Lektion 2: Verwalten und Warten von Zertifikaten und Zertifikatvorlagen 387
Zusammenfassung der Lektion
■ Level-1-Zertifikatvorlagen können Sie zwar nicht ändern, aber dafür in Zertifizie-
rungsstellen verwenden, die unter Windows 2000 Server, Windows Server 2003 oder
Windows Server 2008 betrieben werden. Level-2-Zertifikatvorlagen können Sie nur in
Zertifizierungsstellen
verwenden, die unter Windows Server 2003 oder Windows Server
2008 betrieben werden, und Sie können diese Vorlagen anpassen. Level-3-Zertifikat-
vorlagen eignen sich nur für Windows Server 2008-Zertifizierungsstellen und Sie
können weiterentwickelte Kryptografiemethoden verwenden, wie zum Beispiel ECC
(Elliptic Curve Cryptography).
■ Durch die Konfiguration der Berechtigungen auf den Vorlagen können Sie festlegen,
welche Sicherheitsprinzipale bestimmte Zertifikattypen anfordern oder sich automa-
tisch dafür registrieren lassen können. Sie können auch festlegen, welche Sicherheits-
prinzipale eine bestimmte Vorlage ändern können.
■ Die automatische Registrierung ist eine Methode zur automatischen Ausstellung von
Zertifikaten an Sicherheitsprinzipale, wobei keine Intervention durch den Benutzer
oder durch einen Administrator erforderlich ist.
■ Sie können die Webregistrierung auf einem Computer installieren, auf dem bereits eine
Zertifizierungsstelle betrieben wird, oder auf einem separaten Host. Sie ermöglicht
Clients, die Betriebssysteme von Microsoft oder anderen Herstellern verwenden, Zerti-
fikatanforderungen einzureichen und die ausgestellten Zertifikate abzurufen.
■ Eingeschränkte Registrierungsagenten können für andere Benutzer Zertifikatregistrie-
rungen durchführen. Meistens wird diese Aufgabe von Benutzern übernommen, die
andere Benutzer mit Smartcard-Zertifikaten versorgen müssen.
■ Zertifikatsperrlisten (CRLs) sind Listen, in denen die Zertifikate verzeichnet sind, die
von einer Zertifizierungsstelle gesperrt wurden. Eine Deltasperrliste ist eine Liste, in
der die Zertifikate verzeichnet sind, die seit der Veröffentlichung der letzten Zertifikat-
sperrliste gesperrt wurden.
■ Online-Responder ermöglichen eine Sperrungsprüfung von Zertifikaten, die das Netz-
werk weniger belastet als die herkömmliche Prüfung mit Zertifikatsperrlisten.
Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen über den Stoff aus Lektion 2, „Verwalten
und Warten von Zertifikaten und Zertifikatvorlagen“, überprüfen. Die Fragen finden Sie
(in
englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer
im Rahmen eines Übungstests beantworten.
Hinweis Die Antworten
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt „Antworten“ am Ende dieses Buchs.
388 Kapitel 7: Active Directory-Zertifikatdienste
1. Sie haben gerade auf der Basis der Level-1-Standardzertifikatvorlage Benutzer eine
benutzerdefinierte Level-2-Zertifikatvorlage erstellt. Auf welchem der folgenden
Betriebssysteme können Sie eine Zertifizierungsstelle installieren, in der sich diese
angepasste Vorlage verwenden lässt? (Wählen Sie drei aus. Jede korrekte Antwort
stellt eine vollständige Lösung dar.)
A. Windows 2000 Advanced Server
B. Windows Server 2008 Standard
C. Windows Server 2008 Enterprise
D. Windows Server 2008 Datacenter
E. Windows Server 2003 Enterprise
2. Sie erstellen eine Level-3-Vorlage für das verschlüsselnde Dateisystem (EFS). Diese
Vorlage nennen Sie Erweitertes EFS. Alle bisher von Ihren Unternehmenszertifizie-
rungsstellen ausgestellten EFS-Zertifikate wurden nach der Basis-EFS-Standardzerti-
fikatvorlage von Windows Server 2008 erstellt. Sie möchten sicherstellen, dass alle
künftig von den Unternehmenszertifizierungsstellen ausgestellten EFS-Zertifikate die
neue Level-3-Vorlage verwenden. Wie können Sie das erreichen?
A. Sie konfigurieren die Zertifikatvorlage Erweitertes EFS so, dass das Zertifikat in
den Active Directory-Domänendiensten veröffentlicht wird.
B. Sie konfigurieren die Zertifikatvorlage Erweitertes EFS in den Eigenschaften der
Basis-EFS-Zertifikatvorlage als abgelöste Vorlage.
C. Sie konfigurieren die Zertifikatvorlage Basis-EFS so, dass das Zertifikat in den
Active Directory-Domänendiensten veröffentlicht wird.
D. Sie konfigurieren die Zertifikatvorlage Basis-EFS in den Eigenschaften der Zerti-
fikatvorlage Erweitertes EFS als abgelöste Vorlage.
3. Rooslan arbeitet in Ihrer Organisation in der Personalabteilung. Sie geben Smartcards
für die Benutzerauthentifizierung aus und möchten, dass Rooslan in der Lage ist, für
neue Angestellte Benutzerzertifikate anzufordern. Was müssen Sie im Rahmen der
Vorbereitungen dafür tun?
A. Sie weisen Rooslans Konto die Rolle des Zertifikatmanagers zu.
B. Sie stellen ein Registrierungs-Agent-Zertifikat für Rooslan aus.
C. Sie weisen Rooslans Konto die Rolle des Zertifizierungsstellenadministrators zu.
D. Sie weisen Rooslans Konto die Rolle des Zertifizierungsstellenprüfers zu.
4. Sie haben eine erweiterte Computerzertifikatvorlage erstellt und bearbeiten die Sicher-
heitseinstellungen der Vorlage, damit die Gruppe Sichere_Workstations über die Be-
rechtigungen Registrieren und Automatisch registrieren verfügt. Zu dieser Gruppe
fügen Sie die Computerkonten von 20 Computern hinzu und veröffentlichen auf der
Unternehmenszertifizierungsstelle Ihrer Organisation die erweiterte Computerzerti-
fikatvorlage. Bei einer späteren Überprüfung stellen Sie fest, dass für keinen der
20 Computer ein Zertifikat ausgestellt wurde. Mit welchem der folgenden Schritte
können Sie das Problem beheben?
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
