verwendung von NPS ist optional. Wenn Sie mehrere VPN-Server verfügen, wird jedoch mit dem Netzwerkrichtlinienserver empfohlen für die Administration zu vereinfachen und die RADIUS-Kontoführungsdienste von NPS.

  • Zum Bereitstellen von PEAP- oder EAP für Remotedesktopgateway (RD-Gateway), müssen Sie den RD-Gateway und NPS bereitstellen.

    Hinweis

    In früheren Versionen von Windows Server wurde Remote Desktop Services Terminal Services bezeichnet.

  • Zum Bereitstellen von PEAP- oder EAP für 802.1 X sichere müssen Kabel- oder Drahtlosnetzwerke, Sie NPS und zusätzliche Hardware, wie z. B. 802.1X-fähige Switches und Drahtloszugriffspunkte bereitstellen.

  • Zum Bereitstellen von zertifikatbasierte Authentifizierungsmethoden, die Zertifikate für die Benutzer- und Computerauthentifizierung zusätzlich zum Anfordern von Zertifikaten für die Serverauthentifizierung, z. B. EAP mit Transport Layer Security (EAP-TLS) oder PEAP-TLS, erfordern müssen Sie auch die Benutzer oder Computer Zertifikate über die automatische Registrierung oder mithilfe von Smartcards bereitstellen.

Nicht in diesem Handbuch enthaltene Informationen

Dieses Handbuch bietet keine umfassende Informationen zum Entwerfen und Bereitstellen einer public Key-Infrastruktur (PKI) mit AD CS. Es wird empfohlen, dass Sie AD CS-Dokumentation und Dokumentation zur PKI-Design vor der Bereitstellung der Technologie in diesem Handbuch lesen. Weitere Informationen finden Sie unter der Weitere Ressourcen Weiter unten in diesem Dokument.

Dieses Handbuch bietet keine Informationen zum Webserver (IIS) oder Network Policy Server-Technologien auf Servercomputern installieren. Diese Informationen werden in das Handbuch zum Hauptnetzwerk bereitgestellt.

Dieses Handbuch bietet auch keine detaillierte Informationen zum Bereitstellen von netzwerkzugriffstechnologien, die für die Server-Zertifikate verwendet werden können.

Technologieübersicht

Folgendes sind Technologieübersichten für EAP, PEAP und AD CS.

EAP

EAP (Extensible Authentication-Protokoll) erweitert PPP (Point-to-Point-Protokoll) um zufällige Authentifizierungsmethoden, bei denen Anmeldeinformationen und Informationen mit zufälliger Länge ausgetauscht werden. EAP wurde als Reaktion auf eine zunehmende Nachfrage nach Authentifizierungsmethoden entwickelt, die Sicherheitsgeräte wie z. B. Smartcards, Tokenkarten und Kryptografierechner verwendet werden. EAP bietet eine Industriestandardarchitektur für die Unterstützung zusätzlicher Authentifizierungsmethoden in PPP.

Mit EAP ein zufälligen Authentifizierungsmechanismus verwendet, um die Identität des Clients und Server zu überprüfen, die eine Netzwerk-Access-Verbindung herstellen. Genaue Authentifizierungsschema verwendet werden, wird vom dem Zugriffsclient und dem Authentifikator - Network Access Server oder den Server Remote Authentication Dial-in User Service (RADIUS) festgelegt.

Mit EAP-Authentifizierung müssen der Netzwerkzugriffsclient und der Authentifikator (z. B. dem Netzwerkrichtlinienserver) den gleichen EAP-Typ für die erfolgreiche Authentifizierung erfolgen unterstützen.

Wichtig

Sichere EAP-Typen, z. B. solche, die auf Zertifikaten basieren bieten einen besseren Schutz gegen Brute-Force-Angriffen, Wörterbuchangriffen und Angriffe Erraten von Kennwörtern als kennwortbasierte Authentifizierungsprotokolle, z. B. CHAP oder MS-CHAP, Version 1.

EAP in Windows Server 2012

Windows Server 2012 enthält eine EAP-Infrastruktur, EAP-Typen und die Möglichkeit, EAP-Nachrichten an einen RADIUS-Server (EAP-RADIUS), z. B. NPS übergeben.

Unter Verwendung von EAP können Sie zusätzliche Authentifizierungsschemen, bekannt als EAP-Typen unterstützen. Die EAP-Typen, die von unterstützten Windows Server 2012 sind:

  • Transport Layer Security (TLS). EAP-TLS erfordert die Verwendung von Computerzertifikaten oder Benutzerzertifikate neben Serverzertifikate, die auf Computern mit NPS registriert sind.

  • Microsoft Challenge-Handshake Authentication Protocol, Version 2 (MS-CHAP v2). Dieser EAP-Typ ist ein Protokoll für die kennwortbasierte Authentifizierung. Bei Verwendung innerhalb von EAP als Authentifizierungsmethode EAP-MS-CHAP v2 bieten NPS und RRAS-Server ein Serverzertifikat als Identitätsnachweis an Clientcomputer während der Benutzer ihre Identität mit einem Benutzernamen und Kennwort nachweisen.

  • Tunneled Transport Layer Security (TTLS). EAP-TTLS ist neu in Windows Server 2012 und nicht in anderen Versionen von Windows Server verfügbar ist. EAP-TTLS ist eine standardbasierte EAP-Tunnelingmethode, die gegenseitige Authentifizierung unterstützt. EAP-TTLS stellt mit EAP-Methoden und anderen Legacyprotokollen einen sicheren Tunnel für die Clientauthentifizierung bereit. Sie haben auch die Möglichkeit, EAP-TTLS auf Clientcomputern für Netzwerkzugriffslösungen zu konfigurieren, bei denen nicht von Microsoft stammende RADIUS-Server (Remote Authentication Dial In User Service), die EAP-TTLS unterstützen, für die Authentifizierung verwendet werden.

Darüber hinaus können Sie andere nicht - Microsoft-EAP-Module auf dem Server mit NPS oder Routing und RAS, andere Authentifizierungstypen EAP zu installieren. In den meisten Fällen Wenn Sie zusätzliche EAP-Typen auf Servern installieren installieren auch übereinstimmende EAP-Authentifizierung-Clientkomponenten auf Clientcomputern Sie so, dass Client und Server eine Authentifizierungsmethode Verbindungsanfragen erfolgreich aushandeln können.

PEAP

PEAP verwendet TLS, um einen verschlüsselten Kanal zwischen einem authentifizierenden PEAP-Client, z. B. einem drahtlosen Computer, und einem PEAP-Authentifizierer, z. B. einen Server mit NPS oder anderen RADIUS-Server zu erstellen.

PEAP gibt keine Authentifizierungsmethode an, aber es bietet zusätzliche Sicherheit für andere EAP-Authentifizierungsprotokolle (z. B. EAP-MSCHAP v2), die über die TLS-verschlüsselten Kanal von PEAP bearbeitet werden können. PEAP wird als Authentifizierungsmethode für Zugriffsclients verwendet, die mit Ihrem Unternehmensnetzwerk über die folgenden Typen von Netzwerkzugriffsservern verbinden:

  • 802.1X-fähige Drahtloszugriffspunkte

  • 802.1X-fähige Authentifizierungsswitches

  • Computer mit Windows Server 2012 oder Windows Server 2008 R2 und RRAS, die als VPN-Server konfiguriert sind

  • Computer mit Windows Server 2012 oder Windows Server 2008 R2 und RD-Gateway

Funktionen von PEAP

Um die EAP-Protokolle und Netzwerksicherheit zu verbessern, bietet PEAP:

  • Ein TLS-Kanal, der Schutz der EAP-Aushandlung bietet, die zwischen Client und Server auftreten. Dieser TLS-Kanal wird verhindert, dass einen Angreifer Pakete zwischen dem Client und dem Netzwerkzugriffsserver, die weniger sichere EAP-Typ ausgehandelt einfügen. Der verschlüsselte TLS-Kanal verhindert auch einen Denial of Service-Angriffe auf dem Netzwerkrichtlinienserver.

  • Unterstützung für die Fragmentierung und Reassemblierung von Nachrichten, die die Verwendung von EAP-Typen ermöglicht, die diese Funktionalität nicht bieten.

  • Clients die Möglichkeit, den NPS oder einen anderen RADIUS-Server zu authentifizieren. Da der Server auch den Client authentifiziert, wird eine gegenseitige Authentifizierung.

  • Schutz vor der Installation eines nicht autorisierten drahtlosen Zugriffspunkts im Moment bei der EAP-Client das vom NPS-Server bereitgestellte Zertifikat authentifiziert. Darüber hinaus wird der TLS-Hauptschlüssel, die von der PEAP-Authentifikator und dem Client erstellt wird, nicht mit dem Zugriffspunkt freigegeben. Aus diesem Grund kann der Zugriffspunkt die Nachrichten nicht entschlüsseln, die von PEAP geschützt sind.

  • Schnelle PEAP-Wiederherstellung, die Verzögerung zwischen einer Authentifizierungsanforderung von einem Client und die Antwort der NPS oder einen anderen RADIUS-Server verringert wird. Schnelle Wiederherstellung der Verbindung können auch drahtlose Clients zwischen Zugriffspunkten zu verschieben, die als RADIUS-Clients an denselben RADIUS-Server ohne wiederholte Anforderungen für die Authentifizierung konfiguriert sind. Dies verringert die erforderlichen Ressourcen für den Client und dem Server, und minimiert die Anzahl der Häufigkeit, mit der Aufforderung zur Eingabe von Anmeldeinformationen.

Active Directory-Zertifikatdienste

AD CS in Windows Server 2012 bietet anpassbare Dienste zum Erstellen und Verwalten von x. 509-Zertifikate, die in Softwaresicherheitssystemen verwendet werden, die von öffentlichen Schlüsseln zur Verfügung. Organisationen können AD CS, Sicherheit zu erhöhen, indem Sie die Identität der Person, das Gerät oder einen Dienst an einem entsprechenden öffentlichen Schlüssel binden. AD CS enthält auch Funktionen, die Registrierung von Zertifikaten und CRLs in einer Vielzahl von skalierbaren Umgebung verwalten können.