Einführung
In diesem Tutorial erkläre ich, wie man im Gegensatz zur eigenständigen Zertifizierungsstelle eine Unternehmenszertifizierungsstelle einrichtet, die mit einem Active Directory verknüpft ist.
Diese Art von Zertifizierungsstelle ermöglicht die Automatisierung der Zertifikatserstellung mit direkter Übermittlung an die Zertifizierungsstelle. Zur automatischen Ausstellung von Computer- und Benutzerzertifikaten, um beispielsweise den VPN-Zugriff mit Windows NPS zu sichern.
Bei einer Unternehmenszertifizierungsstelle können Sie auch Zertifikate für Webserver, Firewalls für SSL-Entschlüsselung, Code-Signierung usw. anfordern.
Voraussetzungen
Ein Windows-Server:
- Mit einer Active Directory-Domäne verbunden
- Mit einer festen IP-Adresse
Die AD CS-Rolle darf nicht auf einem Domänencontroller installiert sein. Es wird empfohlen, dieser Rolle einen Server zuzuweisen
Installieren der AD CS-Rolle
Starten Sie im Server-Manager den Installationsassistenten, indem Sie auf Funktionsrollen hinzufügen 1 klicken.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie die Option „Installation basierend auf einer Rolle oder Funktionalität“ 1 und klicken Sie dann auf „Weiter“ 2.
Wählen Sie den Server 1 aus, auf dem die Installation der AD CS-Rolle durchgeführt werden soll und klicken Sie auf Weiter 2.
Aktivieren Sie das Kontrollkästchen für die Rolle „Active Directory-Zertifikatserver 1“.
Klicken Sie auf Funktionen hinzufügen 1, um Verwaltungstools hinzuzufügen.
Klicken Sie bei ausgewählter AD CS-Rolle auf Weiter 1.
Überspringen Sie die Funktionsliste, indem Sie auf Weiter 1 klicken.
Eine Zusammenfassung der AD CS-Rolle wird angezeigt. Klicken Sie auf Weiter 1.
Überprüfen Sie die Dienste „Zertifizierungsstellen“ 1 und „Zertifizierungsstellenregistrierung über Web“ 2 und klicken Sie dann auf „Weiter“ 3.
Mit dem Zertifizierungsstellendienst können wir Zertifikate erstellen. Durch die Registrierung über das Internet kann der Benutzer Zertifikate über eine grafische Oberfläche in einem Browser anfordern.
Die Webregistrierung basiert auf der IIS-Rolle. Klicken Sie auf Weiter 1, um die Zusammenfassung der IIS-Rolle zu überspringen.
Klicken Sie auf Weiter 1, um die Dienste zu validieren, die für IIS installiert werden.
Bestätigen Sie die Installation, indem Sie auf „Installieren 1“ klicken.
Warten Sie während der Installation…
Sobald die Installation abgeschlossen ist, beenden Sie den Assistenten, indem Sie auf Schließen 1 klicken.
Konfigurieren der Zertifizierungsstelle
Maintenant que le rôle AD CS est installé sur le serveur, nous allons configurer le service pour qu’il soit autorité de certification d’entreprise.
Klicken Sie im Server-Manager auf das Benachrichtigungssymbol und dann auf „Active Directory-Zertifikatdienste konfigurieren“ 1, um den Konfigurationsassistenten zu öffnen.
Geben Sie das Benutzerkonto 1 für die Konfiguration an und klicken Sie dann auf Weiter 2.
Um eine Unternehmenszertifizierungsstelle zu konfigurieren, die mit Active Directory verknüpft ist, muss das Konto Mitglied der Gruppe „Unternehmensadministratoren“ sein.
Überprüfen Sie die beiden installierten Dienste 1 und klicken Sie dann auf Weiter 2.
Wählen Sie den Typ der Unternehmenszertifizierungsstelle 1 und klicken Sie auf Weiter 2.
Im Gegensatz zu einer eigenständigen Zertifizierungsstelle, die offline sein kann, muss der Server der Unternehmenszertifizierungsstelle eingeschaltet bleiben.
Wählen Sie die Option Stammzertifizierungsstelle 1 und klicken Sie auf Weiter 2.
Wenn Sie über eine eigenständige Zertifizierungsstelle verfügen und eine PKI-Hierarchie einrichten möchten, müssen Sie die Option „Sekundäre Zertifizierungsstelle“ auswählen. Nach der Konfiguration werden Sie aufgefordert, den Build mit Root-Berechtigung durchzuführen.
Wählen Sie „Privaten Schlüssel erstellen“ 1 und klicken Sie auf „Weiter“ 2.
Konfigurieren Sie die Verschlüsselung des Schlüssels 1 und klicken Sie dann auf Weiter 2.
Konfigurieren Sie den Gültigkeitszeitraum 1 und klicken Sie auf Weiter 2.
Ändern Sie bei Bedarf den Speicherort der Datenbanken und klicken Sie auf Weiter 1.
Bestätigen Sie die Informationen und klicken Sie auf Konfigurieren 1.
Sobald die Konfiguration abgeschlossen ist, klicken Sie auf Schließen 1, um den Assistenten zu verlassen.
Verwaltung der ADCS-Zertifizierungsstelle
Auf dem Server, auf dem die Rolle installiert ist, ist eine Zertifizierungsstellenkonsole verfügbar.
Die Verwaltungskonsole der Zertifizierungsstelle präsentiert mehrere Ordner, die sowohl die Zertifikate als auch die Modelle enthalten.
Wir werden im Anschluss an das Tutorial während der verschiedenen Manipulationen detaillierter auf die verschiedenen Dateien zurückkommen.
Um auf die Diensteinstellungen zuzugreifen, klicken Sie mit der rechten Maustaste auf Server 1 und dann auf Eigenschaften 2.
Die beiden Registerkarten, außer in Sonderfällen, die regelmäßig geändert werden, sind:
Erweiterungen: Hiermit können Sie Speicherorte für die Zertifikatsperrung konfigurieren.
Audit: Damit können Sie die Ereignisprotokollierung aktivieren.
Exportieren und installieren Sie das Autoritätszertifikat
Bevor Sie mit der Generierung von Zertifikaten bei der Zertifizierungsstelle beginnen, müssen Sie das Zertifikat exportieren, um es auf den Computern in der Domäne zu installieren. Durch die Installation des Zertifikats auf Computern wird die Fehlermeldung in Internetbrowsern vermieden und die Funktion von Diensten wie dem RDS-Gateway, SSTP VPN usw. ermöglicht.
Zertifikat der Exportbehörde
Es gibt verschiedene Möglichkeiten, auf die mmc certlm-Konsole zuzugreifen.
Gehen Sie in der Konsole zu „Vertrauenswürdige Stammzertifizierungsstelle“ 1 und dann zu „Zertifikate“ 2 und suchen Sie nach dieser Zertifizierungsstelle. Klicken Sie mit der rechten Maustaste darauf 3 und gehen Sie zu Alle Aufgaben 4 / Exportieren 5.
Klicken Sie beim Starten des Export-Assistenten auf Weiter 1.
Wählen Sie das Exportformat 1 und klicken Sie auf Weiter 2.
Geben Sie den Speicherort und Namen der Zertifikatexportdatei 1 an und klicken Sie auf Weiter 2.
Klicken Sie auf Fertig stellen 1, um den Assistenten zu schließen.
Es erscheint eine Meldung, dass der Export erfolgreich war. Klicken Sie auf OK 1, um ihn zu schließen.
Das Zertifikat wird exportiert.
Installieren Sie das Zertifikat manuell auf Domänencomputern
Nachdem wir die Datei nun haben, müssen wir sie auf den Arbeitsstationen der Domäne bereitstellen. Es ist möglich, dies per GPO zu tun oder es manuell zu installieren.
Kopieren Sie die Datei auf einen Computer, auf dem sie installiert werden soll, klicken Sie mit der rechten Maustaste darauf 1 und klicken Sie auf Zertifikat installieren 2.
Ein Assistent wird gestartet, um den Import durchzuführen. Wählen Sie den Speicherort „Lokaler Computer“ 1 und klicken Sie auf „Weiter“ 2.
Wählen Sie den Speicher „Vertrauenswürdige Stammzertifizierungsstellen“ 1 aus und klicken Sie auf „Weiter“ 2.
Klicken Sie auf Fertig stellen 1, um das Zertifikat zu importieren.
Es erscheint eine Meldung, dass der Import erfolgreich war. Klicken Sie auf OK 1.
Der Computer kann jetzt Zertifikate verwenden, die von der Unternehmenszertifizierungsstelle stammen.
Fordern Sie ein Zertifikat bei der Zertifizierungsstelle an
Generieren Sie ein Zertifikat über die Zertifikatskonsole
In diesem Teil erfahren Sie, wie Sie ein Zertifikat von der MMC-Zertifikatkonsole eines Computers anfordern, der Mitglied der Active Directory-Domäne ist. Das verwendete Konto ist Mitglied der Gruppe „Domänen-Admins“.
Zur Veranschaulichung des Tutorials generieren wir ein Computerzertifikat, das für Remotedesktopverbindungen verwendet wird.
Gehen Sie auf der Konsole zum persönlichen Ordner 1 und klicken Sie mit der rechten Maustaste in den zentralen Bereich, gehen Sie zu Alle Aufgaben 2 und klicken Sie auf Neues Zertifikat anfordern 3.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie das Zertifikatsmodell Computer 1 aus und klicken Sie dann auf Registrierung 2.
Das Zertifikat wurde generiert. Klicken Sie auf Fertig stellen 1.
Das Zertifikat ist ab sofort im Shop erhältlich.
Kopieren Sie es und fügen Sie es ein, um es im Remote Desktop 1-Speicher abzulegen, und löschen Sie das selbstsignierte Zertifikat vom Server.
Das von der Zertifizierungsstelle generierte Zertifikat kann über die Verwaltungskonsole im Ordner „Ausgestellte Zertifikate“ angezeigt werden.
Um das Zertifikat nutzen zu können, müssen Sie diese Bestellung aufgeben :wmic /namespace:\rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<certificate thumbprint>"
Fordern Sie ein Zertifikat von IIS an
In diesem Teil erfahren Sie, wie Sie mithilfe der IIS-Konsole ein Domänenzertifikat anfordern. Um Kontakt mit der Unternehmenszertifizierungsstelle aufzunehmen, muss der Server Mitglied der Domäne sein.
Klicken Sie in der IIS-Konsole eines Servers auf Serverzertifikate 1.
Klicken Sie mit der rechten Maustaste in den Bereich „Zertifikate“ und klicken Sie auf „Domänenzertifikat erstellen 1“ oder gehen Sie über das Menü „Aktionen“.
Geben Sie die Zertifikatsinformationen 1 ein. Der allgemeine Name enthält die Adresse, die identifiziert werden soll. Es ist möglich, ein Zertifikat für eine andere Domäne zu erstellen. Klicken Sie auf Weiter 2.
Sie müssen nun die Zertifizierungsstelle des Unternehmens auswählen und auf „Auswählen 1“ klicken.
Wählen Sie Autorität 1 und klicken Sie auf OK 2.
Geben Sie bei ausgewählter Autorität den serverfreundlichen Namen 1 ein und klicken Sie auf „Fertig stellen“ 2.
Das Zertifikat 1 wird generiert und ist in IIS verfügbar.
Das Zertifikat ist auch im Speicher für ausgestellte Zertifikate der Zertifizierungsstelle verfügbar.
Stellen Sie eine personalisierte Zertifikatsanforderung
Nachdem wir nun gesehen haben, wie man Zertifikatsanfragen für Computer und Websites in IIS stellt, sehen wir uns nun an, wie man eine benutzerdefinierte Zertifikatsanfrage mit mehreren DNS-Namen und IP-Adressen stellt.
Wechseln Sie in der Zertifikatskonsole eines Domänenmitgliedscomputers zum Ordner „Persönlich/Zertifikate“ 1. Klicken Sie mit der rechten Maustaste in den Anzeigebereich, gehen Sie zu „Alle Aufgaben“ 2 / „Erweiterte Vorgänge“ 3 und klicken Sie auf „Benutzerdefinierte Anfrage erstellen“ 4.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie die Active Directory-Registrierungsrichtlinie 1 aus und klicken Sie dann auf Weiter 2.
Wählen Sie das Modell 1 (Webserver) und klicken Sie auf Weiter 2.
Eine Zusammenfassung des Zertifikatsmodells wird angezeigt. Klicken Sie auf Eigenschaften 1.
Konfigurieren Sie den allgemeinen Namen des Zertifikats 1 und klicken Sie auf Hinzufügen 2.
Nachdem der allgemeine Name hinzugefügt wurde, wählen Sie im Abschnitt „Alternativer Name 1“ den DNS-Typ 2 aus, geben Sie den gewünschten Namen 3 ein und klicken Sie auf „Hinzufügen“ 4.
Wie Sie unten sehen können, ist es möglich, mehrere DNS-Namen hinzuzufügen. Wir fügen nun eine IP-Adresse hinzu, wählen den Typ IP-Adresse (v4) 1, geben die IP-Adresse 2 an und klicken auf Hinzufügen 3.
Nachdem die IP-Adresse hinzugefügt wurde, klicken Sie auf „Übernehmen“ 1 und „OK“ 2, um die Zertifikatsinformationen zu validieren.
Klicken Sie auf Weiter 1, um die Anfrage fortzusetzen.
Geben Sie den Speicherort und den Namen der Datei 1 (CSR) an, um die Anfrage zu speichern, und klicken Sie auf Fertig stellen 2.
Die Anforderungsdatei wurde generiert. Jetzt müssen Sie die Anforderung an die Unternehmenszertifizierungsstelle senden. Öffnen Sie einen Internetbrowser und geben Sie die URL http://servername/certsrv/ 1 ein. Klicken Sie auf den Link „Zertifikat anfordern“ 2.
Klicken Sie auf erweiterte Zertifikatsanforderung 1.
Öffnen Sie die Abfragedatei mit einem Testeditor und kopieren Sie die Zeichenfolge 1.
Fügen Sie die Anfrage 1 in das Feld „Gespeicherte Anfrage“ ein, wählen Sie die Vorlage 2 und klicken Sie auf Senden 3.
Rufen Sie das Zertifikat ab, indem Sie auf Zertifikat herunterladen 1 klicken.
Kehren Sie zur Zertifikatskonsole zurück, gehen Sie zu Zertifikatsregistrierungsanfrage 1 / Zertifikate 2, klicken Sie mit der rechten Maustaste darauf und dann auf Alle Aufgaben 3 / Importieren 4.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie das heruntergeladene Zertifikat 1 aus und klicken Sie auf Weiter 2.
Verlassen Sie den Shop und klicken Sie auf Weiter 1.
Klicken Sie auf Fertig stellen 1, um den Import abzuschließen.
Das Zertifikat wird generiert und wir sehen, dass es von der Zertifizierungsstelle des Unternehmens ausgestellt wurde.
Sie können das Store-Zertifikat jetzt auf „Persönlich“ verschieben.
Es ist standardmäßig nicht möglich, das Zertifikat mit seinem privaten Schlüssel zu exportieren. Sie müssen das Modell ändern.
Erstellen Sie eine Zertifikatsvorlage
In diesem Teil erfahren Sie, wie Sie eine Zertifikatvorlage basierend auf einer vorhandenen Vorlage erstellen. Wir werden die Servervorlage ändern, um den privaten Schlüssel exportieren zu können, um ihn beispielsweise auf einem IIS-Server außerhalb der Domäne zu installieren.
Öffnen Sie die Admin-Konsole, klicken Sie mit der rechten Maustaste auf den Speicher „Zertifikatvorlagen 1“ und klicken Sie auf „Verwalten“ 2.
Klicken Sie mit der rechten Maustaste auf Vorlage 1 und klicken Sie auf Vorlage duplizieren 2.
Benennen Sie das Modell 1.
Gehen Sie zur Registerkarte Verarbeitung von Anforderung 1 und aktivieren Sie das Kontrollkästchen Export des privaten Schlüssels 2 zulassen.
Sobald die Vorlage konfiguriert ist, klicken Sie auf „Übernehmen“ und „OK“, um die Änderungen zu speichern.
Klicken Sie in der Verwaltungskonsole der Zertifizierungsstelle mit der rechten Maustaste auf den Ordner „Zertifikatvorlage 1“, gehen Sie dann zu „Neu“ 2 und klicken Sie auf „Auszustellende Zertifikatvorlage“ 3 .
Wählen Sie Modell 1 und klicken Sie auf OK 2.
Das Modell wird zur Liste 1 hinzugefügt.
Es ist auch in Anfragen verfügbar.
Automatische Registrierung von Benutzer- und Computerzertifikaten – AutoEnroll
In diesem Teil erfahren Sie, wie Sie per GPO automatisch Zertifikate für Workstations und Computer in der Domäne generieren.
Voraussetzungen für AutoEnroll
Für Benutzerzertifikate sind einige Voraussetzungen erforderlich, damit dies funktioniert.
Es ist notwendig, dass das E-Mail-Feld im Active Directory ausgefüllt wird, da das Zertifikat darauf angewiesen ist.
Erstellen Sie eine Zertifikatvorlage basierend auf der Benutzervorlage, indem Sie die automatische Registrierung für Domänenbenutzer zulassen.
Gruppenrichtlinie – Gruppenrichtlinienobjekt
Erstellen Sie ein neues Gruppenrichtlinienobjekt und platzieren Sie es im Stammverzeichnis der Domäne, um alle Computer und Benutzer zu beeinflussen.
Computereinstellungen
Automatische Registrierung aktivieren
Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Richtlinien für öffentliche Schlüssel / Zertifikatsdienste-Clients – Automatische Registrierung.
Aktivieren Sie 1 den Parameter und aktivieren Sie beide Kontrollkästchen 2.
Konfigurieren der Zertifikatvorlage
Klicken Sie in Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Public-Key-Richtlinien mit der rechten Maustaste auf Einstellungen für automatische Zertifikatsanforderung 1, gehen Sie dann zu Neu 2 und klicken Sie auf Automatische Zertifikatsanforderung 3.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie das Computermodell 1 und klicken Sie dann auf Weiter 2.
Klicken Sie auf Fertig stellen 1, um den Assistenten zu verlassen und die Einstellungen zu bestätigen.
Das Modell wurde zur automatischen Anfrage hinzugefügt.
Benutzereinstellungen
Automatische Registrierung aktivieren
Benutzerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Richtlinien für öffentliche Schlüssel / Zertifikatsdienste-Clients – Automatische Registrierung.
Aktivieren Sie 1 den Parameter und aktivieren Sie beide Kontrollkästchen 2.
Bestätigen Sie die automatische Registrierung
Melden Sie sich auf einem Domänenmitgliedscomputer an und überprüfen Sie in der Enterprise Certificate Authority-Verwaltungskonsole im Speicher „Ausgestellte Zertifikate“, dass die Zertifikate generiert wurden.
Speichern Sie die Zertifizierungsstelle
Klicken Sie in der Verwaltungskonsole mit der rechten Maustaste auf Server 1, gehen Sie zu „Alle Aufgaben“ 2 und klicken Sie auf „Zertifizierungsstelle speichern“ 3.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie die zu speichernden Elemente 1 aus, geben Sie den Speicherort 2 an und klicken Sie auf Weiter 3.
Geben Sie ein Passwort ein, um auf den privaten Schlüssel zuzugreifen 1 und klicken Sie dann auf Weiter 2.
Klicken Sie auf Fertig stellen 1, um den Assistenten zu schließen und die Sicherung durchzuführen.
Überprüfen Sie, ob die Sicherung erfolgreich war, indem Sie die Dateien anzeigen.
