Windows-Praxis: Active-Directory-Zertifikatsdienste einsetzen

Ein bisschen Planung und Grundwissen sind schon erforderlich, um Zertifikate optimal abrufen zu können. Microsoft-Server wie Exchange Server 2007/2010, SharePoint 2010 oder SQL Server 2012 benötigen beispielsweise ein Zertifikat, wenn Sie Verbindungen verschlüsseln wollen.

Für die Veröffentlichung von Outlook Web Access, Outlook Anywhere und Exchange ActiveSync (EAS), sind ebenfalls oft eigene Zertifikate notwendig. In Zusammenhang mit einem ISA-Server oder dessen Nachfolger, dem Forefront Threat Management Gateway, ist ihr Einsatz gleichfalls sinnvoll. Dies gilt auch für den Netzwerkzugriffsschutz (NAP). Mit den Webdiensten für die Zertifikatregistrierung und den Zertifikatregistrierungsrichtlinien können Sie Zertifikate über HTTP auch für verschiedene Gesamtstrukturen zur Verfügung stellen. So lassen sich Zertifizierungsstellen mit mehreren Gesamtstrukturen betreiben.

Eine Zertifizierungsstelle installieren - Windows Server 2008 R2

Installieren Sie die Zertifikatstelle entweder auf einem Domänencontroller oder einem anderen Server im Netzwerk. Wenn Sie allerdings den Server, der die Zertifikatstelle verwaltet, aus der Domäne entfernen, verlieren die Zertifikate ihre Gültigkeit. Die Installation nehmen Sie über das Hinzufügen der Rolle Active Directory-Zertifikatsdienste im Servermanager vor.

Wählen Sie diese Rolle aus, können Sie die Zertifikatdienste mit einem Assistenten installieren, über den Sie verschiedene Auswahlmöglichkeiten haben. Auf der nächsten Seite des Assistenten wählen Sie aus, welche Rollendienste Sie installieren wollen.

Insgesamt können Sie bei der Installation fünf Rollentypen auswählen:

• Zertifizierungsstelle - Hierbei handelt es sich um den wichtigsten Rollendienst, der die Basis der Zertifikatsdienste darstellt. Dieser Rollendienst wird für das Ausstellen und Verwalten der Zertifikate benötigt.

• Zertifizierungsstellen-Webregistrierung - Wird dieser Rollendienst installiert, können auch Zertifikate über die Webadresse https://<Servername>/certsrv angefordert werden. Hierbei handelt es sich um die Webschnittstelle der Zertifizierungsdienste.

• Online-Responder - Dieser Rollendienst stellt die OCSP-Funktion zur Verfügung, über die den Clients erweiterte Informationen über den aktuellen Zustand der Zertifikatsabfrage gegeben werden. Der Dienst setzt die Installation des IIS 7.5 voraus, es wird ein neues Web mit der Adresse http://<Servername>/ocsp erstellt.

• Registrierungsdienst für Netzwerkgeräte - Diese Funktion kann nur alleine installiert werden, nicht zusammen mit einer Zertifizierungsstelle. Mit diesem Rollendienst ist es möglich, Zertifikate an Netzwerkgeräte automatisch auszustellen.

• Webdienst für Zertifikatregistrierungsrichtlinie - Diesen Dienst benötigen Sie, wenn Sie eine richtlinienbasierte Zertifikatregistrierung ermöglichen wollen und der Client-Computer nicht Mitglied einer Domäne ist. Der Webdienst verwendet HTTPS, um Informationen zur Zertifikatrichtlinie an Computer weiterzuleiten. Im Zusammenhang mit SharePoint brauchen Sie diesen Dienst nicht.

Sie sollten die Rollendienste Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung auswählen. Der Rollendienst Zertifizierungsstellen-Webregistrierung stellt die Weboberfläche der Zertifizierungsdienste zur Verfügung, die Sie über http://<Servername>/certsrv aufrufen können, um Zertifikate anzufordern.