In diesem Lernprogramm erfahren Sie, wie Sie mithilfe einer GPO (Gruppenrichtlinie) ein Zertifikat auf Computern und Servern bereitstellen, die Mitglieder einer Active Directory-Domäne sind.
Einige Fälle, in denen Sie möglicherweise ein Zertifikat mithilfe der Gruppenrichtlinie verteilen müssen:
- Interne Zertifizierungsstelle (ADCS)
- Firewall-Appliance-Zertifikat für SSL-Filterung
- Selbstsigniertes Webserver-/RDS-Zertifikat
Durch die Zertifikatsbereitstellung per Gruppenrichtlinie können wir das Zertifikat mithilfe von Active Directory zentral auf Computern direkt im richtigen Speicher installieren.
Inhaltsverzeichnis
Exportieren Sie das bereitzustellende Zertifikat
Vorgang, der auf dem Server ausgeführt werden muss, auf dem das Zertifikat mit dem privaten Schlüssel installiert ist.
Öffnen Sie die MMC-Konsole zur Zertifikatsverwaltung auf dem lokalen Computer und gehen Sie zu dem Speicher, in dem das Zertifikat gespeichert ist.
Wählen Sie das Zertifikat 1 aus, klicken Sie mit der rechten Maustaste darauf und gehen Sie zu Alle Aufgaben 2 > Exportieren… 3.
Wenn der Assistent geöffnet wird, klicken Sie auf Weiter 1.
Wählen Sie Nein, privaten Schlüssel nicht exportieren 1 und klicken Sie dann auf Weiter 2.
Wählen Sie eines der beiden X.509-Formate 1 und klicken Sie auf die Schaltfläche Weiter 2.
Das Zertifikat muss die Erweiterung .cer haben
Klicken Sie auf die Schaltfläche Durchsuchen… 1.
Ordner 1 wählen, Dateinamen 2 eingeben und auf Speichern 3 drücken.
Bestätigen Sie den Pfad und den Namen der Datei 1 und klicken Sie dann auf Weiter 2.
Klicken Sie auf die Schaltfläche „Fertig stellen“ 1, um den Assistenten zu schließen.
Überprüfen Sie die Dateierstellung.
Legen Sie das Zertifikat an einem Ort ab, auf den Ihre Domänensteuerung zugreifen kann.
Erstellen der Richtlinie (GPO) zum Bereitstellen eines Zertifikats
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
Klicken Sie mit der rechten Maustaste auf OU 1 und dann auf „GPO in dieser Domäne erstellen und hier verknüpfen …“ 2.
Benennen Sie die Strategie 1 und klicken Sie auf OK 2.
Klicken Sie mit der rechten Maustaste auf Strategie 1 und klicken Sie auf Bearbeiten… 2.
Gehen Sie zur Einstellung „Vertrauenswürdige Stammzertifizierungsstellen“ 1, die sich unter „Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinie für öffentliche Schlüssel“ befindet. Klicken Sie mit der rechten Maustaste auf 2 und klicken Sie auf Importieren 3.
Wenn der Assistent startet, klicken Sie auf Weiter 1.
Klicken Sie auf Durchsuchen… 1.
Gehen Sie zum Speicherort der Datei 1, wählen Sie das Zertifikat 2 aus und klicken Sie auf Öffnen 3.
Klicken Sie im Assistenten auf Weiter 1.
Wenn Sie das Geschäft nicht auswählen können, klicken Sie auf Weiter 1.
Klicken Sie auf Fertig stellen 1, um das Zertifikat zu importieren.
Klicken Sie zum Bestätigen des Imports auf OK 1.
Unter Parameter 1 sollte das importierte Zertifikat angezeigt werden.
Strategieeinstellungen:
Testen der Zertifikatbereitstellung
Starten Sie einen Computer neu, auf dem die Gruppenrichtlinie zur Installation des Zertifikats angewendet wird
Melden Sie sich am Computer an.
Öffnen Sie die MMC-Konsole zur Zertifikatsverwaltung auf dem lokalen Computer, gehen Sie zu „Vertrauenswürdige Stammzertifizierungsstelle“ 1 und überprüfen Sie das Vorhandensein des Zertifikats 2.
In diesem Tutorial haben wir gesehen, wie man ein Zertifikat mithilfe eines GPO bereitstellt, aber auch, wie man ein Zertifikat aus dem Zertifikatspeicher eines lokalen Computers exportiert.