Ein bisschen Planung und Grundwissen sind schon erforderlich, um Zertifikate optimal abrufen zu können. Microsoft-Server wie Exchange Server 2007/2010, SharePoint 2010 oder SQL Server 2012 benötigen beispielsweise ein Zertifikat, wenn Sie Verbindungen verschlüsseln wollen.
Für die Veröffentlichung von Outlook Web Access, Outlook Anywhere und Exchange ActiveSync (EAS), sind ebenfalls oft eigene Zertifikate notwendig. In Zusammenhang mit einem ISA-Server oder dessen Nachfolger, dem Forefront Threat Management Gateway, ist ihr Einsatz gleichfalls sinnvoll. Dies gilt auch für den Netzwerkzugriffsschutz (NAP). Mit den Webdiensten für die Zertifikatregistrierung und den Zertifikatregistrierungsrichtlinien können Sie Zertifikate über HTTP auch für verschiedene Gesamtstrukturen zur Verfügung stellen. So lassen sich Zertifizierungsstellen mit mehreren Gesamtstrukturen betreiben.
Eine Zertifizierungsstelle installieren - Windows Server 2008 R2
Installieren Sie die Zertifikatstelle entweder auf einem Domänencontroller oder einem anderen Server im Netzwerk. Wenn Sie allerdings den Server, der die Zertifikatstelle verwaltet, aus der Domäne entfernen, verlieren die Zertifikate ihre Gültigkeit. Die Installation nehmen Sie über das Hinzufügen der Rolle Active Directory-Zertifikatsdienste im Servermanager vor.
Wählen Sie diese Rolle aus, können Sie die Zertifikatdienste mit einem Assistenten installieren, über den Sie verschiedene Auswahlmöglichkeiten haben. Auf der nächsten Seite des Assistenten wählen Sie aus, welche Rollendienste Sie installieren wollen.
Insgesamt können Sie bei der Installation fünf Rollentypen auswählen:
• Zertifizierungsstelle - Hierbei handelt es sich um den wichtigsten Rollendienst, der die Basis der Zertifikatsdienste darstellt. Dieser Rollendienst wird für das Ausstellen und Verwalten der Zertifikate benötigt.
• Zertifizierungsstellen-Webregistrierung - Wird dieser Rollendienst installiert, können auch Zertifikate über die Webadresse https://<Servername>/certsrv angefordert werden. Hierbei handelt es sich um die Webschnittstelle der Zertifizierungsdienste.
• Online-Responder - Dieser Rollendienst stellt die OCSP-Funktion zur Verfügung, über die den Clients erweiterte Informationen über den aktuellen Zustand der Zertifikatsabfrage gegeben werden. Der Dienst setzt die Installation des IIS 7.5 voraus, es wird ein neues Web mit der Adresse http://<Servername>/ocsp erstellt.
• Registrierungsdienst für Netzwerkgeräte - Diese Funktion kann nur alleine installiert werden, nicht zusammen mit einer Zertifizierungsstelle. Mit diesem Rollendienst ist es möglich, Zertifikate an Netzwerkgeräte automatisch auszustellen.
• Webdienst für Zertifikatregistrierungsrichtlinie - Diesen Dienst benötigen Sie, wenn Sie eine richtlinienbasierte Zertifikatregistrierung ermöglichen wollen und der Client-Computer nicht Mitglied einer Domäne ist. Der Webdienst verwendet HTTPS, um Informationen zur Zertifikatrichtlinie an Computer weiterzuleiten. Im Zusammenhang mit SharePoint brauchen Sie diesen Dienst nicht.
Sie sollten die Rollendienste Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung auswählen. Der Rollendienst Zertifizierungsstellen-Webregistrierung stellt die Weboberfläche der Zertifizierungsdienste zur Verfügung, die Sie über http://<Servername>/certsrv aufrufen können, um Zertifikate anzufordern.
Installationsassistenten nutzen
Auf der nächsten Seite wählen Sie den Setup-Typ aus. Hier sollten Sie die Option Unternehmen (empfohlen) auswählen, da Sie bei der ersten CA (Certification Authority) eine Root-CA installieren. Bei dieser Auswahl wird auch die CA in Active Directory integriert. Dadurch verteilt die Zertifizierungsstelle das Zertifikat der Zertifizierungsstelle auf allen Servern und Clientcomputern im Netzwerk.
Auf der nächsten Seite des Assistenten legen Sie den Zertifizierungsstellentyp fest. Hier sollten Sie bei der ersten Installation möglichst eine Stammzertifizierungsstelle (empfohlen) auswählen. Bei der ersten Installation einer Zertifizierungsstelle wählen Sie aus, dass Sie einen neuen privaten Schlüssel erstellen wollen, da es für diese Zertifizierungsstelle noch keinen Schlüssel gibt. Auf der nächsten Seite des Assistenten geben Sie an, mit welcher Verschlüsselung Sie Zertifikate ausstellen wollen. Hier sollten Sie möglichst den Standard belassen.
Auf der nächsten Seite legen Sie den Namen für die neue Zertifizierungsstelle fest. Hier sollten Sie bei der ersten Stammzertifizierungsstelle im Unternehmen einen passenden Namen wählen. Im Anschluss bestimmen Sie die Gültigkeitsdauer für die Zertifikate und schließen die Konfiguration ab. Nach der Installation der Zertifikatsdienste stehen diese zur Verfügung.
Nach der Installation können Sie über das Verwaltungsprogramm Start/Verwaltung/Zertifizierungsstelle überprüfen, ob die Installation erfolgreich war. Der Server sollte mit einem grünen Haken in der Verwaltungsoberfläche angezeigt werden.
Ein erster Check
Haben Sie bei der Installation noch den Rollendienst Zertifizierungsstellen-Webregistrierung ausgewählt, steht zusätzlich noch die Weboberfläche der Zertifizierungsstelle über den Link https://<Servername>/certsrv zur Verfügung. Diese Website sollte sich nach erfolgter Authentifizierung fehlerfrei öffnen lassen.
Zusätzlich gibt es das Zusatz-Tool PKIView, mit dem sehr schnell der allgemeine Zustand der Zertifizierungsstelle überprüft werden kann. Findet das Tool Fehler, werden diese in einer Konsole angezeigt. Das Tool starten Sie am schnellsten durch Eingabe von
pkiview
in einer Befehlszeile.
Alle Mitgliedcomputer einer Domäne vertrauen einer internen Stammzertifizierungsstelle mit dem Typ Unternehmen automatisch. Das Zertifikat dieser Zertifizierungsstelle wird dazu auf den Client-Computern und Mitgliedsservern in den Zertifikatespeicher der vertrauenswürdigen Stammzertifizierungsstellen integriert. Damit der Server fehlerfrei Zertifikate ausstellen kann, muss er Mitglied der Gruppe Zertifikateherausgeber sein. Diese Gruppe befindet sich in der OU Users.
Die wichtigsten Daten der Active-Directory-Zertifikatsdienste lassen sich sichern. Wählen Sie im Kontextmenü der Zertifizierungsstelle in der Verwaltungskonsole die Option Alle Aufgaben/Zertifizierungsstelle sichern. Anschließend startet der Assistent, über den die Zertifizierungsstelle und deren Daten gesichert werden können. Auf der nächsten Seite des Assistenten wählen Sie aus, welche Dateien gesichert werden sollen und in welcher Datei die Sicherung abgelegt wird. Anschließend vergeben Sie ein Kennwort für die Sicherung, damit niemand Zugriff auf die Daten erhält. Auf dem gleichen Weg lassen sich auch Daten wiederherstellen.
Zertifikate über Web-Interface ausstellen
Im folgenden Abschnitt zeigen wir Ihnen, wie Sie von einem Server mit SQL Server 2012 ein Zertifikat von einer Zertifizierungsstelle unter Windows Server 2008 R2/2012 anfordern und installieren.
Das Beispiel funktioniert aber auch für andere Server, auf denen Sie Windows Server 2008 R2 betreiben. Generell können Sie bei der Zuweisung eines Zertifikates ebenso den Weg über die lokale Verwaltung der Zertifikate gehen, doch genauso zuverlässig funktioniert die Zuweisung über die Weboberfläche. Sie können zum Beispiel die Verschlüsselung in SQL Server 2012 nur verwenden, wenn der Server über ein Serverzertifikat verfügt. Dieses müssen Sie zunächst von der internen Zertifizierungsstelle anfordern und installieren:
1. Wählen auf der Website für die Zertifizierungsstelle die Option Ein Zertifikat anfordern und dann die Erweiterte Anforderung aus.
2. Als Nächstes wählen Sie die Option Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen.
3. Wählen Sie als Vorlage die Option Webserver und als Name den vollständigen Domänennamen des Servers aus. Klicken Sie dann auf Einsenden und nachfolgend auf Dieses Zertifikat installieren.
4. Dadurch ist das Zertifikat auf dem Server verfügbar.
Damit dieses Zertifikat fehlerfrei funktioniert, muss das Zertifikat der Zertifizierungsstelle, von der Sie Ihr Zertifikat haben, bei den vertrauenswürdigen Stammzertifizierungsstellen auf dem Server hinterlegt sein, ebenso auf den Clients, die auf den Server zugreifen.
Um das zu testen, fügen Sie das Snap-In Zertifikate zu einer MMC hinzu und stellen sicher, dass das Zertifikat der Zertifizierungsstelle für das lokale Computerkonto des Servers im Knoten Vertrauenswürdige Stammzertifizierungsstellen angezeigt wird.
Das Zertifikat der Stammzertifizierungsstelle muss hinterlegt sein, damit der Server den Zertifikaten dieser Zertifizierungsstelle vertraut. Haben Sie die Active-Directory-Zertifikatsdienste installiert, können Sie den Import des Zertifikats auf Clients und dem Server beschleunigen, wenn Sie auf dem Server über
gpupdate /force
die Gruppenrichtlinien erneut abrufen.
Zertifikate von internen Zertifizierungsstellen installieren
Die Installation der Zertifikate von internen Zertifizierungsstellen findet über die Gruppenrichtlinie im Active Directory statt. Arbeiten Sie mit einer Zertifizierungsstelle eines Drittanbieters, müssen Sie das Zertifikat der Zertifizierungsstelle in die vertrauenswürdigen Stammzertifizierungsstellen importieren. Zertifikate überprüfen Sie auf folgendem Weg:
1. Geben Sie mmc in das Suchfeld des Startmenüs ein, um eine Managementkonsole zu öffnen.
2. Klicken Sie auf Datei/Snap-In hinzufügen.
3. Wählen Sie Zertifikate aus.
4. Wählen Sie als Speicher Computerkonto aus.
5. Wählen Sie das lokale Computerkonto aus.
6. Erweitern Sie in der Konsole Zertifikate/Vertrauenswürdige Stammzertifizierungsstellen/Zertifikate.
7. Überprüfen Sie an dieser Stelle, ob das Zertifikat der Zertifizierungsstelle hinterlegt ist. Finden Sie das Zertifikat nicht, dann geben Sie in einer Befehlszeile
gpupdate /force
ein, um per Gruppenrichtlinie das Zertifikat abzurufen. Erscheint auch dann das Zertifikat nicht, exportieren Sie dieses auf dem Zertifikatsserver selbst und importieren es auf dem Server.
Sofern die Zertifizierungsstelle in der gleichen AD-Domäne installiert ist wie der SQL-Server, sollte dies automatisch stattfinden; anders ist dies, wenn die Zertifizierungsstelle nicht in das AD integriert ist. Die vertrauenswürdigen Zertifizierungsstellen finden Sie auch über den Internet Explorer.
Rufen Sie nach dem Start über Extras/Internetoptionen die Registerkarte Inhalte und dann per Klick auf die Schaltfläche Zertifikate und Auswahl der Registerkarte Vertrauenswürdige Stammzertifizierungsstellen die Auflistung der Zertifizierungsstellen auf dem Server auf, der über das Zertifikat bereits verfügt.
Klicken Sie doppelt auf ein Zertifikat, wenn Sie es nicht von einer internen Zertifizierungsstelle erhalten, sondern von einer externen. Dann wird es auf dem Server angezeigt, und Sie können es installieren. Klicken Sie auf die Schaltfläche Zertifikat installieren, damit das Zertifikat auf dem Server installiert wird.
Lassen Sie das Stammzertifikat in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen importieren, wenn das Zertifikat der Zertifizierungsstelle noch nicht installiert ist. Überprüfen Sie anschließend, ob das Zertifikat erfolgreich importiert ist. Auf allen beteiligten Servern und Arbeitsstationen muss der Zertifizierungsstelle des Unternehmens auf dieser Registerkarte vertraut werden.
SQL-Server - Verschlüsselung aktivieren
Um die Verschlüsselung für Verbindungen mit SQL Server 2012 zu aktivieren, nachdem das Zertifikat auf dem Server installiert ist, gehen Sie folgendermaßen vor:
1. Erweitern Sie im SQL-Server-Konfigurations-Manager den Eintrag SQL Server-Netzwerkkonfiguration, klicken mit der rechten Maustaste auf Protokolle für <Instanz> und dann auf Eigenschaften.
2. Wählen Sie auf der Registerkarte Zertifikat das gewünschte Zertifikat aus der Dropdown-Liste für das Feld Zertifikat aus.
3. Aktivieren Sie auf der Registerkarte Flags im Feld Verschlüsselung erzwingen die Option Ja und klicken dann auf OK, um das Dialogfeld zu schließen.
4. Starten Sie den SQL-Server-Dienst neu.
So verschlüsseln Sie eine Verbindung in SQL Server Management Studio:
1. Klicken Sie auf der Symbolleiste des Objekt-Explorers auf Verbinden und dann auf Datenbankmodul.
2. Geben Sie im Dialogfeld Verbindung mit Server herstellen die Verbindungseinstellungen an und klicken auf Optionen.
3. Klicken Sie auf der Registerkarte Verbindungseigenschaften auf Verbindung verschlüsseln.
Zertifikate über IIS-Manager installieren - SharePoint-Server und Co.
Um SSL für Webseiten in den Internetinformationsdiensten zu aktivieren, zum Beispiel für SharePoint, installieren Sie auf dem Server zunächst ein entsprechendes Zertifikat. Dieses können Sie direkt vom Server mit der Active-Directory-Zertifizierungsstelle abrufen:
1. Öffnen Sie den IIS-Manager in der Programmgruppe-Verwaltung auf dem SharePoint-Server.
2. Klicken Sie auf den Servernamen.
3. Doppelklicken Sie auf das Feature Serverzertifikate im mittleren Bereich der Konsole.
4. Klicken Sie im Bereich Aktionen auf Zertifikatanforderung erstellen. Alternativ können Sie auch Domänenzertifikat erstellen auswählen, wenn Sie mit den Active-Directory-Zertifikatsdiensten arbeiten. Die folgenden Fenster sind dabei identisch.
5. Geben Sie im neuen Fenster den Namen des Zertifikats ein. Achten Sie darauf, dass der Name, den Sie im Feld Gemeinsamer Name eingeben, dem Servernamen entspricht, mit dem Anwender auf den Server zugreifen. Verwenden Anwender für den Zugriff einen anderen Namen als den gemeinsamen Namen des Zertifikats, erhalten diese eine Zertifikatewarnung, die besagt, dass das Zertifikat für eine andere Seite ausgestellt ist. Auch wenn Sie den FQDN eines Servers verwenden, zum Beispiel sps01.contoso.com, erhalten Anwender eine Fehlermeldung, wenn der Zugriff über den NetBIOS-Namen erfolgt, zum Beispiel mit sps01.
Soll der Zugriff auf den Server mit www.contoso.com erfolgen, muss der gemeinsame Name des Zertifikats ebenfalls www.contoso.com sein. Greifen Sie mit verschiedenen Host-Namen einer Domäne zu, zum Beispiel sps01.contoso.com und portal.contoso.com, können Sie als gemeinsamen Namen auch mit dem Platzhalter * arbeiten, zum Beispiel *.contoso.com. In diesem Zusammenhang spricht man von einem Platzhalterzertifikat.
6. Wählen Sie auf der nächsten Seite Eigenschaften für Kryptografiedienstanbieter, Werte für Kryptografiedienstanbieter und Bitlänge aus und klicken dann auf Weiter. In den meisten Fällen können Sie den Standardwert belassen.
7. Erstellen Sie ein Domänenzertifikat, können Sie auf der nächsten Seite direkt über Auswählen die Zertifizierungsstelle auswählen, wenn Sie im Active Directory eine Zertifizierungsstelle installiert haben.
8. Speichern Sie die Anfrage als Datei. Arbeiten Sie mit einem Domänenzertifikat, können Sie den Assistenten an dieser Stelle schon abschließen. Bei diesem Vorgang überträgt der Assistent automatisch das Zertifikat von den Active-Directory-Zertifikatsdiensten auf den Server. Die Vorgehensweise bei einer manuellen Zertifikatsanfrage finden Sie in den Folgeschritten.
Mit einer manuellen Zertifikatsanfrage arbeiten
9. Arbeiten Sie mit einer manuellen Zertifikatanfrage für ein Zertifikat eines, müssen Sie noch weitere Schritte durchführen. Im nächsten Schritt öffnen Sie das Web-Frontend des Zertifikateausstellers. Arbeiten Sie mit den Active Directory-Zertifikatdiensten, können Sie diese über die Adresse http://<Servername>/certsrv erreichen. Achten Sie aber beim Installieren der Serverrolle für die Active-Directory-Zertifikatdienste darauf, dass Sie auch die Webschnittstelle mit installieren. Wählen Sie anschließend auf der Webseite für die Zertifizierungsstelle die Option Ein Zertifikat anfordern und dann die Erweiterte Anforderung aus. Als Nächstes wählen Sie die Option Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.
10. Im nächsten Fenster geben Sie im Feld Gespeicherte Anforderung den kompletten Text der *.txt-Datei ein, die Sie im Vorfeld erstellt haben. Sie können dazu die Datei im Editor öffnen und den Inhalt in die Zwischenablage kopieren. Hierfür benötigen Sie den kompletten Text der Datei. Klicken Sie dazu in die Datei und markieren Sie den kompletten Text mit (Strg) + (A). Mit (Strg) + (C) kopieren Sie den Text in die Zwischenablage, mit (Strg) + (V) fügen Sie ihn in das Feld ein. Wählen Sie als Zertifikatvorlage noch Webserver und klicken dann auf Einsenden.
11. Im nächsten Schritt laden Sie das Zertifikat als DER- oder Base-64-Datei auf den SharePoint-Server.
12. Als Nächstes installieren Sie das Zertifikat aus der heruntergeladenen *.cer-Datei auf dem Server.
13. Doppelklicken Sie im Internetinformationsdienste-Manager auf das Feature Serverzertifikate.
14. Wählen Sie Zertifikatanforderung abschließen im Aktionsbereich aus.
15. Geben Sie einen Anzeigenamen für das Zertifikat ein und klicken auf OK. Verwenden Sie als Anzeigenamen am besten den gemeinsamen Namen des Zertifikats, den Sie bei der Erstellung ausgewählt haben.
16. Klicken Sie im Internetinformationsdienste-Manager auf die SharePoint-Seite, der Sie SSL ermöglichen wollen.
17. Klicken Sie dann auf Bindungen.
18. Klicken Sie im neuen Fenster auf Hinzufügen und wählen https aus.
19. Wählen Sie bei SSL-Zertifikat das von Ihnen ausgestellte Zertifikat aus. Sie können das Zertifikat jederzeit anpassen. Dazu fügen Sie einfach ein weiteres Serverzertifikat hinzu. Anschließend bearbeiten Sie die Bindung und wählen das neue Zertifikat aus.
20. Klicken Sie zweimal auf OK, um die Änderungen zu speichern.
Sobald Sie die Bindung definiert haben, können Sie bereits auf die SharePoint-Site per SSL zugreifen. Es sind zwar noch Optimierungsarbeiten notwendig, doch ein Zugriff ist per SSL bereits möglich. Hinterlegen Sie in der Zentraladministration die neue URL bei den alternativen Zugriffsordnungen.
Exchange-Zertifikat installieren
Exchange Server 2010 setzt weit stärker auf SSL-gesicherte Verbindungen und Verschlüsselung als die Vorgänger. Aus diesem Grund benötigt jeder Exchange-Server ein eigenes Serverzertifikat. Während der Installation stellt sich jeder Exchange-Server ein selbst signiertes Zertifikat aus und verwendet dieses für die einzelnen Verschlüsselungen. Das Problem dabei ist, dass kein Client dieser Zertifizierungsstelle vertraut - die Folge sind Zertifikatsfehlermeldungen. Sie lösen dieses Problem, indem Sie entweder auf eine interne Zertifizierungsstelle auf Basis der Active-Directory-Zertifikatsdienste setzen oder ein Zertifikat eines Drittherstellers verwenden.
Um dem Server ein Zertifikat zuzuweisen, klicken Sie in der Exchange-Verwaltungskonsole auf Serverkonfiguration und dann auf den Server, dessen Zertifikat Sie verwalten wollen. Jeder Exchange-Server in der Organisation erhält sein eigenes Zertifikat. Um ein neues Zertifikat zu installieren, verwenden Sie zunächst Neues Exchange-Zertifikat im Kontextmenü des Servers.
Der Assistent erstellt eine Zertifikatanforderung, die Sie dann entweder über die Active-Directory-Zertifikatdienste oder über das Web-Frontend des Drittherstellers anfordern. In der Exchange-Verwaltungs-Shell können Sie sich das Zertifikat über
get-exchangecertificate
ebenfalls anzeigen lassen.
Im ersten Schritt des Assistenten geben Sie den Namen ein, mit dem das Zertifikat in der Konsole angezeigt werden soll. Auf der nächsten Seite können Sie festlegen, dass Sie auch untergeordnete Domänen mit dem gleichen Zertifikat anbinden wollen.
Auf der nächsten Seite wählen Sie aus, für welche Art der Absicherung Sie das Zertifikat benötigen. In den meisten Fällen verwenden Sie Client-Zugriffserver (Outlook Web App). Sie können an dieser Stelle aber auch weitere Dienste auswählen, denen Sie später das Serverzertifikat zuweisen möchten. Über den Assistenten geben Sie anschließend den Namen des internen Exchange-Servers an und ebenso den Namen, über den der Server aus dem Internet erreichbar sein soll. Achten Sie darauf, dass der externe Name mit der URL übereinstimmt, die Anwender aus dem Internet nutzen. Anderenfalls erhalten die Anwender eine Zertifikatewarnung.
Nach der Konfiguration für Outlook Web App gehen Sie auch alle anderen Menüpunkte durch. Alle Punkte, die Sie hier einstellen, sind später im Zertifikat berücksichtigt. Wichtig ist die Auswahl, dass Outlook Web App aktiv ist, und Exchange ActiveSync, wenn Sie Smartphones anbinden wollen.
Auf der nächsten Seite zeigt Ihnen der Assistent an, welche Domänen im Zertifikat für den Zugriff hinterlegt sind. Sehr wichtig an dieser Stelle ist, dass der Name, mit dem der Server aus dem Internet erreichbar ist, als allgemeiner Name hinterlegt und damit fett angezeigt wird. Ansonsten erhalten Clients, die aus dem Internet auf den Server zugreifen, eine Fehlermeldung, da der Name des Zertifikats nicht mit der URL für den Zugriff übereinstimmt. Dieser Bereich ist vor allem für die Verwendung von Outlook Anywhere sehr wichtig. Wenn ein Zertifikatsfehler in Outlook Web App erscheint, können Anwender diesen ohne große Auswirkungen bestätigen, Outlook verweigert allerdings die Verbindung bei solchen Fehlern. Auf der nächsten Seite geben Sie noch Daten zu dem Zertifikat und Ihrer Organisation an und speichern anschließend die Anforderung als Textdatei auf dem Server. Mit dieser Datei fordern Sie das Zertifikat anschließend an.
Sodann wählen Sie die Option Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein auf der Webseite der Zertifizierungsstellen und fügen die Daten der Anforderung ein. Wählen Sie als Zertifikatvorlage Webserver und klicken dann auf Einsenden.
Einem Zertifikat Dienste zuweisen
Anschließend laden Sie das Zertifikat als *.cer-Datei herunter und speichern diese auf dem Server. Danach gehen Sie wieder in die Exchange-Verwaltungskonsole und klicken auf Serverkonfiguration. Klicken Sie dann auf den Exchange-Server, für den Sie die Anfrage erstellt haben, und dann im unteren Bereich des Fensters mit der rechten Maustaste auf das Zertifikat, dass Sie erstellt haben.
Wählen Sie aus dem Kontextmenü die Option Anstehende Anforderung abschließen. Wählen Sie anschließend die *.cer-Datei aus und schließend Sie den Vorgang ab. Das Zertifikat sollte nun als verwendbar angezeigt werden. Dazu muss das Zertifikat der Zertifizierungsstelle, von der Sie das Zertifikat haben, bei den vertrauenswürdigen Stammzertifizierungsstellen auf dem Exchange-Server hinterlegt sein.
Wenn Sie mit den Active-Directory-Zertifikatsdiensten arbeiten, installiert der Exchange-Server das Zertifikat der Vertrauensstellung automatisch über die Gruppenrichtlinien. Das Zertifikat der Stammzertifizierungsstelle muss auf dem Exchange-Server hinterlegt sein, damit der dieser den Zertifikaten dieser Zertifizierungsstelle vertraut.
Nachdem Sie eine Zertifikateanforderung erstellt und das Zertifikat auf dieser Basis bei der Zertifizierungsstelle angefordert, exportiert und installiert haben, müssen Sie noch die einzelnen Exchange-Dienste mit diesem Zertifikat verbinden. Auch diesen Vorgang führen Sie über das Kontextmenü aus. Wählen Sie dazu für das Zertifikat die Option Dem Zertifikat Dienste zuordnen.
Dieser Befehl erscheint aber nur dann, wenn das Zertifikat keinen Fehler anzeigt. Liegt noch ein Fehler vor, erstellen Sie noch einmal eine Anforderung.
Im Assistenten wählen Sie zunächst über Hinzufügen den Server aus, auf dem Sie die Dienste dem neuen Zertifikat zuweisen wollen. Anschließend wählen Sie die entsprechenden Dienste aus und klicken auf Weiter. Es darf bei der Zuweisung kein Fehler erscheinen. In der Verwaltungskonsole sehen Sie jetzt, welchen Diensten das Zertifikat zugeordnet ist und ob es fehlerfrei funktioniert. Verbinden sich Clients mit Outlook oder Outlook Web App mit dem Server, erscheint keine Zertifikatewarnung mehr.
Eigenständige Zertifizierungsstellen betreiben und Zertifikatsvorlagen verstehen
Bei der Installation der Active-Directory-Zertifikatsdienste können Sie auswählen, ob der Typ Unternehmen oder Eigenständig installiert werden soll. Innerhalb einer Unternehmenszertifizierungsstelle werden die Zertifikate auf Basis von Zertifikatevorlagen ausgestellt.
In den Eigenschaften der Vorlagen können Sie einstellen, wer Zertifikate auf der Basis der Vorlage anfordern oder verwalten darf. Die Zertifikatevorlagen verwalten Sie mit dem gleichnamigen Snap-In.
Der Einsatz einer CA ist vor allem in einem Active Directory sinnvoll. Dass die Einstellungen der Clients bezüglich des Verhaltens mit Zertifikaten über Gruppenrichtlinien eingestellt werden können, ist für die Unternehmen von Vorteil. Die Einstellungen für Zertifikate finden Sie unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien für öffentliche Schlüssel. Über die Einstellungen an dieser Stelle geben Sie zentral für alle Rechner einer Domäne Einstellungen vor. So können Sie zum Beispiel einstellen, dass Anwender nur geprüfte und vertrauenswürdige Zertifikate herunterladen dürfen.
Eigenständige Zertifizierungsstellen werden dazu verwendet, um S/MIME- oder SSL-Zertifikate auszustellen, wenn keine Active-Directory-Unterstützung möglich ist. Wenn Sie eine eigenständige Zertifizierungsstelle auf einem Domänencontroller installieren, erhalten alle Mitgliedscomputer das Zertifikat der Zertifizierungsstelle. Dieses ist im Speicher der vertrauenswürdigen Stammzertifizierungsstellen abgelegt.
Wählen Sie Untergeordnete Zertifizierungsstelle aus, wenn Sie einer Zertifizierungsstelle eine weitere Zertifizierungsstelle unterordnen wollen. Bestätigen Sie alle Fenster, bis Sie zum Fenster Zertifikat von übergeordneter ZS anfordern gelangen. Aktivieren Sie auf diesem Fenster die Option Zertifikatanforderung an übergeordnete Zertifizierungsstelle senden und klicken Sie auf Durchsuchen. Wählen Sie die bereits installierte Root-CA aus. (mje)