ThorstenSchmitt - Fotolia

Active-Directory-Zertifikatsdienste richtig einrichten

Nach der Installation der Active-Directory-Zertifikatsdienste lassen sich für Serverdienste und für Anwender eigene Zertifikate nutzen. Die Serverrolle ist wartungsfreundlich.

Die Installation einer Zertifizierungsstelle sollte möglichst auf einem Mitgliedsserver, nicht auf einem Domänencontroller erfolgen.

Wird der Server, der die Zertifizierungsstelle verwaltet, aus der Domäne entfernt, verlieren die Zertifikate ihre Gültigkeit.

Die Installation der Active-Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS) wird über das Hinzufügen der Rolle Active Directory-Zertifikatdienste im Server-Manager durchgeführt. Die Installation und Einrichtung erfolgt mit einem Assistenten

Verschiedene Rollendienste auswählen

Insgesamt können bei der Installation sechs Rollentypen ausgewählt werden:

Zertifizierungsstelle: Hierbei handelt es sich um den Rollendienst, der die Basis der Zertifikatdienste darstellt. Dieser Rollendienst wird für das Ausstellen und Verwalten der Zertifikate benötigt.

Online-Responder: Mit diesem Rollendienst können Clients erweiterte Informationen über den aktuellen Zustand der Zertifikatsabfrage geben. Der Dienst setzt die Installation des IIS voraus. Die Adresse des Webdienstes lautet http://<Servername>/ocsp.

Registrierungsdienst für Netzwerkgeräte: Mit diesem Rollendienst wird die Funktion zum automatischen Ausstellen von Zertifikaten an Netzwerkgeräte ermöglicht.

Zertifikatregistrierungsrichtlinie-Webdienst: Dieser Dienst ermöglicht eine Zertifikatregistrierung, bei der Client-Computer kein Mitglied einer Domäne sind. Der Webdienst verwendet HTTPS, um Informationen zur Zertifikatrichtlinie an Computer weiterzuleiten.

Die Installation der Active Directory-Zertifikatsdienste erfolgt mit einem Assistenten.
Abbildung 1: Die Installation der Active Directory-Zertifikatsdienste erfolgt mit einem Assistenten.

Zertifikatregistrierungs-Webdienst: Stellt einen Webdienst zur Verfügung, der Clients eine Aktualisierung der Zertifikate erlaubt, ohne dass die Computer Mitglied einer Domäne sein müssen.

Zertifizierungsstellen-Webregistrierung: Durch diesen Dienst können Zertifikate über die Webadresse http://<Servername>/certsrv angefordert werden. Hierbei handelt es sich um die Webschnittstelle der Zertifikatdienste.

Zertifizierungsstelle einrichten

Wie bei der Installation von Active Directory, wird nach der Installation der der Einrichtungsassistent über das Wartungssymbol im Server-Manager gestartet.

Nicht installierte Rollendienste sind deaktiviert. Im Rahmen der Einrichtung wird auch der Setup-Typ festgelegt. Hier sollte die Option Unternehmenszertifizierungsstelle ausgewählt werden. Bei dieser Auswahl wird die CA (Zertifizierungsstelle) im Active Directory integriert. Dadurch verteilt die Zertifizierungsstelle das Zertifikat der Zertifizierungsstelle auf allen Servern und Client-Computern im Netzwerk. Als Zertifizierungsstellentyp sollte möglichst eine Stammzertifizierungsstelle ausgewählt werden.

Während der Einrichtung sollte der Setup-Typ
Abbildung 2: Während der Einrichtung sollte der Setup-Typ

Alle Mitgliedcomputer einer Domäne vertrauen einer internen Stammzertifizierungsstelle mit dem Typ Unternehmen automatisch. Das Zertifikat dieser Zertifizierungsstelle wird dazu auf den Client-Computern und Mitgliedsservern in den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen integriert. Damit der Server fehlerfrei Zertifikate ausstellen kann, muss er Mitglied der Gruppe „Zertifikateherausgeber“ sein. Diese Gruppe befindet sich in der OU „Users“.

Eigenständige Zertifizierungsstellen werden dazu verwendet, S/MIME- oder SSL-Zertifikate auszustellen, wenn keine Active-Directory-Unterstützung benötigt wird. Diese Art der Zertifizierungsstellen läuft vollkommen unabhängig vom Active Directory. Eigenständige Zertifizierungsstellen verwenden auch keine Vorlagen und Anwender müssen beim Beantragen von Zertifikaten mehr Informationen angeben, da diese nicht aus dem Active Directory gelesen werden können. Administratoren müssen außerdem jede Anfrage manuell genehmigen.

Abschließen der Einrichtung

Bei der ersten Installation einer Zertifizierungsstelle wird ausgewählt, dass ein neuer privater Schlüssel erstellt werden soll. Im Assistenten wird ausgewählt, mit welcher Verschlüsselung Zertifikate ausgestellt werden sollen. Auch die Bezeichnung für die neue Zertifizierungsstelle wird über den Assistenten festgelegt. Im Anschluss wird die Gültigkeitsdauer für die Zertifikate erstellt.

Nach der Installation können Administratoren über das Verwaltungsprogramm Zertifizierungsstelle im Menü Tools des Server-Managers überprüfen, ob die Installation erfolgreich war. Der Server sollte mit einem grünen Häkchen in der Verwaltungsoberfläche angezeigt werden.

Die Zertifizierungsstelle wurde erfolgreich installiert. Dies kann über das Verwaltungsprogramm Zertifizierungsstelle eingesehen werden.
Abbildung 3: Die Zertifizierungsstelle wurde erfolgreich installiert. Dies kann über das Verwaltungsprogramm Zertifizierungsstelle eingesehen werden.

Wurde bei der Installation noch der Rollendienst Zertifizierungsstellen-Webregistrierung ausgewählt, steht zusätzlich noch die Weboberfläche der Zertifizierungsstelle über den Link http://<Servername>/certsrv zur Verfügung. Diese Webseite sollte sich nach erfolgter Authentifizierung fehlerfrei öffnen lassen. Zusätzlich gibt es das Zusatztool Pkiview, mit dem der allgemeine Zustand der Zertifizierungsstelle überprüft werden kann.

Zertifikate abrufen und verwalten

Auf Servern und Computern können die lokalen Zertifikate des Computers mit dem Tool certlm.msc verwaltet werden. Die Zertifikate des entsprechenden Benutzers werden mit certmgr.msc verwaltet. Über die beiden Tools können auch direkt Zertifikate bei einer Zertifizierungsstelle abgerufen werden, wenn alle beteiligen Computer Mitglied in einem Active Directory sind. Zertifikate auf Webservern können auch direkt im IIS-Manager abgerufen werden. Auch hier steht ein entsprechender Assistent zur Verfügung.

Zertifikate mit Gruppenrichtlinien verteilen

Arbeiten Unternehmen mit den Active-Directory-Zertifikatdiensten und eigenen Vorlagen, können Administratoren über Gruppenrichtlinien Zertifikate automatisiert ausstellen und Anwendern oder Computern zuweisen lassen. Das ist zum Beispiel sinnvoll, wenn die Remotedesktopdienste eingesetzt werden.

Die Einstellungen dazu sind im Bereich Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktopsitzungs-Host\Sicherheit zu finden. Hier muss aber darauf geachtet werden, dass der Name der Zertifikatvorlage mit dem Namen der Zertifikatvorlage in den Einstellungen der Zertifizierungsstelle übereinstimmen muss.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Berechtigungen im Active Directory effizient steuern

Schritt-für-Schritt-Anleitung: Mehr Sicherheit im Active Directory

Best Practices für die Active-Directory-Sicherheit

Erfahren Sie mehr über Identity and Access Management (IAM)

ComputerWeekly.de
Close