Installation, Verschlüsselung, Zertifizierungsstelle
Windows-Praxis: Active-Directory-Zertifikatsdienste einsetzen
Ein bisschen Planung und Grundwissen sind schon erforderlich, um Zertifikate optimal abrufen zu können. Microsoft-Server wie Exchange Server 2007/2010, SharePoint 2010 oder SQL Server 2012 benötigen beispielsweise ein Zertifikat, wenn Sie Verbindungen verschlüsseln wollen.
Für die Veröffentlichung von Outlook Web Access, Outlook Anywhere und Exchange ActiveSync (EAS), sind ebenfalls oft eigene Zertifikate notwendig. In Zusammenhang mit einem ISA-Server oder dessen Nachfolger, dem Forefront Threat Management Gateway, ist ihr Einsatz gleichfalls sinnvoll. Dies gilt auch für den Netzwerkzugriffsschutz (NAP). Mit den Webdiensten für die Zertifikatregistrierung und den Zertifikatregistrierungsrichtlinien können Sie Zertifikate über HTTP auch für verschiedene Gesamtstrukturen zur Verfügung stellen. So lassen sich Zertifizierungsstellen mit mehreren Gesamtstrukturen betreiben.
- Active-Directory-Zertifikatsdienste einsetzen
Installieren Sie eine Zertifizierungsstelle. - Active-Directory-Zertifikatsdienste einsetzen
Die Zertifizierungsstelle ist erfolgreich installiert. - Active-Directory-Zertifikatsdienste einsetzen
Sie können die Website der eben installierten Zertifizierungsstelle aufrufen. - Active-Directory-Zertifikatsdienste einsetzen
Überprüfen Sie den Status der Zertifizierungsstelle. - Active-Directory-Zertifikatsdienste einsetzen
Reichen Sie eine erweiterte Zertifikateanforderung ein. - Active-Directory-Zertifikatsdienste einsetzen
Sie können sich die Zertifikate der Zertifizierungsstelle anzeigen lassen. - Active-Directory-Zertifikatsdienste einsetzen
Wählen Sie ein Zertifikat für die verschlüsselte Verbindung zu SQL-Servern aus. - Active-Directory-Zertifikatsdienste einsetzen
Aktivieren Sie die Verschlüsselung für eine SQL Server-Instanz. - Active-Directory-Zertifikatsdienste einsetzen
So verschlüsseln Sie eine Verbindung mit dem SQL Server 2012. - Active-Directory-Zertifikatsdienste einsetzen
Wählen Sie beim Erstellen eines Domänenzertifikats die Zertifizierungsstelle aus. - Active-Directory-Zertifikatsdienste einsetzen
Konfigurieren Sie die SSL-Bindung für eine SharePoint-Website. - Active-Directory-Zertifikatsdienste einsetzen
Stellen Sie ein Zertifikat für den Exchange-Server aus. - Active-Directory-Zertifikatsdienste einsetzen
Dem Zertifikat sind noch Dienste zuzuordnen. - Active-Directory-Zertifikatsdienste einsetzen
Hier können Sie Zertifikatsvorlagen anzeigen und verwalten. - Active-Directory-Zertifikatsdienste einsetzen
Sie können Zertifikate direkt von einer übergeordneten Zertifizierungsstelle anfordern.
Eine Zertifizierungsstelle installieren - Windows Server 2008 R2
Installieren Sie die Zertifikatstelle entweder auf einem Domänencontroller oder einem anderen Server im Netzwerk. Wenn Sie allerdings den Server, der die Zertifikatstelle verwaltet, aus der Domäne entfernen, verlieren die Zertifikate ihre Gültigkeit. Die Installation nehmen Sie über das Hinzufügen der Rolle Active Directory-Zertifikatsdienste im Servermanager vor.
Wählen Sie diese Rolle aus, können Sie die Zertifikatdienste mit einem Assistenten installieren, über den Sie verschiedene Auswahlmöglichkeiten haben. Auf der nächsten Seite des Assistenten wählen Sie aus, welche Rollendienste Sie installieren wollen.
Insgesamt können Sie bei der Installation fünf Rollentypen auswählen:
• Zertifizierungsstelle - Hierbei handelt es sich um den wichtigsten Rollendienst, der die Basis der Zertifikatsdienste darstellt. Dieser Rollendienst wird für das Ausstellen und Verwalten der Zertifikate benötigt.
• Zertifizierungsstellen-Webregistrierung - Wird dieser Rollendienst installiert, können auch Zertifikate über die Webadresse https://<Servername>/certsrv angefordert werden. Hierbei handelt es sich um die Webschnittstelle der Zertifizierungsdienste.
• Online-Responder - Dieser Rollendienst stellt die OCSP-Funktion zur Verfügung, über die den Clients erweiterte Informationen über den aktuellen Zustand der Zertifikatsabfrage gegeben werden. Der Dienst setzt die Installation des IIS 7.5 voraus, es wird ein neues Web mit der Adresse http://<Servername>/ocsp erstellt.
• Registrierungsdienst für Netzwerkgeräte - Diese Funktion kann nur alleine installiert werden, nicht zusammen mit einer Zertifizierungsstelle. Mit diesem Rollendienst ist es möglich, Zertifikate an Netzwerkgeräte automatisch auszustellen.
• Webdienst für Zertifikatregistrierungsrichtlinie - Diesen Dienst benötigen Sie, wenn Sie eine richtlinienbasierte Zertifikatregistrierung ermöglichen wollen und der Client-Computer nicht Mitglied einer Domäne ist. Der Webdienst verwendet HTTPS, um Informationen zur Zertifikatrichtlinie an Computer weiterzuleiten. Im Zusammenhang mit SharePoint brauchen Sie diesen Dienst nicht.
Sie sollten die Rollendienste Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung auswählen. Der Rollendienst Zertifizierungsstellen-Webregistrierung stellt die Weboberfläche der Zertifizierungsdienste zur Verfügung, die Sie über http://<Servername>/certsrv aufrufen können, um Zertifikate anzufordern.