Konfigurieren einer Zertifikatvorlage für die
automatische Registrierung

Vorwort
Die automatische Registrierung ist eine nützliche Funktion der Zertifikatdienste in Windows XP und Windows Server
2003 Enterprise Edition. Die automatische Registrierung ermöglicht, Clients so zu konfigurieren, dass ohne Clienteingriff
Zertifikate automatisch registriert, ausgestellte Zertifikate abgerufen und ablaufende Zertifikate erneuert werden.
Ein Client muss nicht über sämtliche Zertifikatvorgänge informiert werden, sofern die Zertifikatvorlage nicht für die Inter-
aktion mit dem Client konfiguriert ist.

In diesem Abschnitt wird eine Möglichkeit beschrieben, die Zertifikatvorlage zu ändern: für die automatische Clientregis-
trierung. Weitere Informationen zur automatischen Registrierung finden Sie auf der TechNet-Website unter http://go.mi-
crosoft.com/fwlink/?LinkId=22668 im Artikel "Certificate Autoenrollment in Windows Server 2003" (englischspra-
chig).

Um die automatische Clientregistrierung ordnungsgemäß zu konfigurieren, müssen Sie entsprechende Zertifikatvorlagen
planen. Verschiedene Einstellungen der Zertifikatvorlage haben direkten Einfluss auf das Verhalten der automatischen
Clientregistrierung.

Anforderungen
Anmeldeinformationen: Sie müssen über ein Konto angemeldet sein, das Mitglied der Gruppe Organisations-Admins
ist.

Tools: Zertifikatvorlagen (certtmpl.msc).

Diese Aufgabe kann nur auf einem Server durchgeführt werden, auf dem Windows Server 2003 Enterprise Edition
oder Windows Server 2003 Datacenter Edition ausgeführt wird.


So konfigurieren Sie eine Zertifikatvorlage für die automatische Clientregistrierung

1. Klicken Sie auf Start und Ausführen, geben Sie im Dialogfeld Ausführen den Dateinamen certtmpl.msc ein,
   und klicken Sie anschließend auf OK.
   
   
2. Klicken Sie unter Zertifikatvorlagen mit der rechten Maustaste auf die soeben erstellte und für die automatische
   Registrierung zu konfigurierende Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.
   
   
3. Klicken Sie auf der Registerkarte Sicherheit in der Liste Gruppen- oder Benutzernamen auf den für die auto-
   matische Registrierung zu konfigurierenden Benutzer, den Computer oder die Gruppe.
   Wenn der Name des Benutzers, des Computers oder der Gruppe auf der Registerkarte Sicherheit noch nicht aufge-
   führt ist, klicken Sie auf Hinzufügen. Geben Sie im Dialogfeld Benutzer, Computer oder Gruppen auswählen
   den Namen ein, den Sie hinzufügen möchten, und klicken Sie anschließend auf OK.
   
   
4. Aktivieren Sie in der Liste Berechtigungen für Objektname unter der Spalte Zulassen die Kontrollkästchen Le-
   sen, Registrieren und Automatisch registrieren, und klicken Sie anschließend auf Übernehmen. Wiederholen
   Sie für jeden Benutzer, jeden Computer beziehungsweise jede Gruppe, für die die automatische Registrierung konfi-
   guriert werden soll, die Schritte 3 und 4, und klicken Sie anschließend auf OK.
   
   
   
5. Schließen Sie Zertifikatvorlagen.
   

Beispiel

Folgend wird in einem Beispiel gezeigt, wie Sie für eine Zertifikatvorlage die automatische Registrierung aktivieren
können. Die Zertifikatvorlage "WirelessUserCertificateTemplate" wurde dabei in diesem Beispiel schon vorher von
mir angelegt.

Konfigurieren einer Zertifikatvorlage für die automatische Clientregistrierung

So konfigurieren Sie eine Zertifikatvorlage für die automatische Clientregistrierung

1. Stellen Sie sicher, dass auf der Seite Eigenschaften von WirelessUserCertificateTemplate auf der Register-
   karte Allgemein das Kontrollkästchen Zertifikat in Active Directory veröffentlichen aktiviert ist.
   
   
2. Klicken Sie auf die Registerkarte Sicherheit.
   
   
3. Klicken Sie in der Liste Gruppen- oder Benutzernamen auf Domänen-Benutzer.
   
   
4. Aktivieren Sie unter der Spalte Zulassen in der Liste Berechtigungen für Domänen-Benutzer die Kontrollkäst-
   chen Lesen, Registrieren und Automatisch registrieren.
   
   
   
   
5. Klicken Sie auf die Registerkarte Antragstellername, deaktivieren Sie E-Mail-Name im Antragstellernamen
   und E-Mail-Name, und klicken Sie anschließend auf OK.
   
   
   
   
   WICHTIG: Diese beiden Optionen sind deaktiviert, da in diesem Beispiel für eine Testbereitstellung kein E-Mail-
   Name für das Konto WirelessUser im Active Directory-Benutzer und -Computer-Snap-In eingegeben wurde.
   Sie müssen entweder eine E-Mail-Adresse für das Konto WirelessUser eingeben oder die beiden E-Mail-Kontroll-
   kästchen für die automatische Registrierung für das an den Client zu verteilende Benutzerzertifikat deaktivieren.
   
   
6. Klicken Sie auf OK, und schließen Sie anschließend Zertifikatvorlagen.
   

Folgend wird die Vorlage, für die automatische Registrierung konfiguriert.

1. Öffnen Sie auf eine beliebige weise entweder die Standarddomänenrichtlinie oder eine andere von Ihnen erstellte
   Gruppenrichtlinie die sich auf die Computerkonten bezieht. Wenn möglich sollten Sie immer die "Gruppenricht-
   lienienverwaltung" verwenden welche Sie von Microsoft herunterladen können, Stichwort GPMC.
   
   
2. Beispielsweise könnten Sie:
   Die Gruppenrichtlinienverwaltung öffen (gpmc.msc) und navigieren von dort auf der Linken Seite des Snap-Ins
   zu Ihrer Domäne, und öffnen Gruppenrichtlinienobjekte. .
   
   
3. Klicken Sie mit der rechten Maustaste auf die angezeigte Gruppenrichtlinie Standarddomänenrichtlinie oder
   eine andere eventuell von Ihnen erstellte Gruppenrichtlinie die sich auf die Computerkonten bezieht, und klicken
   Sie dann auf Bearbeiten.
   
   
4. Erweitern Sie in der Konsolenstruktur nacheinander die Einträge Computerkonfiguration, Windows-Einstel-
   lungen, Sicherheitseinstellungen sowie Richtlinien öffentlicher Schlüssel, und klicken Sie anschließend
   auf Einstellungen der automatischen Zertifikatanforderung.
   
   
   
   
5. Klicken Sie mit der rechten Maustaste auf Einstellungen der automatischen Zertifikatanforderung, zeigen Sie
   auf Neu, und klicken Sie anschließend auf Automatische Zertifikatanforderung.
   
   
6. Klicken Sie auf der Seite Willkommen des Assistenten für die automatische Zertifikatanforderung auf Weiter.
   
   
7. Klicken Sie auf der Seite Zertifikatvorlage auf Computer und anschließend auf Weiter.
   
   
   
   
8. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. Der Zertifikattyp Computer wird nun
   im Detailbereich des Gruppenrichtlinien-Snap-Ins angezeigt.
   
   
   
9. Führen Sie gegebenenfalls in der Konsolenstruktur einen Bildlauf nach unten durch, und erweitern Sie Benutzer-
   konfiguration, Windows-Einstellungen, Sicherheitseinstellungen und Richtlinien öffentlicher Schlüssel.
   Klicken Sie auf Richtlinien öffentlicher Schlüssel.
   
   
   
10. Doppelklicken Sie im Detailbereich auf Einstellung für die automatische Registrierung.
    
    
11. Klicken Sie auf Zertifikate automatisch registrieren, aktivieren Sie die Kontrollkästchen Abgelaufene Zerti-
    fikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen und Zertifikate aktualisieren, die Zertifikatvorlagen verwenden, und klicken Sie anschließend auf OK.
    
    
    
    
12. Schließen Sie den Gruppenrichtlinienobjekt-Editor und Active Directory-Benutzer und -Computer.
    

Wenn die aktualisierte standardmäßige Domänenrichtlinie aktiviert ist, müssen Clients ihre Computer neu starten und
sich über eine verdrahtete Verbindung an der Domäne anmelden, damit die neuen Gruppenrichtlinieneinstellungen über-
nommen und die Zertifikate ausgestellt werden können. Sie können überprüfen, ob die Zertifikate ausgestellt wurden,
indem Sie mit dem Zertifikat-Snap-In auf dem Clientcomputer im persönlichen Zertifikatspeicher nach dem Benutzer
oder Computer suchen.

Erstellt von: Haßlinger Stefan
Im: Jahr 2006