368 Kapitel 7: Active Directory-Zertifikatdienste
Lektion 2: Verwalten und Warten von Zertifikaten
und Zertifikatvorlagen
Diese Lektion behandelt die Sperrung von Zertifikaten, einschließlich der Veröffentlichung
von Zertifikatsperrlisten und die Konfiguration von Online-Respondern, sowie die verschie-
denen Registrierungsmethoden, wie Webregistrierung und automatische Registrierung. In
dieser Lektion werden auch Zertifikatvorlagen besprochen. Sie ermöglichen Ihnen die Er-
stellung von weiterentwickelten digitalen Zertifikaten, die für Ihre Organisation vielleicht
besser geeignet sind als die Standardzertifikatvorlagen, die mit Windows Server 2008 aus-
geliefert werden.
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
■ Verwalten von Zertifikatsperrungen und Konfigurieren von Online-Respondern
■ Verwalten von Zertifikatvorlagen
■ Verwalten und Automatisieren von Zertifikatregistrierungen
Veranschlagte Zeit für diese Lektion: 40 Minuten
Verwalten und Warten von Zertifikatsperrlisten
Bei Zertifikatsperrlisten handelt es sich, wie die Bezeichnung schon andeutet, um Listen,
in denen gesperrte Zertifikate verzeichnet sind. Sie vertrauen einem Zertifikat, das von einer
bestimmten Zertifizierungsstelle ausgestellt wurde, weil sie der Zertifizierungsstelle vertrau-
en, die das Zertifikat ausgestellt hat und ihre Arbeitsweise in ihrem Regelwerk beschreibt.
Würden Sie der Zertifizierungsstelle nicht vertrauen, dann würden Sie auch keinem von die-
ser Zertifizierungsstelle ausgestellten Zertifikat vertrauen. Aus einer Zertifikatsperrliste geht
nun hervor, welche von der Zertifizierungsstelle ausgestellten Zertifikate von ihr selbst nicht
mehr als vertrauenswürdig eingestuft werden. Es gibt viele Gründe, weswegen Zertifikate in
einer Zertifikatsperrliste geführt werden können. Vielleicht wurde zum Beispiel ein für eine
untergeordnete Zertifizierungsstelle ausgestelltes Zertifikat gesperrt, weil die Sicherheits-
maßnahmen der untergeordneten Zertifizierungsstelle überwunden wurden und die Zertifi-
zierungsstelle deshalb als nicht mehr vertrauenswürdig eingestuft wird. Die wichtigste Aus-
sage für ein Zertifikat, das in einer Zertifikatsperrliste geführt wird, lautet aber: „Dieses
Zertifikat ist nicht länger vertrauenswürdig.“
Jedes Mal, wenn ein neues Zertifikat geprüft oder ein vorhandenes verwendet wird, wird
überprüft, ob das Zertifikat in der Zertifikatsperrliste der ausstellenden Zertifizierungsstelle
geführt wird. Ist die Zertifizierungsstelle Teil einer Hierarchie, wird außerdem überprüft, ob
die übergeordnete Zertifizierungsstelle, die das Signaturzertifikat ausgestellt hat, immer
noch der Zertifizierungsstelle vertraut, von der das zu überprüfende Zertifikat stammt. Man
sollte einfach keinem Zertifikat trauen, das von einer nicht vertrauenswürdigen Zertifizie-
rungsstelle stammt! Wo die Zertifikatsperrliste zu finden ist, ist im Zertifikat verzeichnet.
Daher weiß die Software, die die Sperrungsprüfung durchführt, wo sie die erforderlichen
Informationen finden kann. Der Ort, an dem die Zertifikatsperrlisten verfügbar sind, hat
einen besonderen Namen: Es ist der Sperrlisten-Verteilungspunkt. Sie können für dieselbe
Zertifizierungsstelle mehrere Sperrlisten-Verteilungspunkte einrichten.