374 Kapitel 7: Active Directory-Zertifikatdienste
Zur Verwaltung des Rollendienstes Online-Responder verwenden Sie die Konsole Online-
Responderverwaltung (Abbildung 7.17). Mit dieser Konsole können Sie für jede Zertifizie-
rungsstelle, für die der Online-Responder zuständig ist, Sperrkonfigurationen erstellen.
Eine Sperrkonfiguration umfasst alle Informationen, die erforderlich sind, um Anfragen von
Clients über Zertifikate zu beantworten, die von einer bestimmten Zertifizierungsstelle aus-
gestellt wurden. Es ist wichtig, dass ein Online-Responder über einen Schlüssel und ein
Signaturzertifikat für jede Zertifizierungsstelle verfügt, die er unterstützt.
Weitere Informationen Zertifikatsperrungen und Online-Responder
Eine ausführlichere Beschreibung der Zertifikatsperrung und des Rollendienstes Online-
Responder finden Sie in Kapitel 10, „Sperrung von Zertifikaten“, des Buchs Windows Server
2008 – PKI- und Zertifikat-Sicherheit von Brian Komar (Microsoft Press, 2008).
Schnelltest
1. Was ist der Unterschied zwischen einer Zertifikatsperrliste und einer Deltasperrliste?
2. Mit welchen Arten von Adressen können Sie CDPs (Sperrlisten-Verteilungspunkte)
angeben?
Antworten zum Schnelltest
1. In einer Zertifikatsperrliste sind alle gesperrten Zertifikate verzeichnet. In einer
Deltasperrliste sind nur die Zertifikate verzeichnet, die seit der Veröffentlichung der
letzten vollständigen Zertifikatsperrliste gesperrt wurden.
2. CDPs können mit HTTP-, FTP- und LDAP-Adressen angegeben werden, und mit
einer Kombination von Datei und Ordner.
Verwalten von Zertifikatvorlagen
Zertifikatvorlagen definieren das Format und den Inhalt von Zertifikaten, die von Unter-
nehmenszertifizierungsstellen ausgestellt werden. Die Zertifikatvorlage legt fest, welche
Benutzer- oder Computerkonten sich für ein Zertifikat registrieren lassen können und wel-
cher Registrierungsvorgang zulässig ist (automatisch, manuell oder eine Registrierung mit
autorisierten
Zertifikaten). Mit jeder Zertifikatvorlage ist eine Zugriffssteuerungsliste (Discre-
tionary Access Control List. DACL) verknüpft, in der festgelegt ist, welche Benutzer und
Gruppen über die Berechtigung verfügen, die Vorlage zu verwenden oder zu konfigurieren.
Zertifikatvorlagen werden in den Active Directory-Domänendiensten gespeichert. Ände-
rungen an einer Vorlage werden über das Verzeichnis auf alle Unternehmenszertifizierungs-
stellen der Gesamtstruktur repliziert. Nur die Enterprise- und Datacenter-Versionen von
Windows Server 2003 und Windows Server 2008 unterstützen benutzerdefinierte Zertifikat-
vorlagen.
Windows Server 2008 wird zwar mit einer Reihe von Zertifikatvorlagen ausgeliefert, die Sie
für Ihre Zwecke verwenden können, aber vielleicht stimmen die Konfigurationen der Zer-
tifikatvorlagen nicht genau mit dem überein, was Sie in Ihrer Umgebung an Zertifikaten
brauchen. Um die Anforderungen Ihrer Organisation genauer zu erfüllen, können Sie eigene
Zertifikatvorlagen erstellen.
Lektion 2: Verwalten und Warten von Zertifikaten und Zertifikatvorlagen 375
Zertifikatvorlagen gibt es in drei Versionen, von denen Sie zwei für die Verwendung in Win-
dows Server 2008 Enterprise erstellen können. Version-1-Vorlagen sind in Zertifizierungs-
stellen anwendbar, die unter Windows 2000 Server, Windows Server 2003 oder Windows
Server 2008 betrieben werden. Eine Version-1-Vorlage können Sie weder entfernen noch
ändern. Wenn Sie aber von einer Version-1-Vorlage ein Duplikat erstellen, liegt dieses Du-
plikat wahlweise als Version-2- oder Version-3-Vorlage vor, an der Sie Änderungen vorneh-
men können. Sie können Version-2-Vorlagen bearbeiten und die Vorlagen lassen sich auf
Zertifizierungsstellen
verwenden, die unter Windows Server 2003 und Windows Server 2008
Enterprise und Datacenter betrieben werden. Version-3-Zertifikatvorlagen unterstützen die
Features
von Windows Server 2008, wie CNG (Cryptography Next Generation), und Suite B-
Kryptografiealgorithmen wie beispielsweise ECC (Elliptic Curve Cryptography). Version-3-
Zertifikatvorlagen können Sie nur in Unternehmenszertifizierungsstellen verwenden, die
unter Windows Server 2008 betrieben werden.
Zur Erstellung einer neuen Zertifikatvorlage stellen Sie zuerst ein Duplikat von einer vor-
handenen Zertifikatvorlage her, die am besten zu dem Verwendungszweck der neuen Vor-
lage passt. Wollen Sie zum Beispiel ein weiterentwickeltes EFS-Zertifikat erstellen, dupli-
zieren Sie die EFS-Zertifikatvorlage. Beim Duplizieren der Vorlage werden Sie gefragt, ob
die Vorlage auch für Zertifizierungsstellen vorgesehen ist, die unter Windows Server 2003
Enterprise betrieben werden, oder ob mindestens Windows Server 2008 Enterprise verwen-
det werden muss (Abbildung 7.18).
Abbildung 7.18 Auswählen der Vorlagenkompatibilität
Nachdem Sie festgelegt haben, welches Betriebssystem mindestens verwendet werden muss,
geben Sie der Vorlage einen Namen. Ist dieser Name einmal festgelegt, können Sie ihn nicht
mehr ändern. Auf der Registerkarte Allgemein des Eigenschaftsdialogfelds der Zertifikatvor-
lage können Sie die Gültigkeitdauer des Zertifikats festlegen, den Erneuerungszeitraum, ob
Zertifikate in den Active Directory-Domänendiensten veröffentlicht werden sollen, ob eine
automatische Registrierung erfolgen soll, falls in den Active Directory-Domänendiensten
bereits ein gültiges Zertifikat vorhanden ist, und ob für die automatische Erneuerung von
Smartcard-Zertifikaten der vorhandene Schlüssel verwendet werden soll, falls kein neuer
Schlüssel erstellt werden kann. Abbildung 7.19 zeigt diese Einstellungen.
Auf der Registerkarte Anforderungsverarbeitung (Abbildung 7.20) können Sie den Zweck
eines Zertifikats festlegen. Verfügbar sind die Einstellungen Signatur und Verschlüsselung,
Verschlüsselung, Signatur sowie Signatur und Smartcard-Anmeldung. Wenn Sie für diesen
Zertifikattyp in Ihrer Umgebung eine Schlüsselwiederherstellung ermöglichen wollen, akti-
vieren Sie die Option Privaten Schlüssel für die Verschlüsselung archivieren. Das ermöglicht
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
