Zertifikatsstelle - Root Zertifikat installieren: Unterschied zwischen den Versionen
Peter (Diskussion | Beiträge) K (Peter verschob die Seite Root Zertifikatsstelle installieren nach Zertifikatsstelle - Root Zertifikat installieren) |
Peter (Diskussion | Beiträge) K |
||
| (4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 4: | Zeile 4: | ||
__INDEXIEREN__ | __INDEXIEREN__ | ||
| − | Ich möchte euch zeigen, wie man eine Root Zertifikatsstelle installiert zeigen. Dies ist nur die Basis, wir werden, bei weiteren Beiträgen diesen Beitrag als Grundlage benutzen. Damit beim Windows Server alles einwandfrei funktioniert. | + | Ich möchte euch zeigen, wie man eine Root [https://de.wikipedia.org/wiki/Zertifizierungsstelle Zertifikatsstelle] installiert zeigen. Dies ist nur die Basis, wir werden, bei weiteren Beiträgen diesen Beitrag als Grundlage benutzen. Damit beim Windows Server alles einwandfrei funktioniert. |
Ein Active-Directory-Zertifikatsdienst ist nicht zwingend, zu einem Domain Controller hinzu zu installieren, nur der Server muss ein Mitglied einer Domäne sein. | Ein Active-Directory-Zertifikatsdienst ist nicht zwingend, zu einem Domain Controller hinzu zu installieren, nur der Server muss ein Mitglied einer Domäne sein. | ||
| − | === '''Installation''' === | + | === '''<span style="color:#FF0000">Installation</span> ''' === |
----Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen. | ----Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen. | ||
| − | [[Datei:ROOT CA 1.png|zentriert|gerahmt]] | + | [[Datei:ROOT CA 1.png|zentriert|gerahmt]]Wir werden "Rollenbasierte oder featurebasierte Installation" wählen, dies ist zu meist die Standardwahl, ausgenommen wir möchten einen Terminalserver installieren.[[Datei:ROOT CA 2.png|zentriert|gerahmt]]An diesem Punkt, werden wir vom Server-Pool installieren. Man könnte über den Server-Manager andere Windows Server einbinden und danach Rollen und Features so auf einem anderen Server installieren bzw. konfigurieren, dies ist ehrlich gesagt nicht schlecht, so hat man den Überblick über seine Server Landschaft, auf nur einem Server, dies ist für mich ein Managementserver.[[Datei:ROOT CA 3.png|zentriert|gerahmt]] |
| − | [[Datei:ROOT CA 2.png|zentriert|gerahmt]] | + | Wir werden die Rolle "Active-Directory-Zertifikatsdienst" aktivieren. Dies lässt sich nur aktivieren, wenn der Server |
| − | [[Datei:ROOT CA 3.png|zentriert|gerahmt]] | + | [[Datei:ROOT CA 4.png|zentriert|gerahmt]]Die Zusatzfeatures bleibt aktivieren, die werden ausnahmslos benötigt, für einen sauberen Ablauf bzw. für das administrieren, es wird nur, ein Snap-In hinzugefügt für die [https://de.wikipedia.org/wiki/Microsoft_Management_Console Microsoft Management Console]. Daher werden wir die Checkbox "Management-Tools einschließen" nicht deaktivieren.[[Datei:ROOT CA 5.png|zentriert|gerahmt]] |
| − | Wir werden die Rolle "Active-Directory-Zertifikatsdienst" aktivieren. | ||
| − | [[Datei:ROOT CA 4.png|zentriert|gerahmt]]Die Zusatzfeatures bleibt aktivieren, die werden ausnahmslos benötigt, für einen sauberen Ablauf. Daher werden wir die Checkbox "Management-Tools einschließen" nicht deaktivieren.[[Datei:ROOT CA 5.png|zentriert|gerahmt]] | ||
| − | [[Datei:ROOT CA 6.png|zentriert|gerahmt]] | + | [[Datei:ROOT CA 6.png|zentriert|gerahmt]]Wir benötigen keine Features, die wurden passend durch das hinzufügen der Rolle aktiviert.[[Datei:ROOT CA 7.png|zentriert|gerahmt]] |
| − | [[Datei:ROOT CA 7.png|zentriert|gerahmt]] | ||
[[Datei:ROOT CA 8.png|zentriert|gerahmt]] | [[Datei:ROOT CA 8.png|zentriert|gerahmt]] | ||
Wir werden die Zertifizierungsstelle aktivieren, alle anderen Feature werde ich in einem anderen Beitrag näher darauf eingehen. Ich werde daher die anderen Features nicht aktivieren, die Installation werden wir zu einem anderen Beitrag durchführen. | Wir werden die Zertifizierungsstelle aktivieren, alle anderen Feature werde ich in einem anderen Beitrag näher darauf eingehen. Ich werde daher die anderen Features nicht aktivieren, die Installation werden wir zu einem anderen Beitrag durchführen. | ||
| Zeile 31: | Zeile 28: | ||
|Hierbei handelt es sich um den wichtigsten Rollendienst, der die Basis der Zertifikatsdienste darstellt. Dieser Rollendienst wird für das Ausstellen und Verwalten der Zertifikate benötigt. | |Hierbei handelt es sich um den wichtigsten Rollendienst, der die Basis der Zertifikatsdienste darstellt. Dieser Rollendienst wird für das Ausstellen und Verwalten der Zertifikate benötigt. | ||
|- | |- | ||
| − | | style="text-align:center;" |Online-Responder | + | | style="text-align:center;" |[https://de.wikipedia.org/wiki/Online_Certificate_Status_Protocol Online-Responder] |
|Online-Responder - Dieser Rollendienst stellt die OCSP-Funktion zur Verfügung, über die den Clients erweiterte Informationen über den aktuellen Zustand der Zertifikatsabfrage gegeben werden. Der Dienst setzt die Installation des IIS 7.5 voraus, es wird ein neues Web mit der Adresse http://<Servername>/ocsp erstellt. | |Online-Responder - Dieser Rollendienst stellt die OCSP-Funktion zur Verfügung, über die den Clients erweiterte Informationen über den aktuellen Zustand der Zertifikatsabfrage gegeben werden. Der Dienst setzt die Installation des IIS 7.5 voraus, es wird ein neues Web mit der Adresse http://<Servername>/ocsp erstellt. | ||
|- | |- | ||
| Zeile 46: | Zeile 43: | ||
|Wird dieser Rollendienst installiert, können auch Zertifikate über die Webadresse ''https://<Servername>/certsrv'' angefordert werden. Hierbei handelt es sich um die Webschnittstelle der Zertifizierungsdienste. | |Wird dieser Rollendienst installiert, können auch Zertifikate über die Webadresse ''https://<Servername>/certsrv'' angefordert werden. Hierbei handelt es sich um die Webschnittstelle der Zertifizierungsdienste. | ||
|} | |} | ||
| − | [[Datei:ROOT CA 9.png|zentriert|gerahmt]] | + | [[Datei:ROOT CA 9.png|zentriert|gerahmt]]Wir werden nun die Rolle installieren, es wird kein Neustart benötigt.[[Datei:ROOT CA 10.png|zentriert|gerahmt]] |
| − | [[Datei:ROOT CA 10.png|zentriert|gerahmt]] | ||
| − | ==='''Konfigurieren'''=== | + | ==='''<span style="color:#FF0000">Konfigurieren</span> '''=== |
| − | ----Wir müssen die Zertifizierungsstelle noch konfigurieren, es funktioniert über den Server-Manager, es wird ein | + | ----Wir müssen die Zertifizierungsstelle noch konfigurieren, es funktioniert über den Server-Manager, es wird ein oranges Rufzeichen erscheinen im Manager oder direkt aus dem Installation-Wizard. Ich werde es euch zeigen über den Installation-Wizard. |
| − | [[Datei:ROOT CA 11.png|zentriert|gerahmt]] | + | [[Datei:ROOT CA 11.png|zentriert|gerahmt]]Es muss sichergestellt werden, das genügend Rechte, vorhanden sind, man benötigt einen Benutzer mit mindestens dem Recht Organisations-Administrator. Es empfehlt sich den Benutzer Domain-Administrator oder einen eigene erstellten Domain-Admin zu benutzen. Zu beachten ist, dass ein lokaler Administrator keine solchen Schreibrechte besitzt. |
| − | [[Datei:ROOT CA 12.png|zentriert|gerahmt]]Wir können nur die Zertifizierungsstelle aktivieren, da wir dieses Feature nur installiert haben. | + | [[Datei:ROOT CA 12.png|zentriert|gerahmt]] |
| + | Wir können nur die Zertifizierungsstelle aktivieren, da wir dieses Feature nur installiert haben. Die anderen Feature sind nicht möglich zu dem Zeitpunkt zu wählen aus zwei Gründen. Der erste Grund ist wir haben Sie nicht installiert und er zweite Grund ist wir haben die Basis noch nicht konfiguriert und somit kann man die advanced Einstellungen noch nicht wählen. | ||
[[Datei:ROOT CA 13.png|zentriert|gerahmt]] | [[Datei:ROOT CA 13.png|zentriert|gerahmt]] | ||
| − | Wir werden die Unternehmenszertifizierungsstelle, nehmen | + | Wir werden die Unternehmenszertifizierungsstelle wählen, da wir keine [https://de.wikipedia.org/wiki/Public-Key-Infrastruktur Public-Key-Infrastruktur] aufbauen möchten. Unser Ziel ist eine in Active-Directory integrierte Zertifizierungsstelle zu bauen. |
| − | [[Datei:ROOT CA | + | [[Datei:ROOT CA 14.png|zentriert|gerahmt]]Wir haben noch keine Root-Zertifizierungsstelle, daher müssen wir erst eine erstellen, solltet Ihr einen weiteren Server Planen, es ist nur ein Root-Zertifizierungsstelle im System möglich, alle anderen Server sind "Untergeordnete Zertifizierungsstellen". |
| + | [[Datei:ROOT CA 15.png|zentriert|gerahmt]] | ||
| + | Im Normalfall besitzen wir noch keinen eigenen privaten Schlüssel '''<span style="color:#FF0000">(Achtung!!! Denn privaten Schlüssel muss privat sein, da man ansonsten in eigenem Namen Zertifikate ausstellen kann und es ein großes Sicherheitsproblem gibt)</span>''' , also werden wir uns einen erstellen. | ||
| + | [[Datei:ROOT CA 16.png|zentriert|gerahmt]] | ||
| + | Standardmäßig ist zu empfehlen "RSA#Microsoft Software Key Storage Provider" zu verwenden. | ||
| + | |||
| + | Eine Schlüssellänge von unter 2048 zu verwenden ist aus der Sicht der Sicherheit zu unterlassen, wenn die Geräte diesen Schlüssel überhaupt noch akzeptieren, eine Empfehlung von mir ist 4096. Höher als 4096 kann es sein, dass gewisse Geräte, Software, Appliance,... damit nicht umgehen können und daher nicht zu empfehlen. | ||
| + | |||
| + | Der Hast von SHA256 würde ich benutzen, da höher ebenso nicht funktionieren können, insbesondere ältere Geräte, könnten Probleme erhalten. | ||
| + | [[Datei:ROOT CA 17.png|zentriert|gerahmt]] | ||
| + | Diese Einstellungen würde ich so belassen, da der Allgemein Name genau sagt von welchem Server, das Zertifikat erstellt wurde und alle Informationen enthalten sind. Aber auf Wunsch kann der Allgemeine Name nach belieben geändert werden. | ||
| + | |||
| + | Beim "Destinguished Name" darf nicht geändert werden, da ansonsten das Zertifikat nicht mehr einwandfrei funktioniert. | ||
| + | [[Datei:ROOT CA 18.png|zentriert|gerahmt]] | ||
| + | Länger als 5 Jahre würde ich nicht nehmen um die Lebensdauer des Zertifikat. Wobei zu beachten ist das Google bzw. auch andere Mitanbieter, mittlerweile alle Zertifikat als untrusted ansieht, die Länger als 1 Jahr sind. Es hat zwar einen erhöhten Administrativen, aufwand das Root Zertifikat zu verlängern, aber aus der Sicht der Sicherheit, ist es empfehlenswert. | ||
| + | [[Datei:ROOT CA 19.png|zentriert|gerahmt]] | ||
| + | Hier wird nur festgelegt wo der Speicherort der Datenbank für die Zertifikate ist. Man kann Ihn anpassen, würde ich aber belassen um keine weiteren Problem zu erzeugen. | ||
| + | [[Datei:ROOT CA 20.png|zentriert|gerahmt]] | ||
| + | Nun werden alle Konfigurationseinstellungen übernommen, der Private Schlüssel erzeugt und das Root Zertifikat erstellt. | ||
| + | [[Datei:ROOT CA 21.png|zentriert|gerahmt]] | ||
| + | [[Datei:ROOT CA 22.png|zentriert|gerahmt]] | ||
| + | [[Datei:ROOT CA 23.png|zentriert|gerahmt]] | ||
| + | Wir haben nun fertig die Zertifizierungsstelle installiert und konfiguriert. | ||
| + | |||
| + | === '''<span style="color:#FF0000">System</span> ''' === | ||
| + | ----Wir werden nun das Programm "Ausführen" öffnen oder über den Server-Manager können wir die Zertifizierungsstelle öffnen. | ||
| + | <code>certsrv.msc</code> | ||
| + | [[Datei:ROOT CA 24.png|zentriert|gerahmt]] | ||
| + | |||
| + | === '''<span style="color:#FF0000">Überprüfen</span> ''' === | ||
| + | ---- | ||
| + | |||
| + | ==== '''Server''' ==== | ||
| + | Wir können nun das Root-Zertifikat im ANSI-Editor finden, wenn wir das Programm "Ausführen" öffnet. | ||
| + | <code>adsiedit.msc</code> | ||
| + | Der Pfad lautet: | ||
| + | CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=test,DC=local | ||
| + | [[Datei:ROOT CA 25.png|zentriert|gerahmt]] | ||
| + | |||
| + | ==== '''Client''' ==== | ||
| + | Das Root-Zertifikat können wir am Client oder Member-Server im Zertifikatsmanager, des eigenen Benutzerkonto finden. Es befindet sich unter dem vertrauenswürdigen Stammzertifikate. Wir öffnen wieder das Programm "Ausführen". | ||
| + | <code>certmgr.msc</code> | ||
| + | [[Datei:ROOT CA 26.png|zentriert|gerahmt]] | ||
Version vom 15. Dezember 2020, 21:15 Uhr
Ich möchte euch zeigen, wie man eine Root Zertifikatsstelle installiert zeigen. Dies ist nur die Basis, wir werden, bei weiteren Beiträgen diesen Beitrag als Grundlage benutzen. Damit beim Windows Server alles einwandfrei funktioniert.
Ein Active-Directory-Zertifikatsdienst ist nicht zwingend, zu einem Domain Controller hinzu zu installieren, nur der Server muss ein Mitglied einer Domäne sein.
Installation [Bearbeiten | Quelltext bearbeiten]
Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen.
Wir werden "Rollenbasierte oder featurebasierte Installation" wählen, dies ist zu meist die Standardwahl, ausgenommen wir möchten einen Terminalserver installieren.
An diesem Punkt, werden wir vom Server-Pool installieren. Man könnte über den Server-Manager andere Windows Server einbinden und danach Rollen und Features so auf einem anderen Server installieren bzw. konfigurieren, dies ist ehrlich gesagt nicht schlecht, so hat man den Überblick über seine Server Landschaft, auf nur einem Server, dies ist für mich ein Managementserver.
Wir werden die Rolle "Active-Directory-Zertifikatsdienst" aktivieren. Dies lässt sich nur aktivieren, wenn der Server
Die Zusatzfeatures bleibt aktivieren, die werden ausnahmslos benötigt, für einen sauberen Ablauf bzw. für das administrieren, es wird nur, ein Snap-In hinzugefügt für die Microsoft Management Console. Daher werden wir die Checkbox "Management-Tools einschließen" nicht deaktivieren.
Wir benötigen keine Features, die wurden passend durch das hinzufügen der Rolle aktiviert.
Wir werden die Zertifizierungsstelle aktivieren, alle anderen Feature werde ich in einem anderen Beitrag näher darauf eingehen. Ich werde daher die anderen Features nicht aktivieren, die Installation werden wir zu einem anderen Beitrag durchführen.
Ich werde euch kurz Erklären, um welche Feature es sich handelt.
| Feature | Beschreibung |
|---|---|
| Zertifizierungsstelle | Hierbei handelt es sich um den wichtigsten Rollendienst, der die Basis der Zertifikatsdienste darstellt. Dieser Rollendienst wird für das Ausstellen und Verwalten der Zertifikate benötigt. |
| Online-Responder | Online-Responder - Dieser Rollendienst stellt die OCSP-Funktion zur Verfügung, über die den Clients erweiterte Informationen über den aktuellen Zustand der Zertifikatsabfrage gegeben werden. Der Dienst setzt die Installation des IIS 7.5 voraus, es wird ein neues Web mit der Adresse http://<Servername>/ocsp erstellt. |
| Registrierungsdienst für Netzwerkgeräte | Diese Funktion kann nur alleine installiert werden, nicht zusammen mit einer Zertifizierungsstelle. Mit diesem Rollendienst ist es möglich, Zertifikate an Netzwerkgeräte automatisch auszustellen. |
| Zertifikatregistrierungsrichtlinie-Webdienst | Der Zertifikatregistrierungsrichtlinien-Webdienst verwendet das HTTPS-Protokoll, um Informationen zur Zertifikatrichtlinie an Netzwerkclientcomputern weiterzuleiten. Der Webdienst ruft mithilfe des LDAP-Protokolls Informationen zur Zertifikatrichtlinie von den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) ab und speichert die Richtlinieninformationen zur Verarbeitung von Clientanforderungen zwischen. In früheren Versionen von AD CS konnten nur Domänenclientcomputer, die das LDAP-Protokoll verwenden, auf die Informationen zur Zertifikatrichtlinie zugreifen. Dadurch wird die Ausstellung von richtlinienbasierten Zertifikaten auf die von den Gesamtstrukturen der Active Directory-Domänendienste festgelegten Vertrauensstellungsgrenzen beschränkt. |
| Zertikatsregistierungs-Webdienst | Der Zertifikatregistrierungs-Webdienst verwendet das HTTPS-Protokoll, um Zertifikatanforderungen von Netzwerkclientcomputern anzunehmen und ausgestellte Zertifikate an Netzwerkclientcomputer zurückzuschicken. Der Zertifikatregistrierungs-Webdienst verwendet das DCOM-Protokoll, um eine Verbindung mit der Zertifizierungsstelle (Certification Authority, CA) herzustellen und die Zertifikatregistrierung im Namen des Antragstellers auszuführen. In früheren Versionen von AD CS konnte die richtlinienbasierte Zertifikatregistrierung nur von Mitgliedsclientcomputern ausgeführt werden, die das DCOM-Protokoll verwenden. Dadurch wird die Ausstellung von Zertifikaten auf die von Active Directory-Domänen und Gesamtstrukturen festgelegten Vertrauensstellungsgrenzen beschränkt. |
| Zertifizierungsstellen-Webregistrierung | Wird dieser Rollendienst installiert, können auch Zertifikate über die Webadresse https://<Servername>/certsrv angefordert werden. Hierbei handelt es sich um die Webschnittstelle der Zertifizierungsdienste. |
Wir werden nun die Rolle installieren, es wird kein Neustart benötigt.
Konfigurieren [Bearbeiten | Quelltext bearbeiten]
Wir müssen die Zertifizierungsstelle noch konfigurieren, es funktioniert über den Server-Manager, es wird ein oranges Rufzeichen erscheinen im Manager oder direkt aus dem Installation-Wizard. Ich werde es euch zeigen über den Installation-Wizard.
Es muss sichergestellt werden, das genügend Rechte, vorhanden sind, man benötigt einen Benutzer mit mindestens dem Recht Organisations-Administrator. Es empfehlt sich den Benutzer Domain-Administrator oder einen eigene erstellten Domain-Admin zu benutzen. Zu beachten ist, dass ein lokaler Administrator keine solchen Schreibrechte besitzt.
Wir können nur die Zertifizierungsstelle aktivieren, da wir dieses Feature nur installiert haben. Die anderen Feature sind nicht möglich zu dem Zeitpunkt zu wählen aus zwei Gründen. Der erste Grund ist wir haben Sie nicht installiert und er zweite Grund ist wir haben die Basis noch nicht konfiguriert und somit kann man die advanced Einstellungen noch nicht wählen.
Wir werden die Unternehmenszertifizierungsstelle wählen, da wir keine Public-Key-Infrastruktur aufbauen möchten. Unser Ziel ist eine in Active-Directory integrierte Zertifizierungsstelle zu bauen.
Wir haben noch keine Root-Zertifizierungsstelle, daher müssen wir erst eine erstellen, solltet Ihr einen weiteren Server Planen, es ist nur ein Root-Zertifizierungsstelle im System möglich, alle anderen Server sind "Untergeordnete Zertifizierungsstellen".
Im Normalfall besitzen wir noch keinen eigenen privaten Schlüssel (Achtung!!! Denn privaten Schlüssel muss privat sein, da man ansonsten in eigenem Namen Zertifikate ausstellen kann und es ein großes Sicherheitsproblem gibt) , also werden wir uns einen erstellen.
Standardmäßig ist zu empfehlen "RSA#Microsoft Software Key Storage Provider" zu verwenden.
Eine Schlüssellänge von unter 2048 zu verwenden ist aus der Sicht der Sicherheit zu unterlassen, wenn die Geräte diesen Schlüssel überhaupt noch akzeptieren, eine Empfehlung von mir ist 4096. Höher als 4096 kann es sein, dass gewisse Geräte, Software, Appliance,... damit nicht umgehen können und daher nicht zu empfehlen.
Der Hast von SHA256 würde ich benutzen, da höher ebenso nicht funktionieren können, insbesondere ältere Geräte, könnten Probleme erhalten.
Diese Einstellungen würde ich so belassen, da der Allgemein Name genau sagt von welchem Server, das Zertifikat erstellt wurde und alle Informationen enthalten sind. Aber auf Wunsch kann der Allgemeine Name nach belieben geändert werden.
Beim "Destinguished Name" darf nicht geändert werden, da ansonsten das Zertifikat nicht mehr einwandfrei funktioniert.
Länger als 5 Jahre würde ich nicht nehmen um die Lebensdauer des Zertifikat. Wobei zu beachten ist das Google bzw. auch andere Mitanbieter, mittlerweile alle Zertifikat als untrusted ansieht, die Länger als 1 Jahr sind. Es hat zwar einen erhöhten Administrativen, aufwand das Root Zertifikat zu verlängern, aber aus der Sicht der Sicherheit, ist es empfehlenswert.
Hier wird nur festgelegt wo der Speicherort der Datenbank für die Zertifikate ist. Man kann Ihn anpassen, würde ich aber belassen um keine weiteren Problem zu erzeugen.
Nun werden alle Konfigurationseinstellungen übernommen, der Private Schlüssel erzeugt und das Root Zertifikat erstellt.
Wir haben nun fertig die Zertifizierungsstelle installiert und konfiguriert.
System [Bearbeiten | Quelltext bearbeiten]
Wir werden nun das Programm "Ausführen" öffnen oder über den Server-Manager können wir die Zertifizierungsstelle öffnen.
certsrv.msc
Überprüfen [Bearbeiten | Quelltext bearbeiten]
Server[Bearbeiten | Quelltext bearbeiten]
Wir können nun das Root-Zertifikat im ANSI-Editor finden, wenn wir das Programm "Ausführen" öffnet.
adsiedit.msc
Der Pfad lautet:
CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=test,DC=local
Client[Bearbeiten | Quelltext bearbeiten]
Das Root-Zertifikat können wir am Client oder Member-Server im Zertifikatsmanager, des eigenen Benutzerkonto finden. Es befindet sich unter dem vertrauenswürdigen Stammzertifikate. Wir öffnen wieder das Programm "Ausführen".
certmgr.msc

























