Lektion 2: Verwalten und Warten von Zertifikaten und Zertifikatvorlagen 379
Weitere Informationen Zertifikatvorlagen
Weitere Informationen über die Implementierung und Verwaltung von Zertifikatvorlagen
finden Sie unter dem TechNet-Link http://technet.microsoft.com/en-us/library/cc731256.
aspx.
Verwalten der Registrierung
Registrierung nennt man den Vorgang, durch den Benutzer und Computer zu den gewünsch-
ten Zertifikaten kommen. Bisher konnte man auf zwei Arten Zertifikate anfordern, nämlich
mit der Zertifikate-Konsole und durch eine Webregistrierung. In der Zertifikate-Konsole
können Sie den Zertifikatregistrierungs-Assistenten starten. Der Assistent zeigt eine Liste
aller Zertifikatvorlagen (aller Zertifikattypen) an, die für den Sicherheitsprinzipal in Frage
kommen (Abbildung 7.24). Sie können die Zertifikate-Konsole für Ihr Benutzerkonto ver-
wenden, für ein Dienstkonto oder ein Computerkonto, wobei sich die Liste der verfügbaren
Zertifikatvorlagen nach dem Kontext richtet, in dem der Assistent ausgeführt wird. Von der
Webregistrierung wird im Verlauf dieser Lektion noch ausführlicher die Rede sein.
Abbildung 7.24 Der Zertifikatregistrierungs-Assistent
Automatische Registrierung
Sie können Zertifikate zwar mit der Zertifikate-Konsole anfordern, aber dieser Vorgang ist
für nichttechnisches Personal sehr umständlich und wohl relativ schwer zu verstehen. Eine
automatische Registrierung versetzt Sie in die Lage, Benutzer, Computer und Dienste aus
Ihrer Organisation weitgehend automatisch mit Zertifikaten zu versorgen. Bei diesem Vor-
gang ist die Menge der erforderlichen Benutzereingaben auf ein Minimum beschränkt, was
die Bereitstellung von Zertifikaten wesentlich vereinfacht.
Wenn Sie eine automatische Registrierung verwenden wollen, müssen Sie die gewünschten
Zertifikatvorlagen entsprechend konfigurieren. Nur Level-2- und Level-3-Zertifikatvorlagen
eignen sich für die automatische Registrierung. Um eine Vorlage für die automatische Re-
gistrierung zu konfigurieren, ändern Sie im Eigenschaftsdialogfeld der Zertifikatvorlage die
380 Kapitel 7: Active Directory-Zertifikatdienste
Berechtigungen auf der Registerkarte Sicherheit, wobei Sie den gewünschten Benutzer- oder
Gruppenkonten die Berechtigung Automatisch registrieren geben. In Abbildung 7.25 verfügt
zum Beispiel die Gruppe Accountants über die Berechtigung Automatisch registrieren für
die (benutzerdefinierte) Zertifikatvorlage Erweiterter Benutzer.
Abbildung 7.25 Konfigurieren der automatischen Registrierung in der Zertifikatvorlage
Abbildung 7.26 Die Gruppenrichtlinie für die automatische Registrierung
Nach der Konfiguration der Zertifikatvorlage für die automatische Registrierung müssen
Sie auch die Standarddomänenrichtlinien für alle Domänen aus Ihrer Gesamtstruktur für die
automatische
Registrierung konfigurieren. Zu diesem Zweck konfigurieren Sie die Richtlinie
Zertifikatdiensteclient – automatische Registrierung (Abbildung 7.26). Diese Richtlinie ist
Lektion 2: Verwalten und Warten von Zertifikaten und Zertifikatvorlagen 381
in den beiden Zweigen Computerkonfiguration und Benutzerkonfiguration eines Gruppen-
richtlinienobjekts verfügbar. Welche der Richtlinien Sie aktivieren müssen, hängt von der
Art der Zertifikate ab, die automatisch bereitgestellt werden sollen. Sie können die Richt-
linie für die automatische Registrierung auch dazu verwenden, um abgelaufene Zertifikate
oder Zertifikate, die nach abgelaufenen Vorlagen erstellt wurden, automatisch zu erneuern.
Außerdem ist es bei der Konfiguration der Richtlinie für Benutzerzertifikate möglich, die
Anzeige von Ablaufbenachrichtigungen zu konfigurieren.
Weitere Informationen Konfigurieren der automatischen Zertifikatregistrierung
Weitere Informationen über die Konfiguration der automatischen Registrierung finden Sie in
dem TechNet-Dokument http://technet.microsoft.com/de-de/library/cc731522.aspx.
Webregistrierung
Wenn Benutzer Zertifikatanforderungen mit einer Webanwendung einsenden können sollen,
beispielsweise mit Microsoft Internet Explorer 6.x oder höher, können Sie die Webregistrie-
rung konfigurieren. Die Webregistrierung ermöglicht es den Benutzern, Zertifikate anzu-
fordern, den Bearbeitungsstatus bestehender Anforderungen zu überprüfen, Zugriff auf die
Zertifikatsperrliste und die Deltasperrliste zu erhalten und Zertifikate für Smartcards anzu-
fordern. Zudem können Sie mit der Webregistrierung einen Zertifikatanforderungsmecha-
nismus für Benutzer und Computer anbieten, die nicht Mitglieder einer Active Directory-
Umgebung sind. Außerdem bietet die Webregistrierung Benutzer von Nicht-Microsoft-Be-
triebssystemen die Möglichkeit, Zertifikate anzufordern. Benutzer anderer Browser müssen
zuerst eine PKCS #10-Zertifikatanforderung erstellen und diese Anforderung dann an die
Webregistrierungsanwendung übermitteln. Nach der Bearbeitung der Anforderung kann der
Benutzer wieder eine Verbindung mit der Webregistrierungsanwendung herstellen und die
ausgestellten Zertifikate herunterladen und installieren.
Damit ein Server die Webregistrierung bieten kann, installieren Sie den Rollendienst Zertifi-
zierungsstellen-Webregistrierung. Diesen Rollendienst können Sie auf demselben Computer
installieren, auf dem bereits die Zertifizierungsstelle betrieben wird, oder auf einem separa-
ten Host. Wenn Sie die Webregistrierung auf dem Computer installieren, auf dem die Zerti-
fizierungsstelle installiert ist, konfiguriert der Assistent den Rollendienst automatisch so,
dass er die lokale Zertifizierungsstelle unterstützt. Wird der Rollendienst auf einem separa-
ten Host installiert, müssen Sie zusätzliche Angaben machen, um die Webanwendung mit
der Zertifizierungsstelle zu verknüpfen. Die Webregistrierung lässt sich zwar auf einer Un-
ternehmenszertifizierungsstelle installieren, aber sie lässt sich nicht für Version-3-Zertifikat-
vorlagen verwenden. Außerdem können Sie mit der Webregistrierung keine Computerzerti-
fikate von einer Windows Server 2008-Zertifizierungsstelle anfordern.
Weitere Informationen Konfigurieren der Webregistrierung
Weitere Informationen über die Konfiguration der Webregistrierung für Windows Server
2008-Zertifizierungsstellen finden Sie unter dem TechNet-Link http://technet.microsoft.com/
de-de/library/cc732895.aspx.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
