Fordern Sie ein Zertifikat bei der Zertifizierungsstelle an
Generieren Sie ein Zertifikat über die Zertifikatskonsole
In diesem Teil erfahren Sie, wie Sie ein Zertifikat von der MMC-Zertifikatkonsole eines Computers anfordern, der Mitglied der Active Directory-Domäne ist. Das verwendete Konto ist Mitglied der Gruppe „Domänen-Admins“.
Zur Veranschaulichung des Tutorials generieren wir ein Computerzertifikat, das für Remotedesktopverbindungen verwendet wird.
Gehen Sie auf der Konsole zum persönlichen Ordner 1 und klicken Sie mit der rechten Maustaste in den zentralen Bereich, gehen Sie zu Alle Aufgaben 2 und klicken Sie auf Neues Zertifikat anfordern 3.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie das Zertifikatsmodell Computer 1 aus und klicken Sie dann auf Registrierung 2.
Das Zertifikat wurde generiert. Klicken Sie auf Fertig stellen 1.
Das Zertifikat ist ab sofort im Shop erhältlich.
Kopieren Sie es und fügen Sie es ein, um es im Remote Desktop 1-Speicher abzulegen, und löschen Sie das selbstsignierte Zertifikat vom Server.
Das von der Zertifizierungsstelle generierte Zertifikat kann über die Verwaltungskonsole im Ordner „Ausgestellte Zertifikate“ angezeigt werden.
Um das Zertifikat nutzen zu können, müssen Sie diese Bestellung aufgeben :wmic /namespace:\rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<certificate thumbprint>"
Fordern Sie ein Zertifikat von IIS an
In diesem Teil erfahren Sie, wie Sie mithilfe der IIS-Konsole ein Domänenzertifikat anfordern. Um Kontakt mit der Unternehmenszertifizierungsstelle aufzunehmen, muss der Server Mitglied der Domäne sein.
Klicken Sie in der IIS-Konsole eines Servers auf Serverzertifikate 1.
Klicken Sie mit der rechten Maustaste in den Bereich „Zertifikate“ und klicken Sie auf „Domänenzertifikat erstellen 1“ oder gehen Sie über das Menü „Aktionen“.
Geben Sie die Zertifikatsinformationen 1 ein. Der allgemeine Name enthält die Adresse, die identifiziert werden soll. Es ist möglich, ein Zertifikat für eine andere Domäne zu erstellen. Klicken Sie auf Weiter 2.
Sie müssen nun die Zertifizierungsstelle des Unternehmens auswählen und auf „Auswählen 1“ klicken.
Wählen Sie Autorität 1 und klicken Sie auf OK 2.
Geben Sie bei ausgewählter Autorität den serverfreundlichen Namen 1 ein und klicken Sie auf „Fertig stellen“ 2.
Das Zertifikat 1 wird generiert und ist in IIS verfügbar.
Das Zertifikat ist auch im Speicher für ausgestellte Zertifikate der Zertifizierungsstelle verfügbar.
Stellen Sie eine personalisierte Zertifikatsanforderung
Nachdem wir nun gesehen haben, wie man Zertifikatsanfragen für Computer und Websites in IIS stellt, sehen wir uns nun an, wie man eine benutzerdefinierte Zertifikatsanfrage mit mehreren DNS-Namen und IP-Adressen stellt.
Wechseln Sie in der Zertifikatskonsole eines Domänenmitgliedscomputers zum Ordner „Persönlich/Zertifikate“ 1. Klicken Sie mit der rechten Maustaste in den Anzeigebereich, gehen Sie zu „Alle Aufgaben“ 2 / „Erweiterte Vorgänge“ 3 und klicken Sie auf „Benutzerdefinierte Anfrage erstellen“ 4.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie die Active Directory-Registrierungsrichtlinie 1 aus und klicken Sie dann auf Weiter 2.
Wählen Sie das Modell 1 (Webserver) und klicken Sie auf Weiter 2.
Eine Zusammenfassung des Zertifikatsmodells wird angezeigt. Klicken Sie auf Eigenschaften 1.
Konfigurieren Sie den allgemeinen Namen des Zertifikats 1 und klicken Sie auf Hinzufügen 2.
Nachdem der allgemeine Name hinzugefügt wurde, wählen Sie im Abschnitt „Alternativer Name 1“ den DNS-Typ 2 aus, geben Sie den gewünschten Namen 3 ein und klicken Sie auf „Hinzufügen“ 4.
Wie Sie unten sehen können, ist es möglich, mehrere DNS-Namen hinzuzufügen. Wir fügen nun eine IP-Adresse hinzu, wählen den Typ IP-Adresse (v4) 1, geben die IP-Adresse 2 an und klicken auf Hinzufügen 3.
Nachdem die IP-Adresse hinzugefügt wurde, klicken Sie auf „Übernehmen“ 1 und „OK“ 2, um die Zertifikatsinformationen zu validieren.
Klicken Sie auf Weiter 1, um die Anfrage fortzusetzen.
Geben Sie den Speicherort und den Namen der Datei 1 (CSR) an, um die Anfrage zu speichern, und klicken Sie auf Fertig stellen 2.
Die Anforderungsdatei wurde generiert. Jetzt müssen Sie die Anforderung an die Unternehmenszertifizierungsstelle senden. Öffnen Sie einen Internetbrowser und geben Sie die URL http://servername/certsrv/ 1 ein. Klicken Sie auf den Link „Zertifikat anfordern“ 2.
Klicken Sie auf erweiterte Zertifikatsanforderung 1.
Öffnen Sie die Abfragedatei mit einem Testeditor und kopieren Sie die Zeichenfolge 1.
Fügen Sie die Anfrage 1 in das Feld „Gespeicherte Anfrage“ ein, wählen Sie die Vorlage 2 und klicken Sie auf Senden 3.
Rufen Sie das Zertifikat ab, indem Sie auf Zertifikat herunterladen 1 klicken.
Kehren Sie zur Zertifikatskonsole zurück, gehen Sie zu Zertifikatsregistrierungsanfrage 1 / Zertifikate 2, klicken Sie mit der rechten Maustaste darauf und dann auf Alle Aufgaben 3 / Importieren 4.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie das heruntergeladene Zertifikat 1 aus und klicken Sie auf Weiter 2.
Verlassen Sie den Shop und klicken Sie auf Weiter 1.
Klicken Sie auf Fertig stellen 1, um den Import abzuschließen.
Das Zertifikat wird generiert und wir sehen, dass es von der Zertifizierungsstelle des Unternehmens ausgestellt wurde.
Sie können das Store-Zertifikat jetzt auf „Persönlich“ verschieben.
Es ist standardmäßig nicht möglich, das Zertifikat mit seinem privaten Schlüssel zu exportieren. Sie müssen das Modell ändern.