Enterprise Certification Authority – ADCS: Installation und Konfiguration mit Windows Server


Windows Server 2022

Fordern Sie ein Zertifikat bei der Zertifizierungsstelle an

Generieren Sie ein Zertifikat über die Zertifikatskonsole

In diesem Teil erfahren Sie, wie Sie ein Zertifikat von der MMC-Zertifikatkonsole eines Computers anfordern, der Mitglied der Active Directory-Domäne ist. Das verwendete Konto ist Mitglied der Gruppe „Domänen-Admins“.

Zur Veranschaulichung des Tutorials generieren wir ein Computerzertifikat, das für Remotedesktopverbindungen verwendet wird.

Gehen Sie auf der Konsole zum persönlichen Ordner 1 und klicken Sie mit der rechten Maustaste in den zentralen Bereich, gehen Sie zu Alle Aufgaben 2 und klicken Sie auf Neues Zertifikat anfordern 3.

Request certificate

Klicken Sie beim Starten des Assistenten auf Weiter 1.

Wizard request certificate

Wählen Sie das Zertifikatsmodell Computer 1 aus und klicken Sie dann auf Registrierung 2.

Select computer certificate

Das Zertifikat wurde generiert. Klicken Sie auf Fertig stellen 1.

Request completed

Das Zertifikat ist ab sofort im Shop erhältlich.

installed certificate

Kopieren Sie es und fügen Sie es ein, um es im Remote Desktop 1-Speicher abzulegen, und löschen Sie das selbstsignierte Zertifikat vom Server.

Certificate computer by CA

Das von der Zertifizierungsstelle generierte Zertifikat kann über die Verwaltungskonsole im Ordner „Ausgestellte Zertifikate“ angezeigt werden.

Certificat in AC

Um das Zertifikat nutzen zu können, müssen Sie diese Bestellung aufgeben :wmic /namespace:\rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<certificate thumbprint>"

Fordern Sie ein Zertifikat von IIS an

In diesem Teil erfahren Sie, wie Sie mithilfe der IIS-Konsole ein Domänenzertifikat anfordern. Um Kontakt mit der Unternehmenszertifizierungsstelle aufzunehmen, muss der Server Mitglied der Domäne sein.

Klicken Sie in der IIS-Konsole eines Servers auf Serverzertifikate 1.

IIS Console

Klicken Sie mit der rechten Maustaste in den Bereich „Zertifikate“ und klicken Sie auf „Domänenzertifikat erstellen 1“ oder gehen Sie über das Menü „Aktionen“.

New certificate

Geben Sie die Zertifikatsinformationen 1 ein. Der allgemeine Name enthält die Adresse, die identifiziert werden soll. Es ist möglich, ein Zertifikat für eine andere Domäne zu erstellen. Klicken Sie auf Weiter 2.

Certificate Properties

Sie müssen nun die Zertifizierungsstelle des Unternehmens auswählen und auf „Auswählen 1“ klicken.

Select autorty

Wählen Sie Autorität 1 und klicken Sie auf OK 2.

Select autority

Geben Sie bei ausgewählter Autorität den serverfreundlichen Namen 1 ein und klicken Sie auf „Fertig stellen“ 2.

Select autorty

Das Zertifikat 1 wird generiert und ist in IIS verfügbar.

generated certificate

Das Zertifikat ist auch im Speicher für ausgestellte Zertifikate der Zertifizierungsstelle verfügbar.

Delivred certificates

Stellen Sie eine personalisierte Zertifikatsanforderung

Nachdem wir nun gesehen haben, wie man Zertifikatsanfragen für Computer und Websites in IIS stellt, sehen wir uns nun an, wie man eine benutzerdefinierte Zertifikatsanfrage mit mehreren DNS-Namen und IP-Adressen stellt.

Wechseln Sie in der Zertifikatskonsole eines Domänenmitgliedscomputers zum Ordner „Persönlich/Zertifikate“ 1. Klicken Sie mit der rechten Maustaste in den Anzeigebereich, gehen Sie zu „Alle Aufgaben“ 2 / „Erweiterte Vorgänge“ 3 und klicken Sie auf „Benutzerdefinierte Anfrage erstellen“ 4.

Custom certificate request

Klicken Sie beim Starten des Assistenten auf Weiter 1.

Wizard

Wählen Sie die Active Directory-Registrierungsrichtlinie 1 aus und klicken Sie dann auf Weiter 2.

Select policy

Wählen Sie das Modell 1 (Webserver) und klicken Sie auf Weiter 2.

Select model

Eine Zusammenfassung des Zertifikatsmodells wird angezeigt. Klicken Sie auf Eigenschaften 1.

Information certificate

Konfigurieren Sie den allgemeinen Namen des Zertifikats 1 und klicken Sie auf Hinzufügen 2.

Common name

Nachdem der allgemeine Name hinzugefügt wurde, wählen Sie im Abschnitt „Alternativer Name 1“ den DNS-Typ 2 aus, geben Sie den gewünschten Namen 3 ein und klicken Sie auf „Hinzufügen“ 4.

Add name

Wie Sie unten sehen können, ist es möglich, mehrere DNS-Namen hinzuzufügen. Wir fügen nun eine IP-Adresse hinzu, wählen den Typ IP-Adresse (v4) 1, geben die IP-Adresse 2 an und klicken auf Hinzufügen 3.

address IP

Nachdem die IP-Adresse hinzugefügt wurde, klicken Sie auf „Übernehmen“ 1 und „OK“ 2, um die Zertifikatsinformationen zu validieren.

Certificat informations

Klicken Sie auf Weiter 1, um die Anfrage fortzusetzen.

Continue the request

Geben Sie den Speicherort und den Namen der Datei 1 (CSR) an, um die Anfrage zu speichern, und klicken Sie auf Fertig stellen 2.

Save CSR

Die Anforderungsdatei wurde generiert. Jetzt müssen Sie die Anforderung an die Unternehmenszertifizierungsstelle senden. Öffnen Sie einen Internetbrowser und geben Sie die URL http://servername/certsrv/ 1 ein. Klicken Sie auf den Link „Zertifikat anfordern“ 2.

Webpage request

Klicken Sie auf erweiterte Zertifikatsanforderung 1.

custom request

Öffnen Sie die Abfragedatei mit einem Testeditor und kopieren Sie die Zeichenfolge 1.

CSR

Fügen Sie die Anfrage 1 in das Feld „Gespeicherte Anfrage“ ein, wählen Sie die Vorlage 2 und klicken Sie auf Senden 3.

Submission of the certificate

Rufen Sie das Zertifikat ab, indem Sie auf Zertifikat herunterladen 1 klicken.

Download certificat

Kehren Sie zur Zertifikatskonsole zurück, gehen Sie zu Zertifikatsregistrierungsanfrage 1 / Zertifikate 2, klicken Sie mit der rechten Maustaste darauf und dann auf Alle Aufgaben 3 / Importieren 4.

Import certificat

Klicken Sie beim Starten des Assistenten auf Weiter 1.

wizard import

Wählen Sie das heruntergeladene Zertifikat 1 aus und klicken Sie auf Weiter 2.

Select certificate file

Verlassen Sie den Shop und klicken Sie auf Weiter 1.

select folder

Klicken Sie auf Fertig stellen 1, um den Import abzuschließen.

Finish the import

Das Zertifikat wird generiert und wir sehen, dass es von der Zertifizierungsstelle des Unternehmens ausgestellt wurde.

generated certificate

Sie können das Store-Zertifikat jetzt auf „Persönlich“ verschieben.

Es ist standardmäßig nicht möglich, das Zertifikat mit seinem privaten Schlüssel zu exportieren. Sie müssen das Modell ändern.




Schreibe einen Kommentar