Dieser Abschnitt enthält Anweisungen zu folgenden Themen:
Konfigurieren der Microsoft Enterprise Certificate Authority (CA) unter Verwendung des Microsoft Network Device Enrollment Service (NDES)
Einen Root-CA-Server erstellen
Der Root-CA-Server ist der Haupt-CA-Server in einer Organisation und die Spitze der PKI-Infrastruktur. Die Root-CA authentifiziert den untergeordneten CA-Server. Dieser Server wird im Allgemeinen im Offlinemodus gehalten, um ein Eindringen zu verhindern und den privaten Schlüssel zu sichern.
Zur Konfiguration des CA-Servers gehen Sie folgendermaßen vor:
Stellen Sie sicher, dass der CA-Server installiert ist. Weitere Informationen finden Sie unter Installieren des Root-CA-Servers.
Konfigurieren Sie die Einstellungen für den Zertifizierungsverteilungspunkt und den Zugriff auf die Zertifizierungsstelleninformationen. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für den Zertifizierungsverteilungspunkt und den Zugriff auf die Zertifizierungsstelleninformationen.
Konfigurieren Sie die CRL-Zugänglichkeit. Weitere Informationen finden Sie unter Konfigurieren der CRL-Zugänglichkeit.
Klicken Sie im Server-Manager auf Verwalten > Rollen und Funktion hinzufügen.
Klicken Sie auf Server-Rollen, wählen Sie Active Directory-Zertifikatdienste und alle Funktionen aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Abschnitt AD CS-Rollendienste die Option Zertifizierungsstelle aus, und klicken Sie anschließend auf Weiter > Installieren.
Klicken Sie nach der Installation auf Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.
Wählen Sie im Abschnitt Rollendienste die Option Zertifizierungsstelle > Weiter aus.
Wählen Sie im Abschnitt Einrichtungstyp die Option Eigenständige Zertifizierungsstelle aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Abschnitt CA-Typ die Option Root-CA aus, und klicken Sie anschließend auf Weiter.
Wählen Sie Neuen privaten Schlüssel erstellen aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Menü Kryptografieanbieter auswählen die Option RSA#Microsoft Software Key Storage Provider aus.
Wählen Sie im Menü Schlüssellänge die Option 4096 aus.
Wählen Sie aus der Liste mit den Hash-Algorithmen SHA512 aus, und klicken Sie anschließend auf Weiter.
Geben Sie in das Feld Gemeinsamer Name für diese CA den Namen des Hosting-Servers ein.
Geben Sie in das Feld Suffix des definierten Namens die Domänenkomponente ein.
Vollqualifizierter Domänenname (FQDN) des Geräts:
Gemeinsamer Name (CN):
Suffix des DN (Distinguished Name):
Klicken Sie auf Weiter.
Geben Sie den Gültigkeitszeitraum an, und klicken Sie anschließend auf Weiter.
Ändern Sie nichts im Fenster "Datenbankspeicherorte".
Schließen Sie die Installation ab.
Im folgenden Bereitstellungsszenario basieren alle Berechtigungen auf Berechtigungen, die auf Zertifikatsvorlagen festgelegt sind, die im Domänen-Controller veröffentlicht werden. Die an die Zertifizierungsstelle gesendeten Zertifikatsanforderungen basieren auf Zertifikatvorlagen.
Stellen Sie bei dieser Einrichtung sicher, dass Sie über Folgendes verfügen:
Computer, auf dem die untergeordnete Zertifizierungsstelle gehostet wird (kann auch die Root-CA sein)
Gerät, auf dem der NDES-Service gehostet wird
Domänen-Controller
Erstellen Sie die folgenden Benutzer im Domänen-Controller:
Service-Administrator
Benannt als SCEPAdmin
Muss Mitglied der Gruppen lokaler Admin - und Enterprise-Admin sein
Muss lokal protokolliert werden, wenn die Installation der NDES-Rolle ausgelöst wird
Verfügt über Registrierungsberechtigung für die Zertifikatvorlagen
Verfügt über Berechtigung zum Hinzufügen von Vorlagen für CA
Dienstkonto
Benannt als SCEPSvc
Muss Mitglied der lokalen Gruppe IIS_IUSRS sein
Muss ein Domänenbenutzer sein und über Lese- und Registrierungsberechtigungen für die konfigurierten Vorlagen verfügen
Verfügt über Anforderungsberechtigung für CA
Geräteadministrator
Benannt als DeviceAdmin
Verfügt über Registrierungsberechtigung für alle Vorlagen, die im Registry konfiguriert sind
Der untergeordnete CA-Server ist der Zwischen-CA-Server und immer online. In der Regel führt er die Verwaltung von Zertifikaten durch.
Zur Konfiguration des untergeordneten CA-Servers gehen Sie folgendermaßen vor:
Stellen Sie sicher, dass der untergeordnete CA-Server installiert ist. Weitere Informationen finden Sie unter Installieren des untergeordneten CA-Servers.
Konfigurieren Sie die Einstellungen für den Zertifizierungsverteilungspunkt und den Zugriff auf die Zertifizierungsstelleninformationen. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für den Zertifizierungsverteilungspunkt und den Zugriff auf die Zertifizierungsstelleninformationen.
Konfigurieren Sie die CRL-Zugänglichkeit. Weitere Informationen finden Sie unter Konfigurieren der CRL-Zugänglichkeit.
Melden Sie sich auf dem Server als Domänen-Benutzer SCEPAdmin an.
Klicken Sie im Server-Manager auf Verwalten > Rollen und Funktion hinzufügen.
Klicken Sie auf Server-Rollen, wählen Sie Active Directory-Zertifikatdienste und alle Funktionen aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Abschnitt AD CS-Rollendienste die Optionen Zertifizierungsstelle und Webregistrierung der Zertifizierungsstelle aus, und klicken Sie anschließend auf Weiter.
Behalten Sie im Abschnitt Web-Server-Rolle (ISS) Rollendienste die Standardeinstellungen bei.
Klicken Sie nach der Installation auf Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.
Wählen Sie im Abschnitt Rollendienste die Optionen Zertifizierungsstelle und Webregistrierung der Zertifizierungsstelle aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Abschnitt Einrichtungstyp die Option Unternehmens-CA aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Abschnitt CA-Typ die Option Untergeordnete CA aus, und klicken Sie anschließend auf Weiter.
Wählen Sie Neuen privaten Schlüssel erstellen aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Menü Kryptografieanbieter auswählen die Option RSA#Microsoft Software Key Storage Provider aus.
Wählen Sie im Menü Schlüssellänge die Option 4096 aus.
Wählen Sie aus der Liste mit den Hash-Algorithmen SHA512 aus, und klicken Sie anschließend auf Weiter.
Geben Sie in das Feld Gemeinsamer Name für diese CA den Namen des Hosting-Servers ein.
Geben Sie in das Feld Suffix des definierten Namens die Domänenkomponente ein.
Vollqualifizierter Domänenname (FQDN) des Geräts:
Gemeinsamer Name (CN):
Suffix des DN (Distinguished Name):
Speichern Sie die Anforderungsdatei im Dialogfeld Zertifikatsanforderung, und klicken Sie anschließend auf Weiter.
Ändern Sie nichts im Fenster "Datenbankspeicherorte".
Schließen Sie die Installation ab.
Signieren Sie die CA-Anforderung der Root-CA, und exportieren Sie das signierte Zertifikat anschließend im PKCS7-Format.
Öffnen Sie die Zertifizierungsstelle über die untergeordnete CA.
Klicken Sie im linken Bereich mit der rechten Maustaste auf die Zertifizierungsstelle, und klicken Sie anschließend auf Alle Aufgaben > CA-Zertifikat installieren.
Wählen Sie das signierte Zertifikat aus, und starten Sie anschließend den CA-Dienst.
Klicken Sie im Server-Manager auf Extras > Zertifizierungsstelle.
Klicken Sie im linken Bereich mit der rechten Maustaste auf die Zertifizierungsstelle, und klicken Sie anschließend auf Eigenschaften > Erweiterungen.
Wählen Sie im Menü Erweiterung auswählen die Option CRL Distribution Point (CDP) aus.
Wählen Sie in der Zertifikatsrückrufliste den Eintrag C:\Windows\system32\ aus, und gehen Sie anschließend wie folgt vor:
Aktivieren Sie CRLs an diesem Speicherort veröffentlichen.
Deaktivieren Sie Delta-CRLs an diesem Speicherort veröffentlichen.
Löschen Sie alle anderen Einträge außer C:\Windows\system32\.
Klicken Sie auf Hinzufügen.
Fügen Sie im Feld Speicherort die Option hinzu, wobei die IP-Adresse des Servers ist.
Klicken Sie auf OK.
Wählen Sie In die CDP-Erweiterung der ausgegebenen Zertifikate aufnehmen für den erstellten Eintrag.
Wählen Sie im Menü Erweiterung auswählen die Option Zugriff auf Zertifizierungsstelleninformationen (AIA) aus.
Löschen Sie alle anderen Einträge außer C:\Windows\system32\.
Klicken Sie auf Hinzufügen.
Fügen Sie im Feld Speicherort die Option , wobei die IP-Adresse des Servers ist.
Klicken Sie auf OK.
Wählen Sie In die AIA-Erweiterung der ausgegebenen Zertifikate aufnehmen für den erstellten Eintrag.
Klicken Sie auf Anwenden > OK.
Erweitern Sie im linken Bereich die Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Widerrufene Zertifikate, und klicken Sie anschließend auf Eigenschaften.
Geben Sie den Wert für CRL-Veröffentlichungsintervall und für Veröffentlichungsintervall für Delta CRLs an, und klicken Sie anschließend auf Anwenden > OK.
Klicken Sie im linken Bereich mit der rechten Maustaste auf Widerrufene Zertifikate, klicken Sie auf Alle Aufgaben, und veröffentlichen Sie anschließend die CRL, die Neu ist.
Erweitern Sie im IIS-Manager die Zertifizierungsstelle, und erweitern Sie anschließend Websites.
Klicken Sie mit der rechten Maustaste auf Standard-Website, und klicken Sie anschließend auf Virtuelles Verzeichnis hinzufügen.
Geben Sie im Feld Alias ein.
Geben Sie im Feld Physischer Pfad ein.
Klicken Sie auf OK.
Klicken Sie mit der rechten Maustaste auf CertEnroll, und klicken Sie anschließend auf Berechtigungen bearbeiten.
Entfernen Sie auf der Registerkarte Sicherheit alle Schreibzugriffe außer für das System.
Klicken Sie auf OK.
Melden Sie sich auf dem Server als Domänen-Benutzer SCEPAdmin an.
Klicken Sie im Server-Manager auf Verwalten > Rollen und Funktion hinzufügen.
Klicken Sie auf Server-Rollen, wählen Sie Active Directory-Zertifikatdienste und alle Funktionen aus, und klicken Sie anschließend auf Weiter.
Deaktivieren Sie im Bereich AD CS-Rollendienst die Option Zertifizierungsstelle.
Wählen Sie Network Device Enrollment Service und alle zugehörigen Funktionen aus, und klicken Sie anschließend auf Weiter.
Behalten Sie im Abschnitt Web-Server-Rolle (ISS) Rollendienste die Standardeinstellungen bei.
Klicken Sie nach der Installation auf Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.
Wählen Sie im Abschnitt Rollendienste die Option Network Device Enrollment Service aus, und klicken Sie anschließend auf Weiter.
Wählen Sie das Dienstkonto SCEPSvc aus.
Wählen Sie im Abschnitt CA für NDES entweder CA-Name oder Computername aus, und klicken Sie anschließend auf Weiter.
Geben Sie im Abschnitt RA-Informationen die Informationen an, und klicken Sie anschließend auf Weiter.
Gehen Sie im Abschnitt Kryptografie für NDES folgendermaßen vor:
Wählen Sie die entsprechenden Signatur- und Kodierungsschlüsselanbieter aus.
Wählen Sie im Menü Schlüssellänge dieselbe Schlüssellänge wie die des CA-Servers aus.
Klicken Sie auf Weiter.
Schließen Sie die Installation ab.
Sie können jetzt als SCEPSvc-Benutzer über einen Webbrowser auf den NDES-Server zugreifen. Auf dem NDES-Server können Sie den Fingerabdruck des CA-Zertifikats, das Abfrage-Kennwort der Registrierung und den Gültigkeitszeitraum des Abfrage-Kennworts anzeigen lassen.
Öffnen Sie einen Web-Browser, und geben Sie in das Feld "URL" Folgendes ein: , wobei die IP-Adresse des NDES-Servers ist.
Öffnen Sie über die untergeordnete CA (certserv) die Zertifizierungsstelle.
Erweitern Sie die Zertifizierungsstelle im linken Bereich, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie anschließend auf Verwalten.
Erstellen Sie in der Zertifikatvorlagen-Konsole eine Kopie des Web-Servers.
Geben Sie auf der Registerkarte Allgemein als Vorlagennamen ein.
Geben Sie auf der Registerkarte Sicherheit den Benutzern SCEPAdmin und SCEPSvc die entsprechenden Berechtigungen.
Wählen Sie auf der Registerkarte Betreff-Name die Option In der Anfrage angeben aus.
Öffnen Sie über die untergeordnete CA (certserv) die Zertifizierungsstelle.
Wählen Sie auf der Registerkarte Erweiterungen Anwendungsrichtlinien > Bearbeiten aus.
Klicken Sie auf Hinzufügen >Client-Authentifizierung > OK.
Erweitern Sie die Zertifizierungsstelle im linken Bereich, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie anschließend auf Neu > Zertifikatvorlage zum Ausstellen.
Wählen Sie die neu erstellen Zertifikate aus, und klicken Sie anschließend auf OK.
Sie können jetzt über das CA-Web-Registrierungsportal auf die Vorlagen zugreifen.
Öffnen Sie einen Web-Browser, und geben Sie in das Feld "URL" Folgendes ein: , wobei die IP-Adresse des CA-Servers ist.
Zeigen Sie die Vorlagen im Menü Zertifikatvorlagen an.
Starten Sie auf Ihrem Computer den Registry-Editor.
Navigieren Sie zu HKEY_LOCAL_MACHINE >SOFTWARE >Microsoft > Cryptography > MSCEP.
Konfigurieren Sie Folgendes, und legen Sie sie anschließend auf MVEWebServer fest:
EncryptionTemplate
GeneralPurposeTemplate
SignatureTemplate
Erteilen Sie dem SCEPSvc-Benutzer die volle Berechtigung für MSCEP.
Erweitern Sie im IIS-Manager die Zertifizierungsstelle, und klicken Sie anschließend auf Anwendungspools.
Klicken Sie im rechten Bereich auf Neu starten, um den SCEP-Anwendungspool neu zu starten.
Erweitern Sie die Zertifizierungsstelle im IIS-Manager, und erweitern Sie anschließend Websites > Standard-Website.
Klicken Sie im rechten Bereich auf Neu starten.
Starten Sie auf Ihrem Computer den Registry-Editor.
Navigieren Sie zu HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Cryptography > MSCEP.
Sellten Sie EnforcePassword auf ein.
Erweitern Sie die Zertifizierungsstelle im IIS-Manager, klicken Sie auf Anwendungspools, und wählen Sie SCEP aus.
Klicken Sie im rechten Bereich auf Erweiterte Einstellungen.
Setzen Sie Benutzerprofil laden auf Wahr, und klicken Sie anschließend auf OK.
Klicken Sie im rechten Bereich auf Neu starten, um den SCEP-Anwendungspool neu zu starten.
Erweitern Sie die Zertifizierungsstelle im IIS-Manager, und erweitern Sie anschließend Websites > Standard-Website.
Klicken Sie im rechten Bereich auf Neu starten.
Beim Öffnen der NDES über den Webbrowser können Sie jetzt nur den CA-Fingerabdruck anzeigen lassen.