Installation, Verschlüsselung, Zertifizierungsstelle

Windows-Praxis: Active-Directory-Zertifikatsdienste einsetzen

Installationsassistenten nutzen

Auf der nächsten Seite wählen Sie den Setup-Typ aus. Hier sollten Sie die Option Unternehmen (empfohlen) auswählen, da Sie bei der ersten CA (Certification Authority) eine Root-CA installieren. Bei dieser Auswahl wird auch die CA in Active Directory integriert. Dadurch verteilt die Zertifizierungsstelle das Zertifikat der Zertifizierungsstelle auf allen Servern und Clientcomputern im Netzwerk.

Vorhanden: Die Zertifizierungsstelle ist erfolgreich installiert.
Vorhanden: Die Zertifizierungsstelle ist erfolgreich installiert.

Auf der nächsten Seite des Assistenten legen Sie den Zertifizierungsstellentyp fest. Hier sollten Sie bei der ersten Installation möglichst eine Stammzertifizierungsstelle (empfohlen) auswählen. Bei der ersten Installation einer Zertifizierungsstelle wählen Sie aus, dass Sie einen neuen privaten Schlüssel erstellen wollen, da es für diese Zertifizierungsstelle noch keinen Schlüssel gibt. Auf der nächsten Seite des Assistenten geben Sie an, mit welcher Verschlüsselung Sie Zertifikate ausstellen wollen. Hier sollten Sie möglichst den Standard belassen.

Oberfläche: Sie können die Website der eben installierten Zertifizierungsstelle aufrufen.
Oberfläche: Sie können die Website der eben installierten Zertifizierungsstelle aufrufen.

Auf der nächsten Seite legen Sie den Namen für die neue Zertifizierungsstelle fest. Hier sollten Sie bei der ersten Stammzertifizierungsstelle im Unternehmen einen passenden Namen wählen. Im Anschluss bestimmen Sie die Gültigkeitsdauer für die Zertifikate und schließen die Konfiguration ab. Nach der Installation der Zertifikatsdienste stehen diese zur Verfügung.

Nach der Installation können Sie über das Verwaltungsprogramm Start/Verwaltung/Zertifizierungsstelle überprüfen, ob die Installation erfolgreich war. Der Server sollte mit einem grünen Haken in der Verwaltungsoberfläche angezeigt werden.

Ein erster Check

Haben Sie bei der Installation noch den Rollendienst Zertifizierungsstellen-Webregistrierung ausgewählt, steht zusätzlich noch die Weboberfläche der Zertifizierungsstelle über den Link https://<Servername>/certsrv zur Verfügung. Diese Website sollte sich nach erfolgter Authentifizierung fehlerfrei öffnen lassen.

Zusätzlich gibt es das Zusatz-Tool PKIView, mit dem sehr schnell der allgemeine Zustand der Zertifizierungsstelle überprüft werden kann. Findet das Tool Fehler, werden diese in einer Konsole angezeigt. Das Tool starten Sie am schnellsten durch Eingabe von

pkiview

in einer Befehlszeile.

Alle Mitgliedcomputer einer Domäne vertrauen einer internen Stammzertifizierungsstelle mit dem Typ Unternehmen automatisch. Das Zertifikat dieser Zertifizierungsstelle wird dazu auf den Client-Computern und Mitgliedsservern in den Zertifikatespeicher der vertrauenswürdigen Stammzertifizierungsstellen integriert. Damit der Server fehlerfrei Zertifikate ausstellen kann, muss er Mitglied der Gruppe Zertifikateherausgeber sein. Diese Gruppe befindet sich in der OU Users.

Test: Überprüfen Sie den Status der Zertifizierungsstelle.
Test: Überprüfen Sie den Status der Zertifizierungsstelle.

Die wichtigsten Daten der Active-Directory-Zertifikatsdienste lassen sich sichern. Wählen Sie im Kontextmenü der Zertifizierungsstelle in der Verwaltungskonsole die Option Alle Aufgaben/Zertifizierungsstelle sichern. Anschließend startet der Assistent, über den die Zertifizierungsstelle und deren Daten gesichert werden können. Auf der nächsten Seite des Assistenten wählen Sie aus, welche Dateien gesichert werden sollen und in welcher Datei die Sicherung abgelegt wird. Anschließend vergeben Sie ein Kennwort für die Sicherung, damit niemand Zugriff auf die Daten erhält. Auf dem gleichen Weg lassen sich auch Daten wiederherstellen.