Lektion 1: Verwalten und Warten von Zertifikatservern 365
Zusammenfassung der Lektion
■ Unternehmenszertifizierungsstellen sind eng in die Active Directory-Domänendienste
integriert. Sie können benutzerdefinierte Zertifikatvorlagen verwenden und auf die
automatische Registrierung von Zertifikaten konfiguriert werden. Eigenständige Zer-
tifizierungsstellen können keine benutzerdefinierten Zertifikatvorlagen verwenden und
die Daten für Zertifikatanforderungen müssen von Hand eingegeben werden, da sie
nicht automatisch von den Active Directory-Domänendiensten abgerufen werden.
■ Sie können eine eigenständige Stammzertifizierungsstelle vom Netz nehmen und in
einem gesicherten Raum unterbringen. Eine Unternehmens-Stammzertifizierungsstelle
können Sie dagegen nicht vom Netz nehmen. Eine Unternehmenszertifizierungsstelle
kann einer eigenständigen Stammzertifizierungsstelle untergeordnet sein.
■ Eine Schlüsselarchivierung müssen Sie auf der Zertifizierungsstelle und in einer Zerti-
fikatvorlage konfigurieren. Sie können einem Benutzer die Rolle eines Schlüsselwie-
derherstellungs-Agenten zuweisen, indem Sie ein Zertifikat des Typs Schlüsselwieder-
herstellungs-Agent für ihn ausstellen.
■ Sie können die Zertifikatdienste mit einer normalen Systemstatussicherung sichern,
mit
der Konsole Zertifizierungsstelle oder mit dem Befehlszeilenprogramm Certutil.exe.
■ Die Rolle des Zertifikatmanagers erlaubt es den Benutzern, denen diese Rolle zuge-
wiesen wurde, Zertifikate auszustellen und zu verwalten. Die Rolle des Zertifizie-
rungsstellenadministrators ermöglicht es den betreffenden Benutzern, die Active
Directory-Zertifikatdienste zu starten und zu beenden, Erweiterungen zu konfigu-
rieren, Rollen zuzuweisen und Schlüsselwiederherstellungs-Agenten zu definieren.
Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen über den Stoff aus Lektion 1, „Verwalten
und Warten von Zertifikatservern“, überprüfen. Die Fragen finden Sie (in englischer Spra-
che) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen
eines Übungstests beantworten.
Hinweis Die Antworten
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt „Antworten“ am Ende dieses Buchs.
1. Sie planen in Ihrer Gesamtstruktur, die auf der Funktionsebene Windows Server 2008
betrieben wird, die Bereitstellung der Active Directory-Zertifikatdienste. Sie möchten
die Stammzertifizierungsstelle von Netz nehmen können und die Zertifikatdienste
trotzdem in die Active Directory-Domänendienste integrieren. Welche der folgenden
Var ia nt en
würden Sie für die erste Zertifizierungsstelle in Ihrer Organisation empfehlen?
A. Unternehmens-Stammzertifizierungsstelle
B. Untergeordnete Unternehmenszertifizierungsstelle
C. Eigenständige Stammzertifizierungsstelle
D. Eigenständige untergeordnete Zertifizierungsstelle
366 Kapitel 7: Active Directory-Zertifikatdienste
2. Auf welchen der folgenden Versionen von Windows Server 2008 können Sie eine
untergeordnete Unternehmenszertifizierungsstelle installieren?
A. Windows Web Server 2008
B. Windows Server 2008 Standard
C. Windows Server 2008 Enterprise
D. Windows Server 2008 Datacenter
3. Sie möchten in Ihrer Organisation eine Schlüsselarchivierung implementieren. Zwei
Benutzer sollen für die Wiederherstellung von privaten Schlüsseln aus der Datenbank
des Zertifikatservers zuständig sein. Was müssen Sie tun, damit diese Benutzer archi-
vierte Schlüssel wiederherstellen können?
A. Sie stellen den Benutzern ein Zertifikat mit der Objektkennung (OID, Object
Identifier) Schlüsselwiederherstellungs-Agent aus.
B. Sie stellen den Benutzern ein Zertifikat mit der OID Registrierungs-Agent aus.
C. Sie stellen den Benutzern ein Zertifikat mit der OID Untergeordnete Zertifizie-
rungsstelle aus.
D. Sie stellen den Benutzern ein Zertifikat mit der OID EFS-Wiederherstellungs-
Agent aus.
E. Sie stellen den Benutzern ein Zertifikat mit der OID OCSP-Antwortsignatur aus.
4. Ihre Zertifizierungsstellenhierarchie besteht aus einer eigenständigen Offline-Stamm-
zertifizierungsstelle mit drei untergeordneten Unternehmenszertifizierungsstellen.
Sie haben gerade auf der eigenständigen Stammzertifizierungsstelle die Active Direc-
tory-Zertifikatdienste installiert. Welche der folgenden Arbeitsschritte müssen Sie
erledigen, bevor Sie Signaturzertifikate für die untergeordneten Unternehmenszerti-
fizierungsstellen ausstellen? (Wählen Sie vier aus. Jede korrekte Antwort ist Teil der
vollständigen Lösung.)
A. Anpassen der Sperrlisten-Verteilungspunkt-URL
B. Anpassen der AIA-Verteilungspunkt-URL
C. Hinzufügen des Zertifikats der eigenständigen Stammzertifizierungsstelle zum
Unternehmensstammspeicher in den Active Directory-Domänendiensten
D. Umstellen der eigenständigen Stammzertifizierungsstelle in den Offline-Modus
E. Konfigurieren der AIA-Punkte in den Active Directory-Domänendiensten mit
Certutil.exe
5. Sie möchten sicherstellen, dass die Gruppe SSLZertManager die einzige Gruppe ist,
die mit der Zertifikatvorlage Webserver von einer bestimmten ausstellenden Zertifizie-
rungsstelle Zertifikate ausstellen kann. Wenn Sie auf der betreffenden Zertifizierungs-
stelle
auf die Registerkarte Zertifikatverwaltungen wechseln, wird die Gruppe SSLZert-
Manager nicht in der Liste der Zertifikatmanager aufgeführt. Was müssen Sie tun, um
dieses Problem zu lösen?
Lektion 1: Verwalten und Warten von Zertifikatservern 367
A. Sie weisen der Gruppe SSLZertManager auf der Registerkarte Sicherheit des
Eigenschaftsdialogfelds der Zertifizierungsstelle die Berechtigung Zertifikate
anfordern zu.
B. Sie weisen der Gruppe SSLZertManager auf der Registerkarte Sicherheit des
Eigenschaftsdialogfelds der Zertifizierungsstelle die Berechtigung Zertifizie-
rungsstelle verwalten zu.
C. Sie weisen der Gruppe SSLZertManager auf der Registerkarte Sicherheit des
Eigenschaftsdialogfelds der Zertifizierungsstelle die Berechtigung Zertifikate
ausstellen und verwalten zu.
D. Sie bearbeiten die Eigenschaften der Webserver-Zertifikatvorlage. Sie weisen
der Gruppe SSLZertManager für diese Vorlage die Berechtigung Lesen zu.
E. Sie bearbeiten die Eigenschaften der Webserver-Zertifikatvorlage. Sie weisen
der Gruppe SSLZertManager für diese Vorlage die Berechtigung Schreiben zu.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
