Dieser Abschnitt enthält Anweisungen zu folgenden Themen:
Konfigurieren der Microsoft Enterprise Certificate Authority (CA) unter Verwendung des Microsoft Network Device Enrollment Service (NDES)
Erstellen eines Root-CA-Servers
Der Root-CA-Server ist der Haupt-CA-Server in einer Organisation und die Spitze der PKI-Infrastruktur. Die Root-CA authentifiziert den untergeordneten CA-Server. Dieser Server wird im Allgemeinen im Offlinemodus gehalten, um ein Eindringen zu verhindern und den privaten Schlüssel zu sichern.
Zur Konfiguration des CA-Servers gehen Sie folgendermaßen vor:
Stellen Sie sicher, dass der CA-Server installiert ist. Weitere Informationen finden Sie unter Installieren des Root-CA-Servers .
Konfigurieren Sie die Einstellungen für den Zertifizierungsverteilungspunkt und den Zugriff auf die Zertifizierungsstelleninformationen. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für den Zertifizierungsverteilungspunkt und den Zugriff auf die Zertifizierungsstelleninformationen .
Konfigurieren Sie die CRL-Zugänglichkeit. Weitere Informationen finden Sie unter Konfigurieren der CRL-Zugänglichkeit .
Klicken Sie im Server-Manager auf Verwalten > Rollen und Funktion hinzufügen .
Klicken Sie auf Server-Rollen , wählen Sie Active Directory-Zertifikatdienste und alle Funktionen aus, und klicken Sie anschließend auf Weiter .
Wählen Sie im Abschnitt AD CS-Rollendienste die Option Zertifizierungsstelle aus, und klicken Sie anschließend auf Weiter > Installieren .
Klicken Sie nach der Installation auf Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren .
Wählen Sie im Abschnitt Rollendienste die Option Zertifizierungsstelle > Weiter aus.
Wählen Sie im Abschnitt Einrichtungstyp die Option Eigenständige Zertifizierungsstelle aus, und klicken Sie anschließend auf Weiter .
Wählen Sie im Abschnitt CA-Typ die Option Root-CA aus, und klicken Sie anschließend auf Weiter .
Wählen Sie Neuen privaten Schlüssel erstellen aus, und klicken Sie anschließend auf Weiter .
Wählen Sie im Menü Kryptografieanbieter auswählen die Option RSA#Microsoft Software Key Storage Provider aus.
Wählen Sie im Menü Schlüssellänge die Option 4096 aus.
Wählen Sie aus der Liste mit den Hash-Algorithmen SHA512 aus, und klicken Sie anschließend auf Weiter .
Geben Sie in das Feld Gemeinsamer Name für diese CA den Namen des Hosting-Servers ein.
Geben Sie in das Feld Suffix des definierten Namens die Domänenkomponente ein.
Vollqualifizierter Domänenname (FQDN) des Geräts:
Gemeinsamer Name (CN):
Suffix des DN (Distinguished Name):
Klicken Sie auf Weiter .
Geben Sie den Gültigkeitszeitraum an, und klicken Sie anschließend auf Weiter .
Ändern Sie nichts im Fenster "Datenbankspeicherorte".
Schließen Sie die Installation ab.
Im folgenden Bereitstellungsszenario basieren alle Berechtigungen auf Berechtigungen, die auf Zertifikatsvorlagen festgelegt sind, die im Domänen-Controller veröffentlicht werden. Die an die Zertifizierungsstelle gesendeten Zertifikatsanforderungen basieren auf Zertifikatsvorlagen.
Stellen Sie bei dieser Einrichtung sicher, dass Sie über Folgendes verfügen:
Gerät, das die untergeordnete CA hostet
Gerät, auf dem der NDES-Service gehostet wird
Domänen-Controller
Erstellen Sie die folgenden Benutzer im Domänen-Controller:
Service-Administrator
Benannt als SCEPAdmin
Muss Mitglied der Gruppen lokaler Admin - und Enterprise-Admin sein
Muss lokal protokolliert werden, wenn die Installation der NDES-Rolle ausgelöst wird
Verfügt über Registrierungsberechtigung für die Zertifikatvorlagen
Verfügt über Berechtigung zum Hinzufügen von Vorlagen für CA
Dienstkonto
Benannt als SCEPSvc
Muss Mitglied der lokalen Gruppe IIS_IUSRS sein
Muss ein Domänenbenutzer sein und über Lese- und Registrierungsberechtigungen für die konfigurierten Vorlagen verfügen
Verfügt über Anforderungsberechtigung für CA
Der untergeordnete CA-Server ist der Zwischen-CA-Server und immer online. In der Regel führt er die Verwaltung von Zertifikaten durch.
Zur Konfiguration des untergeordneten CA-Servers gehen Sie folgendermaßen vor:
Stellen Sie sicher, dass der untergeordnete CA-Server installiert ist. Weitere Informationen finden Sie unter Installieren des untergeordneten CA-Servers .
Konfigurieren Sie die Einstellungen für den Zertifizierungsverteilungspunkt und den Zugriff auf die Zertifizierungsstelleninformationen. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für den Zertifizierungsverteilungspunkt und den Zugriff auf die Zertifizierungsstelleninformationen .
Konfigurieren Sie die CRL-Zugänglichkeit. Weitere Informationen finden Sie unter Konfigurieren der CRL-Zugänglichkeit .
Melden Sie sich auf dem Server als Domänenbenutzer CAAdmin an.
Klicken Sie im Server-Manager auf Verwalten > Rollen und Funktion hinzufügen .
Klicken Sie auf Server-Rollen , wählen Sie Active Directory-Zertifikatdienste und alle Funktionen aus, und klicken Sie anschließend auf Weiter .
Wählen Sie im Abschnitt AD CS-Rollendienste die Optionen Zertifizierungsstelle und Webregistrierung der Zertifizierungsstelle aus, und klicken Sie anschließend auf Weiter .
Behalten Sie im Abschnitt Web-Server-Rolle (ISS) Rollendienste die Standardeinstellungen bei.
Klicken Sie nach der Installation auf Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren .
Wählen Sie im Abschnitt Rollendienste die Optionen Zertifizierungsstelle und Webregistrierung der Zertifizierungsstelle aus, und klicken Sie anschließend auf Weiter .
Wählen Sie im Abschnitt Einrichtungstyp die Option Unternehmens-CA aus, und klicken Sie anschließend auf Weiter .
Wählen Sie im Abschnitt CA-Typ die Option Untergeordnete CA aus, und klicken Sie anschließend auf Weiter .
Wählen Sie Neuen privaten Schlüssel erstellen aus, und klicken Sie anschließend auf Weiter .
Wählen Sie im Menü Kryptografieanbieter auswählen die Option RSA#Microsoft Software Key Storage Provider aus.
Wählen Sie im Menü Schlüssellänge die Option 4096 aus.
Wählen Sie aus der Liste mit den Hash-Algorithmen SHA512 aus, und klicken Sie anschließend auf Weiter .
Geben Sie in das Feld Gemeinsamer Name für diese CA den Namen des Hosting-Servers ein.
Geben Sie in das Feld Suffix des definierten Namens die Domänenkomponente ein.
Vollqualifizierter Domänenname (FQDN) des Geräts:
Gemeinsamer Name (CN):
Suffix des DN (Distinguished Name):
Speichern Sie die Anforderungsdatei im Dialogfeld Zertifikatsanforderung, und klicken Sie anschließend auf Weiter .
Ändern Sie nichts im Fenster "Datenbankspeicherorte".
Schließen Sie die Installation ab.
Signieren Sie die CA-Anforderung der Root-CA, und exportieren Sie das signierte Zertifikat anschließend im PKCS7-Format.
Öffnen Sie die Zertifizierungsstelle über die untergeordnete CA.
Klicken Sie im linken Bereich mit der rechten Maustaste auf die Zertifizierungsstelle, und klicken Sie anschließend auf Alle Aufgaben > CA-Zertifikat installieren .
Wählen Sie das signierte Zertifikat aus, und starten Sie anschließend den CA-Dienst.
Klicken Sie im Server-Manager auf Extras > Zertifizierungsstelle .
Klicken Sie im linken Bereich mit der rechten Maustaste auf die Zertifizierungsstelle, und klicken Sie anschließend auf Eigenschaften > Erweiterungen .
Wählen Sie im Menü Erweiterung auswählen die Option CRL Distribution Point (CDP) aus.
Wählen Sie in der Zertifikatsrückrufliste den Eintrag C:\Windows\system32\ aus, und gehen Sie anschließend wie folgt vor:
Aktivieren Sie CRLs an diesem Speicherort veröffentlichen .
Deaktivieren Sie Delta-CRLs an diesem Speicherort veröffentlichen .
Löschen Sie alle anderen Einträge außer C:\Windows\system32\ .
Klicken Sie auf Hinzufügen .
Fügen Sie im Feld Speicherort die Option hinzu, wobei die IP-Adresse des Servers ist.
Klicken Sie auf OK .
Wählen Sie In die CDP-Erweiterung der ausgegebenen Zertifikate aufnehmen für den erstellten Eintrag.
Wählen Sie im Menü Erweiterung auswählen die Option Zugriff auf Zertifizierungsstelleninformationen (AIA) aus.
Löschen Sie alle anderen Einträge außer C:\Windows\system32\ .
Klicken Sie auf Hinzufügen .
Fügen Sie im Feld Speicherort die Option , wobei die IP-Adresse des Servers ist.
Klicken Sie auf OK .
Wählen Sie In die AIA-Erweiterung der ausgegebenen Zertifikate aufnehmen für den erstellten Eintrag.
Klicken Sie auf Anwenden > OK .
Erweitern Sie im linken Bereich die Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Widerrufene Zertifikate , und klicken Sie anschließend auf Eigenschaften .
Geben Sie den Wert für CRL-Veröffentlichungsintervall und für Veröffentlichungsintervall für Delta CRLs an, und klicken Sie anschließend auf Anwenden > OK .
Klicken Sie im linken Bereich mit der rechten Maustaste auf Widerrufene Zertifikate , klicken Sie auf Alle Aufgaben , und veröffentlichen Sie anschließend die CRL, die Neu ist.
Erweitern Sie im IIS-Manager die Zertifizierungsstelle, und erweitern Sie anschließend Websites .
Klicken Sie mit der rechten Maustaste auf Standard-Website , und klicken Sie anschließend auf Virtuelles Verzeichnis hinzufügen .
Geben Sie im Feld Alias ein.
Geben Sie im Feld Physischer Pfad ein.
Klicken Sie auf OK .
Klicken Sie mit der rechten Maustaste auf CertEnroll , und klicken Sie anschließend auf Berechtigungen bearbeiten .
Entfernen Sie auf der Registerkarte Sicherheit alle Schreibzugriffe außer für das System.
Klicken Sie auf OK .
Melden Sie sich auf dem Server als Domänen-Benutzer SCEPAdmin an.
Klicken Sie im Server-Manager auf Verwalten > Rollen und Funktion hinzufügen .
Klicken Sie auf Server-Rollen , wählen Sie Active Directory-Zertifikatdienste und alle Funktionen aus, und klicken Sie anschließend auf Weiter .
Deaktivieren Sie im Bereich AD CS-Rollendienst die Option Zertifizierungsstelle .
Wählen Sie Network Device Enrollment Service und alle zugehörigen Funktionen aus, und klicken Sie anschließend auf Weiter .
Behalten Sie im Abschnitt Web-Server-Rolle (ISS) Rollendienste die Standardeinstellungen bei.
Klicken Sie nach der Installation auf Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren .
Wählen Sie im Abschnitt Rollendienste die Option Network Device Enrollment Service aus, und klicken Sie anschließend auf Weiter .
Wählen Sie das Dienstkonto SCEPSvc aus.
Wählen Sie im Abschnitt CA für NDES entweder CA-Name oder Computername aus, und klicken Sie anschließend auf Weiter .
Geben Sie im Abschnitt RA-Informationen die Informationen an, und klicken Sie anschließend auf Weiter .
Gehen Sie im Abschnitt Kryptografie für NDES folgendermaßen vor:
Wählen Sie die entsprechenden Signatur- und Kodierungsschlüsselanbieter aus.
Wählen Sie im Menü Schlüssellänge dieselbe Schlüssellänge wie die des CA-Servers aus.
Klicken Sie auf Weiter .
Schließen Sie die Installation ab.
Sie können jetzt als SCEPSvc-Benutzer über einen Webbrowser auf den NDES-Server zugreifen. Auf dem NDES-Server können Sie den Fingerabdruck des CA-Zertifikats, das Abfrage-Kennwort der Registrierung und den Gültigkeitszeitraum des Abfrage-Kennworts anzeigen lassen.
Öffnen Sie einen Web-Browser, und geben Sie in das Feld "URL" Folgendes ein: , wobei die IP-Adresse des NDES-Servers ist.
Öffnen Sie über die untergeordnete CA (certserv) die Zertifizierungsstelle .
Erweitern Sie die Zertifizierungsstelle im linken Bereich, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen , und klicken Sie anschließend auf Verwalten .
Erstellen Sie in der Zertifikatvorlagen-Konsole eine Kopie des Web-Servers .
Geben Sie auf der Registerkarte Allgemein als Vorlagennamen ein.
Geben Sie auf der Registerkarte Sicherheit den Benutzern SCEPAdmin und SCEPSvc die entsprechenden Berechtigungen.
Wählen Sie auf der Registerkarte Betreff-Name die Option In der Anfrage angeben aus.
Öffnen Sie über die untergeordnete CA (certserv) die Zertifizierungsstelle .
Wählen Sie auf der Registerkarte Erweiterungen Anwendungsrichtlinien > Bearbeiten aus.
Klicken Sie auf Hinzufügen >Client-Authentifizierung > OK .
Erweitern Sie die Zertifizierungsstelle im linken Bereich, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen , und klicken Sie anschließend auf Neu > Zertifikatvorlage zum Ausstellen .
Wählen Sie die neu erstellen Zertifikate aus, und klicken Sie anschließend auf OK .
Sie können jetzt über das CA-Web-Registrierungsportal auf die Vorlagen zugreifen.
Öffnen Sie einen Web-Browser, und geben Sie in das Feld "URL" Folgendes ein: , wobei die IP-Adresse des CA-Servers ist.
Zeigen Sie die Vorlagen im Menü Zertifikatvorlagen an.
Starten Sie auf Ihrem Computer den Registry-Editor.
Navigieren Sie zu HKEY_LOCAL_MACHINE >SOFTWARE >Microsoft > Cryptography > MSCEP .
Konfigurieren Sie Folgendes, und legen Sie sie anschließend auf MVEWebServer fest:
EncryptionTemplate
GeneralPurposeTemplate
SignatureTemplate
Erteilen Sie dem SCEPSvc-Benutzer die volle Berechtigung für MSCEP.
Erweitern Sie im IIS-Manager die Zertifizierungsstelle, und klicken Sie anschließend auf Anwendungspools .
Klicken Sie im rechten Bereich auf Neu starten , um den SCEP-Anwendungspool neu zu starten.
Erweitern Sie die Zertifizierungsstelle im IIS-Manager, und erweitern Sie anschließend Websites > Standard-Website .
Klicken Sie im rechten Bereich auf Neu starten .
Starten Sie auf Ihrem Computer den Registry-Editor.
Navigieren Sie zu HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Cryptography > MSCEP .
Sellten Sie EnforcePassword auf ein.
Erweitern Sie die Zertifizierungsstelle im IIS-Manager, klicken Sie auf Anwendungspools , und wählen Sie SCEP aus.
Klicken Sie im rechten Bereich auf Erweiterte Einstellungen .
Setzen Sie Benutzerprofil laden auf Wahr , und klicken Sie anschließend auf OK .
Klicken Sie im rechten Bereich auf Neu starten , um den SCEP-Anwendungspool neu zu starten.
Erweitern Sie die Zertifizierungsstelle im IIS-Manager, und erweitern Sie anschließend Websites > Standard-Website .
Klicken Sie im rechten Bereich auf Neu starten .
Beim Öffnen der NDES über den Webbrowser können Sie jetzt nur den CA-Fingerabdruck anzeigen lassen.