Installation, Verschlüsselung, Zertifizierungsstelle

Windows-Praxis: Active-Directory-Zertifikatsdienste einsetzen

Eigenständige Zertifizierungsstellen betreiben und Zertifikatsvorlagen verstehen

Bei der Installation der Active-Directory-Zertifikatsdienste können Sie auswählen, ob der Typ Unternehmen oder Eigenständig installiert werden soll. Innerhalb einer Unternehmenszertifizierungsstelle werden die Zertifikate auf Basis von Zertifikatevorlagen ausgestellt.

Ordnungshalber: Hier können Sie Zertifikatsvorlagen anzeigen und verwalten.
Ordnungshalber: Hier können Sie Zertifikatsvorlagen anzeigen und verwalten.

In den Eigenschaften der Vorlagen können Sie einstellen, wer Zertifikate auf der Basis der Vorlage anfordern oder verwalten darf. Die Zertifikatevorlagen verwalten Sie mit dem gleichnamigen Snap-In.

Der Einsatz einer CA ist vor allem in einem Active Directory sinnvoll. Dass die Einstellungen der Clients bezüglich des Verhaltens mit Zertifikaten über Gruppenrichtlinien eingestellt werden können, ist für die Unternehmen von Vorteil. Die Einstellungen für Zertifikate finden Sie unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien für öffentliche Schlüssel. Über die Einstellungen an dieser Stelle geben Sie zentral für alle Rechner einer Domäne Einstellungen vor. So können Sie zum Beispiel einstellen, dass Anwender nur geprüfte und vertrauenswürdige Zertifikate herunterladen dürfen.

Rangfolge: Sie können Zertifikate direkt von einer übergeordneten Zertifizierungsstelle anfordern.
Rangfolge: Sie können Zertifikate direkt von einer übergeordneten Zertifizierungsstelle anfordern.

Eigenständige Zertifizierungsstellen werden dazu verwendet, um S/MIME- oder SSL-Zertifikate auszustellen, wenn keine Active-Directory-Unterstützung möglich ist. Wenn Sie eine eigenständige Zertifizierungsstelle auf einem Domänencontroller installieren, erhalten alle Mitgliedscomputer das Zertifikat der Zertifizierungsstelle. Dieses ist im Speicher der vertrauenswürdigen Stammzertifizierungsstellen abgelegt.

Wählen Sie Untergeordnete Zertifizierungsstelle aus, wenn Sie einer Zertifizierungsstelle eine weitere Zertifizierungsstelle unterordnen wollen. Bestätigen Sie alle Fenster, bis Sie zum Fenster Zertifikat von übergeordneter ZS anfordern gelangen. Aktivieren Sie auf diesem Fenster die Option Zertifikatanforderung an übergeordnete Zertifizierungsstelle senden und klicken Sie auf Durchsuchen. Wählen Sie die bereits installierte Root-CA aus. (mje)