Zertifikatsstelle - Root Zertifikat installieren: Unterschied zwischen den Versionen

Aus FAQ LIFE-SESSIONS
K
K
Zeile 8: Zeile 8:
 
Ein Active-Directory-Zertifikatsdienst ist nicht zwingend, zu einem Domain Controller hinzu zu installieren, nur der Server muss ein Mitglied einer Domäne sein.
 
Ein Active-Directory-Zertifikatsdienst ist nicht zwingend, zu einem Domain Controller hinzu zu installieren, nur der Server muss ein Mitglied einer Domäne sein.
  
=== '''Installation''' ===
+
=== '''<span style="color:#FF0000">Installation</span> ''' ===
 
----Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen.
 
----Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen.
 
[[Datei:ROOT CA 1.png|zentriert|gerahmt]]Wir werden "Rollenbasierte oder featurebasierte Installation" wählen, dies ist zu meist die Standardwahl, ausgenommen wir möchten einen Terminalserver installieren.[[Datei:ROOT CA 2.png|zentriert|gerahmt]]An diesem Punkt, werden wir vom Server-Pool installieren. Man könnte über den Server-Manager andere Windows Server einbinden und danach Rollen und Features so auf einem anderen Server installieren bzw. konfigurieren, dies ist ehrlich gesagt nicht schlecht, so hat man den Überblick über seine Server Landschaft, auf nur einem Server, dies ist für mich ein Managementserver.[[Datei:ROOT CA 3.png|zentriert|gerahmt]]
 
[[Datei:ROOT CA 1.png|zentriert|gerahmt]]Wir werden "Rollenbasierte oder featurebasierte Installation" wählen, dies ist zu meist die Standardwahl, ausgenommen wir möchten einen Terminalserver installieren.[[Datei:ROOT CA 2.png|zentriert|gerahmt]]An diesem Punkt, werden wir vom Server-Pool installieren. Man könnte über den Server-Manager andere Windows Server einbinden und danach Rollen und Features so auf einem anderen Server installieren bzw. konfigurieren, dies ist ehrlich gesagt nicht schlecht, so hat man den Überblick über seine Server Landschaft, auf nur einem Server, dies ist für mich ein Managementserver.[[Datei:ROOT CA 3.png|zentriert|gerahmt]]
Zeile 46: Zeile 46:
  
  
==='''Konfigurieren'''===
+
==='''<span style="color:#FF0000">Konfigurieren</span> '''===
 
----Wir müssen die Zertifizierungsstelle noch konfigurieren, es funktioniert über den Server-Manager, es wird ein oranges Rufzeichen erscheinen im Manager oder direkt aus dem Installation-Wizard. Ich werde es euch zeigen über den Installation-Wizard.
 
----Wir müssen die Zertifizierungsstelle noch konfigurieren, es funktioniert über den Server-Manager, es wird ein oranges Rufzeichen erscheinen im Manager oder direkt aus dem Installation-Wizard. Ich werde es euch zeigen über den Installation-Wizard.
 
[[Datei:ROOT CA 11.png|zentriert|gerahmt]]Es muss sichergestellt werden, das genügend Rechte, vorhanden sind, man benötigt einen Benutzer mit mindestens dem Recht Organisations-Administrator. Es empfehlt sich den Benutzer Domain-Administrator oder einen eigene erstellten Domain-Admin zu benutzen. Zu beachten ist, dass ein lokaler Administrator keine solchen Schreibrechte besitzt.
 
[[Datei:ROOT CA 11.png|zentriert|gerahmt]]Es muss sichergestellt werden, das genügend Rechte, vorhanden sind, man benötigt einen Benutzer mit mindestens dem Recht Organisations-Administrator. Es empfehlt sich den Benutzer Domain-Administrator oder einen eigene erstellten Domain-Admin zu benutzen. Zu beachten ist, dass ein lokaler Administrator keine solchen Schreibrechte besitzt.

Version vom 15. Dezember 2020, 05:25 Uhr



Ich möchte euch zeigen, wie man eine Root Zertifikatsstelle installiert zeigen. Dies ist nur die Basis, wir werden, bei weiteren Beiträgen diesen Beitrag als Grundlage benutzen. Damit beim Windows Server alles einwandfrei funktioniert.

Ein Active-Directory-Zertifikatsdienst ist nicht zwingend, zu einem Domain Controller hinzu zu installieren, nur der Server muss ein Mitglied einer Domäne sein.

Installation [Bearbeiten | Quelltext bearbeiten]


Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen.

ROOT CA 1.png

Wir werden "Rollenbasierte oder featurebasierte Installation" wählen, dies ist zu meist die Standardwahl, ausgenommen wir möchten einen Terminalserver installieren.

ROOT CA 2.png

An diesem Punkt, werden wir vom Server-Pool installieren. Man könnte über den Server-Manager andere Windows Server einbinden und danach Rollen und Features so auf einem anderen Server installieren bzw. konfigurieren, dies ist ehrlich gesagt nicht schlecht, so hat man den Überblick über seine Server Landschaft, auf nur einem Server, dies ist für mich ein Managementserver.

ROOT CA 3.png

Wir werden die Rolle "Active-Directory-Zertifikatsdienst" aktivieren. Dies lässt sich nur aktivieren, wenn der Server

ROOT CA 4.png

Die Zusatzfeatures bleibt aktivieren, die werden ausnahmslos benötigt, für einen sauberen Ablauf bzw. für das administrieren, es wird nur, ein Snap-In hinzugefügt für die Microsoft Management Console. Daher werden wir die Checkbox "Management-Tools einschließen" nicht deaktivieren.

ROOT CA 5.png
ROOT CA 6.png

Wir benötigen keine Features, die wurden passend durch das hinzufügen der Rolle aktiviert.

ROOT CA 7.png
ROOT CA 8.png

Wir werden die Zertifizierungsstelle aktivieren, alle anderen Feature werde ich in einem anderen Beitrag näher darauf eingehen. Ich werde daher die anderen Features nicht aktivieren, die Installation werden wir zu einem anderen Beitrag durchführen.

Ich werde euch kurz Erklären, um welche Feature es sich handelt.

Feature Erklärung
Feature Beschreibung
Zertifizierungsstelle Hierbei handelt es sich um den wichtigsten Rollendienst, der die Basis der Zertifikatsdienste darstellt. Dieser Rollendienst wird für das Ausstellen und Verwalten der Zertifikate benötigt.
Online-Responder Online-Responder - Dieser Rollendienst stellt die OCSP-Funktion zur Verfügung, über die den Clients erweiterte Informationen über den aktuellen Zustand der Zertifikatsabfrage gegeben werden. Der Dienst setzt die Installation des IIS 7.5 voraus, es wird ein neues Web mit der Adresse http://<Servername>/ocsp erstellt.
Registrierungsdienst für Netzwerkgeräte Diese Funktion kann nur alleine installiert werden, nicht zusammen mit einer Zertifizierungsstelle. Mit diesem Rollendienst ist es möglich, Zertifikate an Netzwerkgeräte automatisch auszustellen.
Zertifikatregistrierungsrichtlinie-Webdienst Der Zertifikatregistrierungsrichtlinien-Webdienst verwendet das HTTPS-Protokoll, um Informationen zur Zertifikatrichtlinie an Netzwerkclientcomputern weiterzuleiten. Der Webdienst ruft mithilfe des LDAP-Protokolls Informationen zur Zertifikatrichtlinie von den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) ab und speichert die Richtlinieninformationen zur Verarbeitung von Clientanforderungen zwischen. In früheren Versionen von AD CS konnten nur Domänenclientcomputer, die das LDAP-Protokoll verwenden, auf die Informationen zur Zertifikatrichtlinie zugreifen. Dadurch wird die Ausstellung von richtlinienbasierten Zertifikaten auf die von den Gesamtstrukturen der Active Directory-Domänendienste festgelegten Vertrauensstellungsgrenzen beschränkt.
Zertikatsregistierungs-Webdienst Der Zertifikatregistrierungs-Webdienst verwendet das HTTPS-Protokoll, um Zertifikatanforderungen von Netzwerkclientcomputern anzunehmen und ausgestellte Zertifikate an Netzwerkclientcomputer zurückzuschicken. Der Zertifikatregistrierungs-Webdienst verwendet das DCOM-Protokoll, um eine Verbindung mit der Zertifizierungsstelle (Certification Authority, CA) herzustellen und die Zertifikatregistrierung im Namen des Antragstellers auszuführen. In früheren Versionen von AD CS konnte die richtlinienbasierte Zertifikatregistrierung nur von Mitgliedsclientcomputern ausgeführt werden, die das DCOM-Protokoll verwenden. Dadurch wird die Ausstellung von Zertifikaten auf die von Active Directory-Domänen und Gesamtstrukturen festgelegten Vertrauensstellungsgrenzen beschränkt.
Zertifizierungsstellen-Webregistrierung Wird dieser Rollendienst installiert, können auch Zertifikate über die Webadresse https://<Servername>/certsrv angefordert werden. Hierbei handelt es sich um die Webschnittstelle der Zertifizierungsdienste.
ROOT CA 9.png

Wir werden nun die Rolle installieren, es wird kein Neustart benötigt.

ROOT CA 10.png


Konfigurieren [Bearbeiten | Quelltext bearbeiten]


Wir müssen die Zertifizierungsstelle noch konfigurieren, es funktioniert über den Server-Manager, es wird ein oranges Rufzeichen erscheinen im Manager oder direkt aus dem Installation-Wizard. Ich werde es euch zeigen über den Installation-Wizard.

ROOT CA 11.png

Es muss sichergestellt werden, das genügend Rechte, vorhanden sind, man benötigt einen Benutzer mit mindestens dem Recht Organisations-Administrator. Es empfehlt sich den Benutzer Domain-Administrator oder einen eigene erstellten Domain-Admin zu benutzen. Zu beachten ist, dass ein lokaler Administrator keine solchen Schreibrechte besitzt.

ROOT CA 12.png

Wir können nur die Zertifizierungsstelle aktivieren, da wir dieses Feature nur installiert haben.

ROOT CA 13.png

Wir werden die Unternehmenszertifizierungsstelle, nehmen

ROOT CA 14.png