352 Kapitel 7: Active Directory-Zertifikatdienste
4. Veröffentlichen Sie die Zertifikatsperrliste. Exportieren Sie das Zertifizierungsstellen-
zertifikat. Machen Sie die Zertifikatsperrliste und das Zertifizierungsstellenzertifikat
an allen Sperrlisten-Verteilungspunkten verfügbar. Nun können Sie die eigenständige
Stammzertifizierungsstelle herunterfahren.
5. Wenn Sie mit den Active Directory-Domänendiensten eine PKI aufbauen, veröffent-
lichen Sie das Zertifizierungsstellenzertifikat im Unternehmensstammspeicher und das
Zertifikat an den AIA-Verteilungspunkten. Verwenden Sie Certutil.exe.
6. Wenn Sie untergeordnete Unternehmenszertifizierungsstellen einrichten oder eigen-
ständige untergeordnete Zertifizierungsstellen, speichern Sie die erforderlichen Zerti-
fikatanforderungen auf einem geeigneten Wechselmedium oder auswechselbaren Spei-
chergerät, fahren die eigenständige Stammzertifizierungsstelle hoch, bearbeiten die
Anforderung manuell und fahren die eigenständige Stammzertifizierungsstelle wieder
herunter.
Weitere Informationen Mehr über Offline-Stammzertifizierungsstellen
Weitere Informationen über den Aufbau einer Zertifizierungsstellenhierarchie mit einer Off-
line-Stammzertifizierungsstelle finden Sie in dem TechNet-Dokument http://technet.
microsoft.com/de-de/library/cc737834.aspx.
Offline-Stammzertifizierungsstellen sind nicht zwangsläufig erforderlich. Viele Unterneh-
men, die die Active Directory-Zertifikatdienste bereitstellen, verwenden eine Unternehmens-
Stammzertifizierungsstelle, weil sie einfacher einzurichten ist als die eigenständige Offline-
Alternative.
Zertifikatverwendungserklärungen
Eine Zertifikatverwendungserklärung ist ein Richtliniendokument, das beschreibt, wie eine
Zertifizierungsstelle Zertifikate ausstellt. Gewöhnlich werden Zertifikatverwendungserklä-
rungen von Ausschüssen erstellt, zu denen Systemadministratoren und die Rechtsabteilung
der Organisation gehören. Zertifikatverwendungserklärungen werden zusammen mit Zertifi-
katrichtlinien entwickelt. Eine Zertifikatrichtlinie ist ein formales Dokument, das die Zerti-
fikate beschreibt, die von der Zertifizierungsstelle ausgestellt werden, und die Verantwort-
lichkeiten der Organisation nennt, die diese Zertifizierungsstelle verwaltet. Dazu gehören
gewöhnlich Angaben darüber, unter welchen Bedingungen ein Zertifikat ausgestellt werden
kann, wie die Registrierung und die Ausstellung erfolgt und welche rechtlichen Verpflich-
tungen für alle beteiligten Parteien bestehen. Zertifikatverwendungserklärungen und Richt-
linien brauchen gewöhnlich nicht so hohe formale Ansprüche zu erfüllen, wenn Ihre Organi-
sation keine Zertifikate für Personen, Organisationen oder Geräte ausstellt, die nicht zur
Organisation gehören. Stellt Ihre Zertifizierungsstelle beispielsweise nur Zertifikate für die
IPSec-Netzwerkzugriffsschutzerzwingung aus, dürfte dies wohl kaum ein Fall für die
Rechtsabteilung sein. Ziehen Sie die Erstellung von Zertifikatverwendungserklärungen und
Zertifikatrichtlinien in Betracht, wenn sich rechtliche Probleme oder Haftungsverpflichtun-
gen ergeben, falls die CA ihre Vertrauenswürdigkeit verliert oder missbraucht wird. Ent-
wickeln Sie diese Richtliniendokumente in solchen Fällen noch vor der Bereitstellung der
Zertifizierungsstellenhierarchie in einer verbindlichen Form.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
