Zertifikatsstelle - Root Zertifikat installieren: Unterschied zwischen den Versionen
Peter (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Kategorie:Inhalt Kategorie:Windows Server __INHALTSVERZEICHNIS_ERZWINGEN__ __INDEXIEREN__“) |
Peter (Diskussion | Beiträge) K (→Installation) |
||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 3: | Zeile 3: | ||
__INHALTSVERZEICHNIS_ERZWINGEN__ | __INHALTSVERZEICHNIS_ERZWINGEN__ | ||
__INDEXIEREN__ | __INDEXIEREN__ | ||
| + | |||
| + | Ich möchte euch zeigen, wie man eine Root Zertifikatsstelle installiert zeigen. Dies ist nur die Basis, wir werden, bei weiteren Beiträgen diesen Beitrag als Grundlage benutzen. Damit beim Windows Server alles einwandfrei funktioniert. | ||
| + | |||
| + | Ein Active-Directory-Zertifikatsdienst ist nicht zwingend, zu einem Domain Controller hinzu zu installieren, nur der Server muss ein Mitglied einer Domäne sein. | ||
| + | |||
| + | === '''Installation''' === | ||
| + | ----Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen. | ||
| + | [[Datei:ROOT CA 1.png|zentriert|gerahmt]] | ||
| + | [[Datei:ROOT CA 2.png|zentriert|gerahmt]] | ||
| + | [[Datei:ROOT CA 3.png|zentriert|gerahmt]] | ||
| + | Wir werden die Rolle "Active-Directory-Zertifikatsdienst" aktivieren. | ||
| + | [[Datei:ROOT CA 4.png|zentriert|gerahmt]]Die Zusatzfeatures bleibt aktivieren, die werden ausnahmslos benötigt, für einen sauberen Ablauf. Daher werden wir die Checkbox "Management-Tools einschließen" nicht deaktivieren.[[Datei:ROOT CA 5.png|zentriert|gerahmt]] | ||
| + | |||
| + | [[Datei:ROOT CA 6.png|zentriert|gerahmt]] | ||
| + | [[Datei:ROOT CA 7.png|zentriert|gerahmt]] | ||
| + | [[Datei:ROOT CA 8.png|zentriert|gerahmt]] | ||
| + | Wir werden die Zertifizierungsstelle aktivieren, alle anderen Feature werde ich in einem anderen Beitrag näher darauf eingehen. Ich werde daher die anderen Features nicht aktivieren, die Installation werden wir zu einem anderen Beitrag durchführen. | ||
| + | |||
| + | Ich werde euch kurz Erklären, um welche Feature es sich handelt. | ||
| + | {| class=" wikitable sortable" style="width: 100%;" | ||
| + | |+ | ||
| + | Feature Erklärung | ||
| + | !'''Feature''' | ||
| + | !'''Beschreibung''' | ||
| + | |- | ||
| + | | style="text-align:center;" |Zertifizierungsstelle | ||
| + | |Hierbei handelt es sich um den wichtigsten Rollendienst, der die Basis der Zertifikatsdienste darstellt. Dieser Rollendienst wird für das Ausstellen und Verwalten der Zertifikate benötigt. | ||
| + | |- | ||
| + | | style="text-align:center;" |Online-Responder | ||
| + | |Online-Responder - Dieser Rollendienst stellt die OCSP-Funktion zur Verfügung, über die den Clients erweiterte Informationen über den aktuellen Zustand der Zertifikatsabfrage gegeben werden. Der Dienst setzt die Installation des IIS 7.5 voraus, es wird ein neues Web mit der Adresse http://<Servername>/ocsp erstellt. | ||
| + | |- | ||
| + | | style="text-align:center;" |Registrierungsdienst für Netzwerkgeräte | ||
| + | |Diese Funktion kann nur alleine installiert werden, nicht zusammen mit einer Zertifizierungsstelle. Mit diesem Rollendienst ist es möglich, Zertifikate an Netzwerkgeräte automatisch auszustellen. | ||
| + | |- | ||
| + | | style="text-align:center;" |Zertifikatregistrierungsrichtlinie-Webdienst | ||
| + | |Der Zertifikatregistrierungsrichtlinien-Webdienst verwendet das HTTPS-Protokoll, um Informationen zur Zertifikatrichtlinie an Netzwerkclientcomputern weiterzuleiten. Der Webdienst ruft mithilfe des LDAP-Protokolls Informationen zur Zertifikatrichtlinie von den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) ab und speichert die Richtlinieninformationen zur Verarbeitung von Clientanforderungen zwischen. In früheren Versionen von AD CS konnten nur Domänenclientcomputer, die das LDAP-Protokoll verwenden, auf die Informationen zur Zertifikatrichtlinie zugreifen. Dadurch wird die Ausstellung von richtlinienbasierten Zertifikaten auf die von den Gesamtstrukturen der Active Directory-Domänendienste festgelegten Vertrauensstellungsgrenzen beschränkt. | ||
| + | |- | ||
| + | | style="text-align:center;" |Zertikatsregistierungs-Webdienst | ||
| + | |Der Zertifikatregistrierungs-Webdienst verwendet das HTTPS-Protokoll, um Zertifikatanforderungen von Netzwerkclientcomputern anzunehmen und ausgestellte Zertifikate an Netzwerkclientcomputer zurückzuschicken. Der Zertifikatregistrierungs-Webdienst verwendet das [https://de.wikipedia.org/wiki/Distributed_Component_Object_Model DCOM-Protokoll], um eine Verbindung mit der Zertifizierungsstelle (Certification Authority, CA) herzustellen und die Zertifikatregistrierung im Namen des Antragstellers auszuführen. In früheren Versionen von AD CS konnte die richtlinienbasierte Zertifikatregistrierung nur von Mitgliedsclientcomputern ausgeführt werden, die das DCOM-Protokoll verwenden. Dadurch wird die Ausstellung von Zertifikaten auf die von Active Directory-Domänen und Gesamtstrukturen festgelegten Vertrauensstellungsgrenzen beschränkt. | ||
| + | |- | ||
| + | | style="text-align:center;" |Zertifizierungsstellen-Webregistrierung | ||
| + | |Wird dieser Rollendienst installiert, können auch Zertifikate über die Webadresse ''https://<Servername>/certsrv'' angefordert werden. Hierbei handelt es sich um die Webschnittstelle der Zertifizierungsdienste. | ||
| + | |} | ||
| + | [[Datei:ROOT CA 9.png|zentriert|gerahmt]] | ||
| + | [[Datei:ROOT CA 10.png|zentriert|gerahmt]] | ||
| + | |||
| + | |||
| + | ==='''Konfigurieren'''=== | ||
| + | ----Wir müssen die Zertifizierungsstelle noch konfigurieren, es funktioniert über den Server-Manager, es wird ein Oranges Rufzeichen erscheinen im Manager oder direkt aus dem Installation-Wizard. Ich werde es euch zeigen über den Installation-Wizard. | ||
| + | [[Datei:ROOT CA 11.png|zentriert|gerahmt]] | ||
| + | [[Datei:ROOT CA 12.png|zentriert|gerahmt]]Wir können nur die Zertifizierungsstelle aktivieren, da wir dieses Feature nur installiert haben. | ||
| + | [[Datei:ROOT CA 13.png|zentriert|gerahmt]] | ||
| + | Wir werden die Unternehmenszertifizierungsstelle, nehmen | ||
| + | [[Datei:ROOT CA 14.png|zentriert|gerahmt]] | ||
Version vom 14. Dezember 2020, 20:27 Uhr
Ich möchte euch zeigen, wie man eine Root Zertifikatsstelle installiert zeigen. Dies ist nur die Basis, wir werden, bei weiteren Beiträgen diesen Beitrag als Grundlage benutzen. Damit beim Windows Server alles einwandfrei funktioniert.
Ein Active-Directory-Zertifikatsdienst ist nicht zwingend, zu einem Domain Controller hinzu zu installieren, nur der Server muss ein Mitglied einer Domäne sein.
Installation[Bearbeiten | Quelltext bearbeiten]
Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen.
Wir werden die Rolle "Active-Directory-Zertifikatsdienst" aktivieren.
Die Zusatzfeatures bleibt aktivieren, die werden ausnahmslos benötigt, für einen sauberen Ablauf. Daher werden wir die Checkbox "Management-Tools einschließen" nicht deaktivieren.
Wir werden die Zertifizierungsstelle aktivieren, alle anderen Feature werde ich in einem anderen Beitrag näher darauf eingehen. Ich werde daher die anderen Features nicht aktivieren, die Installation werden wir zu einem anderen Beitrag durchführen.
Ich werde euch kurz Erklären, um welche Feature es sich handelt.
| Feature | Beschreibung |
|---|---|
| Zertifizierungsstelle | Hierbei handelt es sich um den wichtigsten Rollendienst, der die Basis der Zertifikatsdienste darstellt. Dieser Rollendienst wird für das Ausstellen und Verwalten der Zertifikate benötigt. |
| Online-Responder | Online-Responder - Dieser Rollendienst stellt die OCSP-Funktion zur Verfügung, über die den Clients erweiterte Informationen über den aktuellen Zustand der Zertifikatsabfrage gegeben werden. Der Dienst setzt die Installation des IIS 7.5 voraus, es wird ein neues Web mit der Adresse http://<Servername>/ocsp erstellt. |
| Registrierungsdienst für Netzwerkgeräte | Diese Funktion kann nur alleine installiert werden, nicht zusammen mit einer Zertifizierungsstelle. Mit diesem Rollendienst ist es möglich, Zertifikate an Netzwerkgeräte automatisch auszustellen. |
| Zertifikatregistrierungsrichtlinie-Webdienst | Der Zertifikatregistrierungsrichtlinien-Webdienst verwendet das HTTPS-Protokoll, um Informationen zur Zertifikatrichtlinie an Netzwerkclientcomputern weiterzuleiten. Der Webdienst ruft mithilfe des LDAP-Protokolls Informationen zur Zertifikatrichtlinie von den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) ab und speichert die Richtlinieninformationen zur Verarbeitung von Clientanforderungen zwischen. In früheren Versionen von AD CS konnten nur Domänenclientcomputer, die das LDAP-Protokoll verwenden, auf die Informationen zur Zertifikatrichtlinie zugreifen. Dadurch wird die Ausstellung von richtlinienbasierten Zertifikaten auf die von den Gesamtstrukturen der Active Directory-Domänendienste festgelegten Vertrauensstellungsgrenzen beschränkt. |
| Zertikatsregistierungs-Webdienst | Der Zertifikatregistrierungs-Webdienst verwendet das HTTPS-Protokoll, um Zertifikatanforderungen von Netzwerkclientcomputern anzunehmen und ausgestellte Zertifikate an Netzwerkclientcomputer zurückzuschicken. Der Zertifikatregistrierungs-Webdienst verwendet das DCOM-Protokoll, um eine Verbindung mit der Zertifizierungsstelle (Certification Authority, CA) herzustellen und die Zertifikatregistrierung im Namen des Antragstellers auszuführen. In früheren Versionen von AD CS konnte die richtlinienbasierte Zertifikatregistrierung nur von Mitgliedsclientcomputern ausgeführt werden, die das DCOM-Protokoll verwenden. Dadurch wird die Ausstellung von Zertifikaten auf die von Active Directory-Domänen und Gesamtstrukturen festgelegten Vertrauensstellungsgrenzen beschränkt. |
| Zertifizierungsstellen-Webregistrierung | Wird dieser Rollendienst installiert, können auch Zertifikate über die Webadresse https://<Servername>/certsrv angefordert werden. Hierbei handelt es sich um die Webschnittstelle der Zertifizierungsdienste. |
Konfigurieren[Bearbeiten | Quelltext bearbeiten]
Wir müssen die Zertifizierungsstelle noch konfigurieren, es funktioniert über den Server-Manager, es wird ein Oranges Rufzeichen erscheinen im Manager oder direkt aus dem Installation-Wizard. Ich werde es euch zeigen über den Installation-Wizard.
Wir können nur die Zertifizierungsstelle aktivieren, da wir dieses Feature nur installiert haben.
Wir werden die Unternehmenszertifizierungsstelle, nehmen













