Erstellen einer Organisations-Stammzertifizierungsstelle
in kleinen und mittelgroßen Unternehmen

Auf dieser Seite
Vorbereitung
Grundvoraussetzungen der IT-Infrastruktur
Auswahl des zu verwendenden Zertifizierungsstellentyps
Wichtige Vorkenntnisse
Nach der Bereitstellung der Zertifizierungsstelle unveränderliche Elemente
Installieren und Konfigurieren einer Organisations-Stammzertifizierungsstelle
Überprüfen der Zertifizierungsstelleninstallation
Installieren von Zertifikatvorlagen
Erstellen einer benutzerdefinierten Zertifikatvorlage
Konfigurieren einer Zertifikatvorlage für die automatische Clientregistrierung
Erteilen von Registrierungsberechtigungen für eine Standardzertifikatvorlage
Konfigurieren der Zertifizierungsstelle für die Ausgabe von Zertifikaten auf Grundlage der Zertifikatvorlage
Entfernen einer Zertifikatvorlage aus einer Zertifizierungsstelle
Beispielimplementierung der Zertifikatdienste: Erstellen der automatischen Registrierung für Benutzer drahtloser Verbindungen
Erstellen einer Zertifikatvorlage für Benutzer drahtloser Verbindungen
Konfigurieren einer Zertifikatvorlage für die automatische Clientregistrierung
Konfigurieren der Zertifizierungsstelle für die Ausgabe von Zertifikaten auf der Grundlage der Vorlage
Weitere Informationen

Vorwort
Ungeschützter Informationsaustausch über das Internet, Extranets, Intranets und zwischen Anwendungen stellt heut-
zutage für jede Organisation ein potenzielles Sicherheitsrisiko dar. Zu den Herausforderungen gehört es, nicht auto-
risierte Dritte, die sich als autorisiert ausgeben, am Abfangen von im Internet ausgetauschten Informationen beziehun-
gsweise am Unterbrechen der Geschäftsabläufe einer Organisation zu hindern.

Mithilfe der vorliegenden schrittweisen Anweisungen können Sie in einem Netzwerk mit Microsoft® Windows Server
2003-Servern eine Zertifizierungsstelle (Certification Authority, CA) einrichten. Eine Zertifizierungsstelle kann auf einem
Server installiert werden, auf dem Microsoft® Windows Server 2003 Standard Edition, Microsoft® Windows Server
2003 Enterprise Edition oder Microsoft® Windows Server 2003 Datacenter Edition ausgeführt wird.

Bei einer Zertifizierungsstelle handelt es sich um einen Dienst, der in einer öffentlichen Schlüsselinfrastruktur (Public
Key Infrastructure, PKI) elektronische Anmeldeinformationen oder Zertifikate ausgibt und verwaltet. Die öffentliche
Schlüsselinfrastruktur ist ein System digitaler Zertifikate, Zertifizierungsstellen und anderer Registrierungsstellen (Re-
gistration Authorities, RAs), von denen die Gültigkeit jeder an einer elektronischen Transaktion beteiligten Partei mit-
hilfe der Kryptografie mit öffentlichen Schlüsseln authentifiziert wird. Die Standards für öffentliche Schlüsselinfrastrukt-
uren befinden sich weiterhin in der Entwicklungsphase, obwohl die Implementierung als notwendiges Element für
E-Commerce-Anwendungen bereits weit verbreitet ist. Viele Behörden und private Organisationen haben eigene Stan-
dards für die öffentliche Schlüsselinfrastruktur festgelegt. Wenden Sie sich vor der Implementierung der Architektur
einer öffentlichen Schlüsselinfrastruktur an Ihre Rechtsberatung, um sicherzustellen, dass sie mit den gültigen lokalen,
staatlichen, und internationalen Gesetzen und Bestimmungen übereinstimmt.

Eine öffentliche Schlüsselinfrastruktur für Windows Server 2003, die in Microsoft® Windows® XP Professional-Clients
integriert werden kann, hilft bei der Sicherung der Netzwerkkommunikation zwischen einer Organisation und deren Mit-
arbeitern, Partnern, Zulieferern und Kunden. Ein Server, auf dem Windows Server 2003-Zertifikatdienste ausgeführt wer-
den, kann für Personen, Geräte oder Dienste öffentliche Schlüsselzertifikate ausstellen. Der Zertifikatinhaber verwendet
mit öffentlichen Schlüsselinfrastrukturen kompatible Anwendungen und Technologien, um die zentral verwaltete strenge
Authentifizierung zu aktivieren, die Vertraulichkeit der Daten sicherzustellen und den Datenaustausch zu sichern. Die
von Windows Server 2003 unterstützten mit der öffentlichen Schlüsselinfrastruktur kompatiblen Technologien bieten eine
Grundlage für folgende Technologien und die damit verbundenen Geschäftsvorteile:

Digitale Signaturen.
Erstellt eine Zulassung, mit der die Authentizität des Senders sichergestellt wird.

Verwendung von Smartcards.
Bietet für die Smartcard-Anmeldung eine Authentifizierung mit zwei Faktoren. Bei der
Authentifizierung mit zwei Faktoren ist vom Benutzer für den Zugriff auf Netzwerkressourcen die Vorlage eines physi-
schen Objekts (der Smartcard, die einen Chip enthält, auf dem ein digitales Zertifikat und der private Schlüssel des
Benutzers gespeichert sind) sowie eines Kennworts oder einer PIN erforderlich.

Sichere E-Mail-Kommunikation.
Dienste wie Secure/Multipurpose Internet Mail Extensions (S/MIME) ermöglichen
vertrauliche Kommunikation, Datenintegrität und Zulassungen für E-Mails.

Codesignierte Software.
Mit der Authenticode®-Technologie können Softwareherausgeber jegliche Formen mit aktiv-
em Inhalt (einschließlich Archiven mit mehreren Dateien) digital signieren. Diese Signaturen können zur Überprüfung
der Identität des Inhaltsherausgebers und der Integrität des Inhalts zum Zeitpunkt des Downloads verwendet werden.

Internet Protocol Security (IPSec).
Eine Protokollsuite, mit der verschlüsselte und digital signierte Kommunikation
zwischen zwei Computern oder zwischen einem Computer und einem Router über ein öffentliches Netzwerk
stattfinden kann.

802.11.
Ermöglicht zentralisierte Benutzeridentifikation, Authentifizierung, dynamische Schlüsselverwaltung und Kon-
toführung für authentifizierten Netzwerkzugriff auf drahtlose Netzwerke und kabelgebundene Ethernet-Netzwerke
gemäß 802.

Verschlüsselndes Dateisystem.
Unterstützt Verschlüsselung und Entschlüsselung von Dateien und Ordnern.

Sichere Webverbindungen mithilfe von SSL (Secure Sockets Layer) oder TLS (Transport Layer Security).
Diese Protokolle ermöglichen Server- und Clientauthentifizierung durch einen gesicherten Kommunikationskanal über
öffentliche Netzwerke wie das Internet. Mit entsprechenden Versionen dieser Protokolle (zum Beispiel WTLS,
Wireless Transport Layer Security) kann die Sicherheit drahtloser Netzwerke verbessert werden.

Außerdem können Sie mit einer öffentlichen Schlüsselinfrastruktur für Windows Server 2003 die Vorteile der Integration
von Zertifikatdiensten mit dem Active Directory®-Verzeichnisdienst und Gruppenrichtlinien nutzen. In einer Active Direc-
tory-Umgebung verwendet eine Windows Server 2003-Zertifizierungsstelle Zertifikatvorlagen, die in Active Directory aus-
gestellt werden, um die Inhalte der ausgestellten Zertifikate zu überprüfen. In Zertifikatvorlagen werden die zu einem
Zertifikat gehörigen Informationen definiert und somit die Verwendung und Verwaltung der Zertifizierungsstelle verein-
facht, indem technische Details der Zertifikatinhalte für die Benutzer transparent gemacht werden. Entsprechend den
Anforderungen Ihrer Organisation können Sie eine Einzweckvorlage für Zertifikate für eine bestimmte Anwendung, Mehr-
zweckvorlagen für Zertifikate für mehrere Anwendungen oder sogar neue benutzerdefinierte Zertifikatvorlagen erstellen.

Anhand der folgenden Anweisungen können Sie eine Organisations-Stammzertifizierungsstelle erstellen, eine Zertifikat-
vorlage für das Aktivieren der automatischen Clientregistrierung verwenden und die automatische Registrierung für Be-
nutzer drahtloser Verbindungen erstellen. Insbesondere wird die Durchführung folgender Aufgaben erläutert:

Installieren und Konfigurieren einer Organisations-Stammzertifizierungsstelle.

Überprüfen der Zertifizierungsstelleninstallation.

Installieren von Zertifikatvorlagen.

Erstellen einer benutzerdefinierten Zertifikatvorlage.

Konfigurieren einer Zertifikatvorlage für die automatische Clientregistrierung.

Erteilen von Registrierungsberechtigungen für eine Standardzertifikatvorlage.

Konfigurieren der Zertifizierungsstelle für die Ausgabe von Zertifikaten auf der Grundlage der Zertifikatvorlage.

Erstellen der automatischen Registrierung für Benutzer drahtloser Verbindungen.

Hinweis:
Die Abbildungen in diesem Dokument stellen eine Testumgebung dar und können von der Darstellung auf Ihrem
Bildschirm abweichen.

Wenn Sie diese Schritte durchgeführt haben, enthält das Netzwerk eine Organisations-Stammzertifizierungsstelle, und
Sie haben über das Snap-In für Zertifikatvorlagen Zugriff auf alle verfügbaren Zertifikatvorlagen. Außerdem wird durch die
automatische Clientregistrierung die Authentifizierung von Benutzern mit drahtloser Verbindung sicherer, da diese für
den Authentifizierungsvorgang digitale Zertifikate verwenden müssen. Die automatische Registrierung kann diese Anfor-
derung für die Benutzer virtuell transparent machen, indem diese die Möglichkeit haben, Zertifikate automatisch anzu-
fordern, ausgestellte Zertifikate abzurufen und veraltete Zertifikate zu erneuern. Sie können den Schutz für Ihr Netzwerk
durch die öffentliche Schlüsselinfrastruktur für Windows Server 2003 erweitern, indem Sie die Verwendung der öffent-
lichen Schlüsselinfrastruktur so ausweiten, dass weitere, bereits erwähnte Anwendungen (zum Beispiel digitale Signa-
turen, IPSec usw.) unterstützt werden.

WICHTIG: In allen schrittweisen Anweisungen in diesem Dokument wird das Startmenü verwendet, das nach der Instal-
lation des Betriebssystems in der Standardeinstellung angezeigt wird. Wenn Sie das Startmenü geändert haben,
können sich die Arbeitsschritte leicht unterscheiden.

 

Vorbereitung
In diesem Abschnitt werden die Anforderungen zum Installieren einer Organisationszertifizierungsstelle erläutert. Vor
der Installation der Zertifizierungsstelle müssen alle Anforderungen erfüllt werden. Andernfalls schlägt die Installation
möglicherweise fehl, oder die Zertifizierungsstelle funktioniert nur eingeschränkt.

Für die folgenden Anweisungen wird vorausgesetzt, dass noch kein bereitgestelltes öffentliches Schlüsselinfrastruktur-
system vorhanden ist. Die beschriebenen Lösungen bieten keine Anweisungen für das Integrieren zusätzlicher
Microsoft-Zertifizierungsstellendienste in eine existierende öffentliche Schlüsselinfrastruktur.

 

Grundvoraussetzungen der IT-Infrastruktur
Ihre Organisation muss über folgende IT-Infrastruktur verfügen:

Eine bereitgestellte Active Directory-Domäneninfrastruktur (Microsoft® Windows® 2000 Server mit Service Pack 3
(SP3) oder höher oder Windows Server 2003). Alle Benutzer der Zertifikatdienste in dieser Lösung sollten Mitglieder
einer Domäne innerhalb derselben Active Directory-Gesamtstruktur sein. Bei dieser Bereitstellung wird davon ausge-
gangen, dass Sie die Windows Server 2003 Active Directory-Schemaerweiterungen verwenden.

Serverhardware, auf der die Windows Server 2003-Zertifikatdienste ausgeführt werden können. Eine empfohlene Konfi-
guration finden Sie in der Tabelle "Empfohlene Hardwarespezifikation für den Organisations-Stammzertifizierungs-
stellenserver".

Lizenzen, Installationsmedien und Produktschlüssel für Windows Server 2003 Enterprise Edition oder Windows
Server 2003 Datacenter Edition.

In der folgenden Tabelle finden Sie die Verfahren, die auf einem Server mit Windows Server 2003 Standard Edition
durchgeführt werden können, sowie die Verfahren, für die ein Server mit Windows Server 2003 Enterprise Edition oder
Windows Server 2003 Datacenter Edition erforderlich

Für alle Verfahren ist das Betriebssystem Windows Server 2003 erforderlich

Verfahren Windows Server 2003 Betriebssystem Typ
Installieren und Konfigurieren einer Organisations-Stammzertifizierungsstelle
 Standard Edition
Überprüfen der Zertifizierungsstelleninstallation
 Standard Edition
Installieren von Zertifikatvorlagen
 Standard Edition
Erstellen einer Zertifikatvorlage
 Enterprise Edition oder Datacenter Edition
Konfigurieren einer Zertifikatvorlage für die automatische Clientregistrierung
 Enterprise Edition oder Datacenter Edition
Erteilen von Registrierungsberechtigungen für eine Standardzertifikatvorlage
 Standard Edition
Konfigurieren der Zertifizierungsstelle für die Ausgabe von Zertifikaten auf der Grundlage der Zertifikatvorlage
 Enterprise Edition, wenn eine Zertifikatvorlage der Version 2 erforderlich ist. Andernfalls Standard Edition.
Erstellen der automatischen Registrierung für Benutzer drahtloser Verbindungen
 Enterprise Edition

 

Auswahl des zu verwendenden Zertifizierungsstellentyps
Einige Organisationen verwenden externe kommerzielle Zertifizierungsstellen, während andere eigene Zertifizierungs-
stellen betreiben. Da in einer Zertifizierungsstelle vertrauliche Informationen verwendet werden, verfügen die meisten
Organisationen über eigene Zertifizierungsstellen. Hier wird davon ausgegangen, dass Ihre Organisation eine eigene
Zertifizierungsstelle bereitstellt.

Windows Server 2003 bietet abhängig von den bei der Installation ausgewählten Richtlinienmodulen zwei Klassen von
Zertifizierungsstellen, eine Organisationszertifizierungsstelle oder eine eigenständige Zertifizierungsstelle. In den Richt-
linienmodulen werden die Aktionen definiert, die eine Zertifizierungsstelle beim Empfang einer Zertifizierungsanfrage
durchführen kann.

In der Regel sollte eine Organisationszertifizierungsstelle installiert werden, wenn Zertifikate an Benutzer oder Com-
puter innerhalb einer Organisation vergeben werden, die Teil einer Windows Server 2003-Domäne ist. Eine eigenstän-
dige Zertifizierungsstelle sollte installiert werden, wenn Zertifikate an Benutzer oder Computer außerhalb einer Windows
Server 2003-Domäne ausgestellt werden.

Bei einer Organisationszertifizierungsstelle ist es erforderlich, dass alle Clients, die Zertifikate anfragen, über einen Ein-
trag in Active Directory verfügen. Dies gilt jedoch nicht bei eigenständigen Zertifizierungsstellen. Eine Organisations-
zertifizierungsstelle kann zudem einfacher Zertifikate für eine Anmeldung an einer Windows Server 2003-Domäne aus-
stellen als eine eigenständige Zertifizierungsstelle.

Innerhalb der Organisations- und eigenständigen Zertifizierungsstellenklassen sind zwei Arten von Zertifizierungsstellen
möglich, eine Stammzertifizierungsstelle oder eine untergeordnete Zertifizierungsstelle. Eine Stammzertifizierungsstelle
stellt die Grundlage für Vertrauensstellungen in einer Organisation dar. Falls erforderlich kann mithilfe des Zertifikats der
Stammzertifizierungsstelle die untergeordnete Zertifizierungsstelle zum Implementieren der Richtlinie und Ausstellen
von Endbenutzerzertifikaten aktiviert werden. In diesem Dokument wird das Installieren und Konfigurieren einer Organi-
sations-Stammzertifizierungsstelle ohne untergeordnete Zertifizierungsstellen erläutert.

Weitere Informationen über die Unterschiede zwischen Organisations-, eigenständigen, Stamm- und untergeordneten
Zertifizierungsstellen sowie über wichtige Entscheidungen zum Entwurf der öffentlichen Schlüsselinfrastruktur finden
Sie auf der TechNet- Website (http://search.microsoft.com/search/search.aspx?st=b&View=de-de ) im Doku-
ment "MSA Enterprise Design for Certificate Services" unter "Determining CA Roles & Types" (englischsprachig).

 

Wichtige Vorkenntnisse

Die Zertifikatdienste von Windows Server 2003 enthalten eine Reihe von Zertifizierungsstellen-Webseiten. Diese er-
möglichen eine Verbindung zur Zertifizierungsstelle mithilfe eines Webbrowsers und die Durchführung gängiger Aufga-
ben, zum Beispiel Anfordern von Zertifikaten bei einer Zertifizierungsstelle, Anfordern des Zertifikats der Zertifizierungs-
stelle, Übermittlung einer Zertifikatanfrage, Abrufen der Zertifikatsperrliste (Certificate Revocation List, CRL) der Zertifi-
zierungsstelle oder Durchführen der Smartcard-Zertifikatregistrierung. Bei eigenständigen Zertifizierungsstellen stellen
die Webseiten der Hauptmethode dar, über die Zertifikatanfragen an die Zertifizierungsstelle übermittelt werden können,
da das Zertifikat-Snap-In nicht zum Anfordern von Zertifikaten von einer eigenständigen Zertifizierungsstelle verwendet
werden kann. Organisationszertifizierungsstellen können Zertifikatanfragen mithilfe des Zertifikat-Snap-Ins oder der Re-
gistrierungswebseiten annehmen.

Für die Weboberfläche der Zertifizierungsstelle müssen Active Server Pages ausgeführt werden. Sie können die Ac-
tive Server Pages vor dem Start über Internetinformationsdienste aktivieren, oder Sie werden dazu aufgefordert.

Durch die für die Zertifizierungsstelle ausgewählte Gültigkeitsdauer wird festgelegt, wann das Zertifizierungsstellen-
zertifikat abläuft oder erneuert werden muss. In Umgebungen mit geringen Sicherheitsanforderungen können längere
Gültigkeits- und Erneuerungszeiträume verwendet werden. Für höhere Sicherheitsanforderungen werden in der Regel
kürzere Gültigkeits- und Erneuerungszeiträume festgelegt.

Die Zertifizierungsstelle ist einer der empfindlichsten Server einer Organisation. Daher müssen für eine Zertifizierun-
gsstelle sowohl bei der Bereitstellung als auch im täglichen Betrieb höhere Sicherheitsanforderungen eingeplant wer-
den. Schränken Sie den physischen Zugriff auf die Zertifizierungsstelle ein, und gestatten Sie lediglich den vertrau-
enswürdigsten Mitarbeitern die Verwaltung des Servers. Sichern Sie außerdem den Server, auf dem die Zertifizierun-
gsstelle installiert wurde, entsprechend den Anweisungen im Dokument "Sichern von Windows Server 2003-Domä-
nencontrollern" im Security Guidance Kit.



Nach der Bereitstellung der Zertifizierungsstelle unveränderliche Elemente

Die während der Einrichtung bereitgestellten Informationen, zum Beispiel der Name der Zertifizierungsstelle, können
nach dem Fertigstellen der Einrichtung nicht mehr geändert werden.

Die Domäneneinstellungen des Computers, zum Beispiel Beitreten zu einer Domäne oder Heraufstufen eines Servers
zum Domänencontroller, können nach dem Installieren der Zertifizierungsstelle nicht mehr geändert werden.

Wenn Sie die Organisationszertifizierungsstelle als Organisations-Admin oder delegierter Benutzer installiert haben,
muss zum Deinstallieren der Organisationszertifizierungsstelle ein Organisations-Admin-Konto oder das Konto des
delegierten Benutzers verwendet werden.



Installieren und Konfigurieren einer Organisations-Stammzertifizierungsstelle
Beim Installationsvorgang für die Stammzertifizierungsstelle der Zertifikatdienste wird ein Stammzertifizierungsstellen-
zertifikat erstellt, das den öffentlichen Schlüssel der Zertifizierungsstelle und die mit dem privaten Schlüssel des
Stamms erstellte digitale Signatur enthält. In diesem Abschnitt finden Sie schrittweise Anweisungen zum Erstellen ei-
ner Organisations-Stammzertifizierungsstelle, zum Verwenden einer Zertifikatvorlage für die Aktivierung der automati-
schen Clientregistrierung und zum Erstellen der automatischen Registrierung.

Installieren und Konfigurieren einer Organisations-Stammzertifizierungsstelle.

Überprüfen der Zertifizierungsstelleninstallation.

Installieren von Zertifikatvorlagen.

Erstellen einer benutzerdefinierten Zertifikatvorlage.

Konfigurieren einer Zertifikatvorlage für die automatische Clientregistrierung.

Erteilen von Registrierungsberechtigungen für eine Standardzertifikatvorlage.

Konfigurieren der Zertifizierungsstelle für die Ausgabe von Zertifikaten auf der Grundlage der Zertifikatvorlage.



Installieren und Konfigurieren einer Organisations-Stammzertifizierungsstelle
Sie müssen sich nun als Organisationsadministrator anmelden. Melden Sie sich in diesem Beispiel über ein Konto
an, das Mitglied der Gruppen Organisations-Admins und Domänen-Admins der Stammdomäne ist.

Anforderungen
Anmeldeinformationen: Sie müssen über ein Konto angemeldet sein, das Mitglied der Gruppen Organisations-Admins
und Domänen-Admins der Stammdomäne ist.

Tools: Assistent für Windows-Komponenten.

Diese Aufgabe kann nur auf einem Server durchgeführt werden, auf dem Windows Server 2003 Standard Edition, Win-
dows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition ausgeführt wird.

So installieren und konfigurieren Sie eine Organisations-Stammzertifizierungsstelle

  1. Melden Sie sich als Mitglied der Gruppen Organisations-Admins und Domänen-Admins der Stammdomäne an.

  2. Klicken Sie auf Start, Systemsteuerung, Software und anschließend auf Windows-Komponenten hinzufügen
    /entfernen    .

  3. Aktivieren Sie im Assistenten für Windows-Komponenten das Kontrollkästchen Zertifikatdienste. Ein Dialog-
    feld wird angezeigt, in dem darauf hingewiesen wird, dass der Computer nach dem Installieren der Zertifikatdienste
    nicht umbenannt werden und keiner Domäne beitreten oder von dieser entfernt werden kann. Klicken Sie auf Ja.


    Hinweis:
    Wenn Sie die Webkomponenten der Zertifikatdienste verwenden möchten, muss das Kontrollkästchen
    IIS aktiviert sein. Klicken Sie hierzu auf Anwendungsserver (aktivieren Sie jedoch nicht das entsprechende Kon-
    trollkästchen), klicken Sie auf Details, wählen Sie Internetinformationsdienste (IIS) aus, und klicken Sie an-
    schließend auf OK.


    Klicken Sie auf Weiter.

  4. Wählen Sie auf der Seite Zertifizierungsstellentyp die Option Stammzertifizierungsstelle des Unternehmens aus,
    und klicken Sie anschließend auf Weiter


    Hinweis:
    Der private Schlüssel wird stets lokal auf dem Server gespeichert, es sei denn, es wird ein kryptografisches Hard-
    waregerät verwendet. In diesem Fall wird der private Schlüssel auf dem Gerät gespeichert.
    Der öffentliche Schlüssel wird im Zertifikat platziert.

  5. Stellen Sie auf der Seite Informationen über die Zertifizierungsstelle die entsprechenden Identifizierungsinfor-
    mationen für Ihre Site und Ihre Organisation ein:

    1. Geben Sie unter Allgemeiner Name dieser Zertifizierungsstelle den allgemeinen Namen der Zertifizierungs-
      stelle ein. Der Name der Zertifizierungsstelle (oder der allgemeine Name) ist wichtig, da über ihn das in Active
      Directory erstellte Zertifizierungsstellenobjekt identifiziert wird.

    2. Übernehmen Sie den unter Gültigkeitszeitraum angegebenen Standardwert von fünf Jahren, und klicken Sie
      anschließend auf Weiter. Der Gültigkeitszeitraum ist die Zeitspanne, für die die Zertifizierungsstelle gültig ist.
      Bei der Wahl dieses Zeitraums muss zwischen der Sicherheit und dem Verwaltungsaufwand abgewogen
      werden. Bedenken Sie hierbei, dass der Administrator nach jedem Ablauf eines Stammzertifikats sämtliche
      Vertrauensstellungen aktualisieren und administrative Schritte unternehmen muss, um die Zertifizierungsstelle
      auf ein neues Zertifikat zu verschieben. Eine Dauer von fünf oder mehr Jahren ist in der Regel für die meisten
      Organisationsumgebungen ausreichend. Dabei sollte die Dauer jedoch den IT-Richtlinien und -Vorgängen ent-
      sprechen. Wenden Sie sich an Ihre Rechtsberatung, um sicherzustellen, dass die Zertifizierungsstellenkonfi-
      guration mit den entsprechenden gesetzlichen Anforderungen übereinstimmt.




  6. Klicken Sie auf der Seite Einstellungen der Zertifikatdatenbank auf Weiter, um die Standardspeicherorte der
    Zertifikatdatenbank und des Zertifikatdatenbankprotokolls anzunehmen, und vergewissern Sie sich anschließend,
    dass Konfigurationsinformationen in einem freigegebenen Ordner speichern nicht aktiviert ist.


    Hinweis: Während der Installation wird möglicherweise eine Warnung ausgegeben, dass kein freigegebener
    Ordner erstellt werden kann. Diese Warnung ist zu erwarten, da alle Netzwerkschnittstellen deaktiviert wurden.
    Ignorieren Sie die Warnung, und fahren Sie fort. Die Zertifikatdatenbank und das Zertifikatdatenbankprotokoll
    müssen auf lokalen NTFS-Laufwerken gespeichert werden.




  7. Wenn IIS ausgeführt wird, werden Sie in einer Meldung aufgefordert, den Dienst zu beenden. Klicken Sie auf Ja,
    um IIS zu beenden. IIS muss vor dem Installieren der Webkomponenten beendet werden.

    Hinweis:
    Wenn Sie IIS nicht installiert haben, wird die Meldung nicht angezeigt und die Webregistrierung ist nicht
    verfügbar.

    Der Manager für optionale Komponenten installiert anschließend die Komponenten der Zertifikatdienste. Wenn
    hierfür das Windows Server 2003-Installationsmedium (CD) erforderlich ist, legen Sie die Produkt-CD in das CD-
    Laufwerk ein.

  8. Klicken Sie auf OK, um die Installation abzuschließen. Klicken Sie auf Fertig stellen, um den Assistenten zu
    schließen.

Fügen Sie der Zertifizierungsstelle nach der Installation Zertifikatvorlagen hinzu, und konfigurieren Sie diese so, dass auf
dieser Vorlage basierende Zertifikate angefordert werden können.

Hinweis:
Wenn Sie die Sicherheit der Domänencontroller in Ihrer Organisation anhand dieser Anweisungen verstärken
möchten, müssen Sie die Gruppenrichtlinieneinstellungen der Domäne ändern, um die Zertifikatdienste neu zu aktivieren.
Weitere Informationen hierzu finden Sie unter "Sichern von Windows Server 2003-Domänencontrollern" im Security
Guidance Kit.

 

Überprüfen der Zertifizierungsstelleninstallation
Um den erfolgreichen Abschluss der Zertifikatdienste-Installation auf einfache Weise zu überprüfen, öffnen Sie eine Be-
fehlszeile, und geben Sie net start ein, um zu ermitteln, ob die Zertifikatdienste ausgeführt werden.

Sie können auch das Setupprotokoll der Zertifikatdienste unter systemroot \certocm.log für weitere Überprüfungen oder
die Problembehandlung im Fall von Fehlern anzeigen.

Sie können auch folgendes Verfahren anwenden.

Anforderungen
Anmeldeinformationen: Sie müssen über ein Konto angemeldet sein, das Mitglied der Gruppe Organisations-Admins
und der lokalen Administratorgruppe des Computers ist, auf dem die Zertifikatdienste ausgeführt werden.

Tools: Zertifizierungsstellen-Snap-In.

Diese Aufgabe kann nur auf einem Server durchgeführt werden, auf dem Windows Server 2003 Standard Edition,
Windows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition ausgeführt wird.



So überprüfen Sie die ordnungsgemäße Installation der Stammzertifizierungsstelle

  1. Klicken Sie auf Start, Systemsteuerung, Verwaltung und anschließend auf Zertifizierungsstelle.

  2. Stellen Sie sicher, dass die Zertifikatdienste gestartet wurden und die Eigenschaften der Zertifizierungsstelle
    angezeigt werden können. Die Zertifizierungsstelle sollte mit einem Häkchen aufgeführt sein.

  3. Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle, und klicken Sie auf Eigenschaften.

  4. Wählen Sie auf der Registerkarte Allgemein in der Liste Zertifizierungsstellenzertifikate die Option Zertifikat
    Nr. 0     aus, und klicken Sie anschließend auf Zertifikat anzeigen.

  5. Klicken Sie für das Zertifizierungsstellenzertifikat auf die Registerkarte Details, und überprüfen Sie, ob die ange-
    zeigten Werte denen der folgenden Tabelle entsprechen.


    Standardeinstellungen für Zertifikatdetails
    Feld Wert
    Version V3
    Aussteller Sollte identisch mit dem Antragsteller sein und den vollständigen allgemeinen Namen der Zertifizierungsstelle sowie das bei der Installation bereitgestellte Suffix des definierten Namens enthalten.
    Gültig von Das Datum, an dem Sie den Organisationszertifizierungsstellen-Stammserver installiert haben.
    Gültig bis Fünf Jahre nach dem Datum, an dem Sie den Organisationszertifizierungsstellen-Stammserver installiert haben.
    Antragsteller Sollte identisch mit dem Aussteller sein und den vollständigen allgemeinen Namen der Zertifizierungsstelle sowie den bei der Installation bereitgestellten Suffix des definierten Namens enthalten.
    öffentlicher Schlüssel RSA (2048 Bits)
    Basis Einschränkungen Typ des Antragstellers = Zertifizierungsstelle
    Einschränkung der Pfadlänge = Keine


    Hinweis:
    Der Typ des Antragsstellers in den Basiseinschränkungen ist sehr wichtig. Durch diesen Wert unterscheidet sich
    ein Zertifizierungsstellenzertifikat von einem Endeinheitzertifikat. Außerdem sollten keine CDP- oder AIA-Erweiter-
    ungen aufgeführt sein.

    Wenn einer der zuvor angegebenen Werte nicht Ihren Erwartungen entspricht, sollten Sie die Installation der Zertifi-
    katdienste neu starten.

    Wenn eine erneute Installation erforderlich ist, wird eine Warnung angezeigt, die auf den bereits vorhandenen priva-
    ten Schlüssel hinweist. Wenn mit diesem Schlüssel noch keine Zertifikate ausgestellt wurden, können Sie die
    Warnung ignorieren und einen neuen Schlüssel erstellen. Wenn die Zertifizierungsstelle bereits Zertifikate (abgese-
    hen von Testzertifikaten) ausgestellt hat, sollten Sie die Neuinstallation erst durchführen, wenn der vorherige Schlü-
    ssel und das Zertifikat gesichert wurden.

    Weitere Informationen über CDP- oder AIA-Erweiterungen sowie das Sichern des vorherigen Schlüssels und des
    Zertifikats finden Sie auf der TechNet-Website unter
    http://go.microsoft.com/fwlink/?LinkId=22675 im Artikel "Operations Guide 2 - Managing the Public Key
    Infrastructure"     oder auf der TechNet Website unter
    http://go.microsoft.com/fwlink/?LinkId=22673 im Artikel "Windows Server 2003 PKI Operations Guide"
    (englischsprachig).

 

Installieren von Zertifikatvorlagen
Im Folgenden wird das Verfahren für die Installation und Anzeige von Standardzertifikatvorlagen beschrieben. Eine Be-
schreibung der einzelnen Standardzertifikatvorlagen finden Sie auf der TechNet-Website unter http://go.microsoft.com/
fwlink/?LinkId=22669 im Artikel "Implementing and Administering Certificate Templates in Windows Server
2003" im Abschnitt "Default Templates" (englischsprachig).

Anforderungen
Anmeldeinformationen: Sie müssen über ein Konto angemeldet sein, das Mitglied der Gruppen Organisations-Admins
der Stammdomäne ist.

Tools: Zertifikatvorlagen (certtmpl.msc)

Diese Aufgabe kann nur auf einem Server durchgeführt werden, auf dem Windows Server 2003 Standard Edition,
Windows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition ausgeführt wird.

So installieren Sie Standardzertifikatvorlagen und zeigen diese an

  1. Klicken Sie auf Start und Ausführen, geben Sie im Dialogfeld Ausführen den Dateinamen certtmpl.msc ein, und
    klicken Sie anschließend auf OK.

  2. Wenn Sie das Zertifikatvorlagen-Snap-In zum ersten Mal auf dieser Zertifizierungsstelle ausführen, erhalten Sie
    Meldungen, die darauf hinweisen, dass die Zertifikatvorlagen installiert werden müssen. Klicken Sie bei jeder Mel-
    dung auf Ja.

  3. Klicken Sie in der Konsolenstruktur auf Zertifikatvorlagen. Sämtliche Zertifikatvorlagen werden im Detailbereich
    angezeigt.


  4. Schließen Sie Zertifikatvorlagen.

 

 

Erstellen einer benutzerdefinierten Zertifikatvorlage
Zertifikatvorlagen ermöglichen die Anpassung der von den Zertifikatdiensten ausgestellten Zertifikate, einschließlich der
Ausgabemethode und des Inhalts. Eine Zertifikatvorlage besteht aus einer Reihe von Regeln und Einstellungen, die für
eingehende Zertifikatanforderungen gelten.

Neue Zertifikatvorlagen werden erstellt, indem vorhandene Vorlagen kopiert und deren Eigenschaften als Standard für
die neue Vorlage verwendet werden. Kopieren Sie eine Zertifikatvorlage, deren Konfiguration der gewünschten Konfigu-
ration der neuen Vorlage am ähnlichsten ist.

Anforderungen
Anmeldeinformationen: Sie müssen über ein Konto angemeldet sein, das Mitglied der Gruppe Organisations-Admins
ist.

Tools: Zertifikatvorlagen (certtmpl.msc)

Diese Aufgabe kann nur auf einem Server durchgeführt werden, auf dem Windows Server 2003 Enterprise Edition oder
Windows Server 2003 Datacenter Edition ausgeführt wird.

 

So erstellen Sie aus einer vorhandenen Vorlage eine benutzerdefinierte Zertifikatvorlage

  1. Klicken Sie auf Start und Ausführen, geben Sie im Dialogfeld Ausführen den Dateinamen certtmpl.msc ein, und
    klicken Sie anschließend auf OK, um Zertifikatvorlagen zu öffnen.

  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu kopierende Vorlage, und klicken Sie anschlie-
    ßend auf Doppelte Vorlage.

  3. Geben Sie für diese Zertifikatvorlage einen neuen Namen ein.

  4. Nehmen Sie die gewünschten Änderungen vor, und klicken Sie auf OK. Die neue Vorlage wird am unteren Ende
    der Liste angezeigt und weist in der Spalte Automatische Registrierung die Bezeichnung Zugelassen auf.

  5. Schließen Sie Zertifikatvorlagen.

 

Konfigurieren einer Zertifikatvorlage für die automatische Clientregistrierung
Die automatische Registrierung ist eine nützliche Funktion der Zertifikatdienste in Windows XP und Windows Server
2003 Enterprise Edition. Die automatische Registrierung ermöglicht, Clients so zu konfigurieren, dass ohne Clienteingriff
Zertifikate automatisch registriert, ausgestellte Zertifikate abgerufen und ablaufende Zertifikate erneuert werden.
Ein Client muss nicht über sämtliche Zertifikatvorgänge informiert werden, sofern die Zertifikatvorlage nicht für die Inter-
aktion mit dem Client konfiguriert ist.

In diesem Abschnitt wird eine Möglichkeit beschrieben, die Zertifikatvorlage zu ändern: für die automatische Clientregis-
trierung. Weitere Informationen zur automatischen Registrierung finden Sie auf der TechNet-Website unter http://go.mi-
crosoft.com/fwlink/?LinkId=22668 im Artikel "Certificate Autoenrollment in Windows Server 2003" (englischspra-
chig).

Um die automatische Clientregistrierung ordnungsgemäß zu konfigurieren, müssen Sie entsprechende Zertifikatvorlagen
planen. Verschiedene Einstellungen der Zertifikatvorlage haben direkten Einfluss auf das Verhalten der automatischen
Clientregistrierung.

Anforderungen
Anmeldeinformationen: Sie müssen über ein Konto angemeldet sein, das Mitglied der Gruppe Organisations-Admins
ist.

Tools: Zertifikatvorlagen (certtmpl.msc).

Diese Aufgabe kann nur auf einem Server durchgeführt werden, auf dem Windows Server 2003 Enterprise Edition
oder Windows Server 2003 Datacenter Edition ausgeführt wird.


So konfigurieren Sie eine Zertifikatvorlage für die automatische Clientregistrierung

  1. Klicken Sie auf Start und Ausführen, geben Sie im Dialogfeld Ausführen den Dateinamen certtmpl.msc ein,
    und klicken Sie anschließend auf OK.

  2. Klicken Sie unter Zertifikatvorlagen mit der rechten Maustaste auf die soeben erstellte und für die automatische
    Registrierung zu konfigurierende Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Registerkarte Sicherheit in der Liste Gruppen- oder Benutzernamen auf den für die auto-
    matische Registrierung zu konfigurierenden Benutzer, den Computer oder die Gruppe.
    Wenn der Name des Benutzers, des Computers oder der Gruppe auf der Registerkarte Sicherheit noch nicht aufge-
    führt ist, klicken Sie auf Hinzufügen. Geben Sie im Dialogfeld Benutzer, Computer oder Gruppen auswählen
    den Namen ein, den Sie hinzufügen möchten, und klicken Sie anschließend auf OK.

  4. Aktivieren Sie in der Liste Berechtigungen für Objektname unter der Spalte Zulassen die Kontrollkästchen Le-
    sen, Registrieren     und Automatisch registrieren, und klicken Sie anschließend auf Übernehmen. Wiederholen
    Sie für jeden Benutzer, jeden Computer beziehungsweise jede Gruppe, für die die automatische Registrierung konfi-
    guriert werden soll, die Schritte 3 und 4, und klicken Sie anschließend auf OK.


  5. Schließen Sie Zertifikatvorlagen.

 

Erteilen von Registrierungsberechtigungen für eine Standardzertifikatvorlage
Bei diesem Vorgang werden Standardvorlagen so konfiguriert, dass sie von den unter "Konfigurieren einer Zertifikatvor-
lage für die automatische Clientregistrierung" automatisch registrierten Clients verwendet werden können.

Anforderungen
Anmeldeinformationen: Sie müssen über ein Konto angemeldet sein, das Mitglied der Gruppe Organisations-Admins
ist.

Tools: Zertifikatvorlagen (certtmpl.msc).

Diese Aufgabe kann nur auf einem Server durchgeführt werden, auf dem Windows Server 2003 Standard Edition,
Windows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition ausgeführt wird.

So lassen Sie zu, dass Clients ein auf der Vorlage basierendes Zertifikat anfordern

  1. Klicken Sie auf Start und Ausführen, geben Sie im Dialogfeld Ausführen den Dateinamen certtmpl.msc ein, und
    klicken Sie anschließend auf OK.

  2. Klicken Sie unter Zertifikatvorlagen mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken
    Sie dann auf Eigenschaften.

  3. Fügen Sie auf der Registerkarte Sicherheit die gewünschten Benutzer, Computer oder Gruppen hinzu.

  4. Klicken Sie in Gruppen- oder Benutzernamen auf eines der neuen Objekte, und aktivieren Sie anschließend unter Berechtigungen für Objektname unter der Spalte Zulassen die Kontrollkästchen Lesen und Registrieren.

  5. Wiederholen Sie diesen Schritt für jedes neue Objekt.

Hinweis:
Wenn Sie nicht zulassen möchten, dass Antragsteller ein auf einer Vorlage basierendes Zertifikat anfordern, deaktivie-
ren Sie die Kontrollkästchen Lesen und Registrieren über die gleichen Schritte.

Konfigurieren der Zertifizierungsstelle für die Ausgabe von Zertifikaten auf
der Grundlage der Zertifikatvorlage

Bei diesem Vorgang wird der Zertifizierungsstelle eine neue, von der Zertifizierungsstelle auszustellende Zertifikatvorlage
hinzugefügt.

Anforderungen
Anmeldeinformationen: Sie müssen über ein Konto angemeldet sein, das ein Mitglied der lokalen Administratorgruppe
des Computers ist, auf dem die Zertifikatdienste ausgeführt werden.

Tools: Zertifizierungsstellen-Snap-In.

Diese Aufgabe kann nur auf einem Server durchgeführt werden, auf dem Windows Server 2003 Standard Edition, Win-
dows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition ausgeführt wird.

So fügen Sie einer Zertifizierungsstelle eine Zertifikatvorlage hinzu

  1. Klicken Sie auf Start, Systemsteuerung, Verwaltung und anschließend auf Zertifizierungsstelle.

  2. Erweitern Sie die Organisations-Stammzertifizierungsstelle.

  3. Klicken Sie mit der rechten Maustaste auf den Container Zertifikatvorlagen, klicken Sie auf Neu und anschlie-
    ßend auf Auszustellende Zertifikatvorlage.

  4. Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die in der Zertifizierungsstelle zu aktivierende Vorlage
    aus, und klicken Sie anschließend auf OK. Die aktivierte Zertifikatvorlage wird im Container für Zertifikatvorlagen
    angezeigt.

  5. Schließen Sie Zertifizierungsstelle.

 

Entfernen einer Zertifikatvorlage aus einer Zertifizierungsstelle
Nach dem Definieren und Konfigurieren der zu verwendenden Zertifikatvorlagen ist es sinnvoll, alle nicht zu verwenden-
den Zertifikatvorlagen aus der Zertifizierungsstelle zu entfernen. Beim Entfernen einer Zertifikatvorlage wird lediglich die
Verknüpfung zwischen einem Zertifikat und der Zertifizierungsstelle aufgehoben, diese wird jedoch nicht physisch aus
dem Zertifikatvorlagenspeicher gelöscht. Wenn eine der entfernten Zertifikatvorlagen wieder benötigt wird, kann sie über
die Schritte im Abschnitt "Installieren von Zertifikatvorlagen" wieder bereitgestellt werden.

Anforderungen
Anmeldeinformationen: Sie müssen über ein Konto angemeldet sein, das Mitglied der Gruppe Organisations-Admins
ist.

Tools: Zertifizierungsstellen-Snap-In.

Diese Aufgabe kann nur auf einem Server durchgeführt werden, auf dem Windows Server 2003 Standard Edition,
Windows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition ausgeführt wird.

So entfernen Sie eine Zertifikatvorlage aus einer Zertifizierungsstelle

  1. Klicken Sie auf Start, Systemsteuerung, Verwaltung und anschließend auf Zertifizierungsstelle.

  2. Erweitern Sie die Organisations-Stammzertifizierungsstelle.

  3. Klicken Sie mit der rechten Maustaste auf den Container Zertifikatvorlagen.

  4. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Zertifikatvorlage, die Sie aus der Zertifizierungs-
    stelle entfernen möchten, und klicken Sie anschließend auf Löschen.

  5. Klicken Sie im Dialogfeld Zertifikatvorlagen deaktivieren auf Ja.
    Die Zertifikatvorlage wird nicht mehr im Detailbereich angezeigt.

 

Beispielimplementierung der Zertifikatdienste: Erstellen der automatischen Registrierung
für Benutzer drahtloser Verbindungen

Führen Sie folgende Schritte durch, um Ihren Server so zu konfigurieren, dass eine automatische Registrierung für Com-
puter- und Benutzerzertifikate durchgeführt werden kann:

Erstellen Sie eine Zertifikatvorlage für Benutzer drahtloser Verbindungen.

Konfigurieren Sie eine Zertifikatvorlage für die automatische Clientregistrierung.

Konfigurieren der Zertifizierungsstelle für die Ausgabe von Zertifikaten auf der Grundlage der Vorlage.

Anforderungen
Anmeldeinformationen: Sie müssen über ein Konto angemeldet sein, das Mitglied der Gruppe Organisations-Admins
ist.

Tools: Zertifikatvorlagen-Snap-In (certtmpl.msc) und Zertifizierungsstellen-Snap-In.

Die Aufgaben in dieser Beispielimplementierung können nur auf einem Server durchgeführt werden, auf dem Windows
Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition ausgeführt wird.

 

Erstellen einer Zertifikatvorlage für Benutzer drahtloser Verbindungen

So erstellen Sie eine Zertifikatvorlage für Benutzer drahtloser Verbindungen

  1. Klicken Sie auf Start und Ausführen, geben Sie im Dialogfeld Ausführen den Dateinamen certtmpl.msc ein, und klicken Sie anschließend auf OK.

  2. Klicken Sie im Detailbereich von Zertifikatvorlagen auf die Vorlage Benutzer.

  3. Klicken Sie im Menü Aktion auf Doppelte Vorlage.

  4. Geben Sie auf der Seite Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein im Feld Vorlagenanzeigename die Zeichenfolge WirelessUserCertificateTemplate ein.


  5. Klicken Sie auf Übernehmen, und fahren Sie mit dem nächsten Schritt fort.

 

Konfigurieren einer Zertifikatvorlage für die automatische Clientregistrierung

So konfigurieren Sie eine Zertifikatvorlage für die automatische Clientregistrierung

  1. Stellen Sie sicher, dass auf der Seite Eigenschaften von WirelessUserCertificateTemplate auf der Register-
    karte Allgemein das Kontrollkästchen Zertifikat in Active Directory veröffentlichen aktiviert ist.

  2. Klicken Sie auf die Registerkarte Sicherheit.

  3. Klicken Sie in der Liste Gruppen- oder Benutzernamen auf Domänen-Benutzer.

  4. Aktivieren Sie unter der Spalte Zulassen in der Liste Berechtigungen für Domänen-Benutzer die Kontrollkäst-
    chen Lesen, Registrieren und Automatisch registrieren.



  5. Klicken Sie auf die Registerkarte Antragstellername, deaktivieren Sie E-Mail-Name im Antragstellernamen
    und E-Mail-Name, und klicken Sie anschließend auf OK.




    WICHTIG: Diese beiden Optionen sind deaktiviert, da in diesem Beispiel für eine Testbereitstellung kein E-Mail-
    Name für das Konto WirelessUser im Active Directory-Benutzer und -Computer-Snap-In eingegeben wurde.
    Sie müssen entweder eine E-Mail-Adresse für das Konto WirelessUser eingeben oder die beiden E-Mail-Kontroll-
    kästchen für die automatische Registrierung für das an den Client zu verteilende Benutzerzertifikat deaktivieren.

  6. Klicken Sie auf OK, und schließen Sie anschließend Zertifikatvorlagen.

 

Konfigurieren der Zertifizierungsstelle für die Ausgabe von Zertifikaten auf der Grundlage der Vorlage

So konfigurieren Sie die Zertifizierungsstelle für die Ausgabe von Zertifikaten auf der Grundlage der Vorlage

  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, dann auf Verwaltung, und klicken Sie anschließend
    auf Zertifizierungsstelle.

  2. Erweitern Sie in der Konsolenstruktur die Organisations-Stammzertifizierungsstelle, und klicken Sie anschlie-
    ßend auf Zertifikatvorlagen.


  3. Zeigen Sie im Menü Aktion auf Neu, und klicken Sie anschließend auf Auszustellendes Zertifikat.

  4. Führen Sie gegebenenfalls einen Bildlauf nach unten durch, und klicken Sie anschließend auf
    WirelessUserCertificateTemplate    .



  5. Klicken Sie auf OK.

  6. Klicken Sie auf Start, zeigen Sie auf Alle Programme, dann auf Verwaltung, und klicken Sie dann auf Active
    Directory-Benutzer und -Computer    .

  7. Doppelklicken Sie gegebenenfalls in der Konsolenstruktur auf Active Directory-Benutzer und -Computer,
    klicken Sie mit der rechten Maustaste auf die Domäne Contoso.com, und klicken Sie anschließend auf Eigen-
    schaften    .

  8. Klicken Sie auf der Registerkarte Gruppenrichtlinie auf Standarddomänenrichtlinie und anschließend auf
    Bearbeiten    . Daraufhin wird das Gruppenrichtlinien-Snap-In geöffnet.

  9. Erweitern Sie in der Konsolenstruktur nacheinander die Einträge Computerkonfiguration, Windows-Einstel-
    lungen,     Sicherheitseinstellungen sowie Richtlinien öffentlicher Schlüssel, und klicken Sie anschließend
    auf Einstellungen der automatischen Zertifikatanforderung.



  10. Klicken Sie mit der rechten Maustaste auf Einstellungen der automatischen Zertifikatanforderung, zeigen Sie
    auf Neu, und klicken Sie anschließend auf Automatische Zertifikatanforderung.

  11. Klicken Sie auf der Seite Willkommen des Assistenten für die automatische Zertifikatanforderung auf Weiter.

  12. Klicken Sie auf der Seite Zertifikatvorlage auf Computer und anschließend auf Weiter.



  13. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. Der Zertifikattyp Computer wird nun
    im Detailbereich des Gruppenrichtlinien-Snap-Ins angezeigt.


  14. Führen Sie gegebenenfalls in der Konsolenstruktur einen Bildlauf nach unten durch, und erweitern Sie Benutzer-
    konfiguration, Windows-Einstellungen, Sicherheitseinstellungen     und Richtlinien öffentlicher Schlüssel.
    Klicken Sie auf Richtlinien öffentlicher Schlüssel.


  15. Doppelklicken Sie im Detailbereich auf Einstellung für die automatische Registrierung.

  16. Klicken Sie auf Zertifikate automatisch registrieren, aktivieren Sie die Kontrollkästchen Abgelaufene Zerti-
    fikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen     und Zertifikate aktualisieren, die Zertifikatvorlagen verwenden, und klicken Sie anschließend auf OK.



  17. Schließen Sie den Gruppenrichtlinienobjekt-Editor und Active Directory-Benutzer und -Computer.

Wenn die aktualisierte standardmäßige Domänenrichtlinie aktiviert ist, müssen Clients ihre Computer neu starten und
sich über eine verdrahtete Verbindung an der Domäne anmelden, damit die neuen Gruppenrichtlinieneinstellungen über-
nommen und die Zertifikate ausgestellt werden können. Sie können überprüfen, ob die Zertifikate ausgestellt wurden,
indem Sie mit dem Zertifikat-Snap-In auf dem Clientcomputer im persönlichen Zertifikatspeicher nach dem Benutzer
oder Computer suchen.

Weitere Informationen zu den Optionen für drahtlose Netzwerke finden Sie auf der Microsoft-Website unter http://www.microsoft.com/germany/ms/security/guidance/topics/Cryptographyetc.mspx in "Kryptografie, Zerti-
fikate, sichere Kommunikation".

 

Weitere Informationen
Weitere Informationen zum Erstellen einer Organisations-Stammzertifizierungsstelle finden Sie unter:

"Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure" auf der
Technet-Website unter http://go.microsoft.com/fwlink/?LinkId=22667 (englischsprachig).

"Certificate Autoenrollment in Windows Server 2003" auf der TechNet-Website unter
http://go.microsoft.com/fwlink/?LinkId=22668 (englischsprachig).

"Implementing and Administering Certificate Templates in Windows Server 2003" auf der TechNet-Website unter
http://go.microsoft.com/fwlink/?LinkId=22669 (englischsprachig).

Weitere Informationen zur öffentlichen Schlüsselinfrastruktur und zum Konfigurieren und Verwalten von Zertifizierungs-
stellen in kleinen und mittelgroßen Unternehmen finden Sie unter:

"MSA Enterprise Design for Certificate Services" auf der TechNet-Website unter
http://search.microsoft.com/search/search.aspx?st=b&View=de-de.

"PKI Enhancements in Windows XP Professional and Windows Server 2003" auf der TechNet-Website unter
http://go.microsoft.com/fwlink/?LinkId=22672 (englischsprachig).

"Windows Server 2003 PKI Operations Guide" auf der TechNet-Website unter
http://go.microsoft.com/fwlink/?LinkId=22673 (englischsprachig).

 



Erstellt von: Haßlinger Stefan
Im: Jahr 2006