Zertifizierungsstellen-Webregistrierung installieren: Unterschied zwischen den Versionen
Peter (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Kategorie:Inhalt Kategorie:Windows Server __INHALTSVERZEICHNIS_ERZWINGEN__ __INDEXIEREN__“) |
Peter (Diskussion | Beiträge) K |
||
| (6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 3: | Zeile 3: | ||
__INHALTSVERZEICHNIS_ERZWINGEN__ | __INHALTSVERZEICHNIS_ERZWINGEN__ | ||
__INDEXIEREN__ | __INDEXIEREN__ | ||
| + | |||
| + | In diesem Beitrag werde ich zeigen, wie man ein Zertifizierungsstellen-Webregistrierung installiert. Damit hat man die Möglichkeit über einen Browser, eine Zertifikatsanfrage zu stellen, ohne auf den Server zugreifen zu müssen. Damit wird man flexibler und dies ist rein optional. Es gibt nur eine Voraussetzung, es muss auf einem Server, nicht zwingender der Domain Controller, es ist sogar empfohlen dies nicht zu mach auf dem die Zertifizierungsstelle zu installieren. Eine Zertifizierungsstelle werde ich nicht mehr darauf eingehen, dies habe ich in einem anderen Beitrag gemacht, siehe [[Zertifikatsstelle - Root Zertifikat installieren]]. | ||
| + | |||
| + | === '''<span style="color:#FF0000">Installation</span>''' === | ||
| + | ----Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen. | ||
| + | [[Datei:WEB CA 1.png|zentriert|gerahmt]] | ||
| + | Wir werden "Rollenbasierte oder featurebasierte Installation" wählen, dies ist zu meist die Standardwahl, ausgenommen wir möchten einen Terminalserver installieren. | ||
| + | [[Datei:WEB CA 2.png|zentriert|gerahmt]] | ||
| + | An diesem Punkt, werden wir vom Server-Pool installieren. Man könnte über den Server-Manager andere Windows Server einbinden und danach Rollen und Features so auf einem anderen Server installieren bzw. konfigurieren, dies ist ehrlich gesagt nicht schlecht, so hat man den Überblick über seine Server Landschaft, auf nur einem Server, dies ist für mich ein Managementserver. | ||
| + | [[Datei:WEB CA 3.png|zentriert|gerahmt]] | ||
| + | Wie wir sehen ist die Rolle "Active-Directory-Zertifikatsdienst" aktivieren, installiert und konfiguriert. Nun können wir weitere Rollen "Active-Directory-Zertifikatsdienst" installieren. Wir werden die Rolle "Zertifizierungsstelle-Webregistrierung" wählen, damit wir später im Browser eine Zertifikatsanfrage in Auftrag geben können. | ||
| + | [[Datei:WEB CA 4.png|zentriert|gerahmt]] | ||
| + | Es erscheint nun ein Pop-up, da man gewisse Feature benötigt werden, Microsoft gibt uns gleich die richtigen Feature mit und werden diese hinzufügen. | ||
| + | [[Datei:WEB CA 5.png|zentriert|gerahmt]] | ||
| + | Nun sind wir bereit die Rolle zum Hinzufügen und die Checkbox werden nun weitergehen. | ||
| + | [[Datei:WEB CA 6.png|zentriert|gerahmt]] | ||
| + | Wir benötigen keine Features, die wurden passend durch das Hinzufügen der Rolle aktiviert. | ||
| + | [[Datei:WEB CA 7.png|zentriert|gerahmt]] | ||
| + | Wir werden nun die Rolle installieren, es wird kein Neustart benötigt. | ||
| + | [[Datei:WEB CA 8.png|zentriert|gerahmt]] | ||
| + | |||
| + | === '''<span style="color:#FF0000">Konfigurieren</span>''' === | ||
| + | ----Wir müssen die Zertifizierungsstellen-Webregistrierung noch konfigurieren, es funktioniert über den Server-Manager, es wird ein oranges Rufzeichen erscheinen im Manager oder direkt aus dem Installation-Wizard. Ich werde es euch zeigen über den Installation-Wizard. | ||
| + | [[Datei:WEB CA 9.png|zentriert|gerahmt]] | ||
| + | Es muss sichergestellt werden, das genügend Rechte, vorhanden sind, man benötigt einen Benutzer mit mindestens dem Recht Organisations-Administrator. Es empfehlt sich den Benutzer Domain-Administrator oder einen eigene erstellten Domain-Admin zu benutzen. Zu beachten ist, dass ein lokaler Administrator keine solchen Schreibrechte besitzt. | ||
| + | [[Datei:WEB CA 10.png|zentriert|gerahmt]] | ||
| + | Wir müssen nun die Rolle "Zertifizierungsstellen-Webregistrierung" auf dem Server aktivieren. | ||
| + | [[Datei:WEB CA 11.png|zentriert|gerahmt]] | ||
| + | Bevor die Konfiguration beginnt, wird noch mal angezeigt, was angepasst wird. | ||
| + | [[Datei:WEB CA 12.png|zentriert|gerahmt]] | ||
| + | Wir haben nun die Konfiguration erfolgreich abgeschlossen und schließen den Wizard. | ||
| + | [[Datei:WEB CA 13.png|zentriert|gerahmt]] | ||
| + | Ebenso haben wir hiermit die Installation ebenso abgeschlossen. | ||
| + | [[Datei:WEB CA 14.png|zentriert|gerahmt]] | ||
| + | |||
| + | === '''<span style="color:#FF0000">Überprüfen</span>''' === | ||
| + | ----Wir können nun die zuständige Website überprüfen, am besten Mal auf dem Server. Da ist der Zugriff zB über "<nowiki>http://localhost/cersrv</nowiki>" erreichbar. Aber im Grunde kann man den Server, am Anfang über das http Protokoll erreichen, das es ein unsicheres Protokoll ist absolut nicht zu empfehlen. | ||
| + | |||
| + | Damit man den Zertifizierungsstelle-Webregistrierung erreicht ist der Pfad "certsrv" am Ende einzutragen, dies ist egal, ob Sie es über localhost, DNS oder IP-Adresse, den Server anwählen, ebenso von intern, wie extern. | ||
| + | <code><nowiki>http://localhost/cersrv</nowiki></code> | ||
| + | [[Datei:WEB CA 15.png|zentriert|gerahmt]] | ||
| + | Sollte man extern die Zertifizierungsstelle-Webregistrierung anwählen und nicht als Administrator angemeldet sein, wird man immer nach einem Benutzernamen und Kennwort gefragt. | ||
| + | [[Datei:WEB CA 16.png|zentriert|gerahmt]] | ||
| + | Nach dem Einloggen kann man wieder ganz normal seine Arbeit verrichten. | ||
| + | [[Datei:WEB CA 17.png|zentriert|gerahmt]] | ||
| + | |||
| + | === '''<span style="color:#FF0000">Browser Verschlüsselung</span>''' === | ||
| + | ----Ich möchte euch noch zeigen wie ihr von "http" auf "https", die Zertifizierungsstelle-Webregistrierung umstellt. Das ist nicht mal so unwichtig. Da immer mehr Browser Hersteller, das "http" Protokoll sperren werden, in naher Zukunft. Aus der Sicht der Sicherheit, ist es ebenfalls wichtig, beim "http" Protokoll kann jeder, wenn er will, mit lesen kann. | ||
| + | |||
| + | Wir öffnen den Server-Manger, rechts, gibt es den Punkt "Tools" und darin gibt es den Menüpunkt "Internet Information Services (IIS) Manager". Wir können den "Internet Information Services (IIS) Manager" auch im Startmenü in Windows-Verwaltungsprogramme finden. | ||
| + | [[Datei:WEB CA 23.png|zentriert|gerahmt]] | ||
| + | Bei der "Default Web Site" machen wir einen rechts Klick und wir benötigen den Menüpunkt "Bindungen bearbeiten". | ||
| + | [[Datei:WEB CA 18.png|zentriert|gerahmt]] | ||
| + | Nun sehen wir, über welches Protokoll, die Seite wir erreichen können. Da wir das Protokoll "https" möchten, müssen wir es hinzufügen. | ||
| + | [[Datei:WEB CA 19.png|zentriert|gerahmt]] | ||
| + | Beim Auswahlmenü wählen wir "https" aus, wir müssen noch das Zertifikat wählen. | ||
| + | |||
| + | Da ich es in der Testumgebung auf einem Domain Controller installiert habe. Werde ich natürlich dieses Zertifikat benutzen. Bei diesem Zertifikat sieht man sofort, wie der DNS Name lautet und ist auch darüber erreichbar, ohne Zertifikatswarnung. | ||
| + | |||
| + | Wenn Sie z. B. localhost benutzen, wird ein Zertifikatsfehler auftreten und Sie können unter Umständen die Seite nicht erreichen. | ||
| + | |||
| + | Nach dem Anpassen, braucht man keinen Neustart des Webserver, dies wird vom Server sofort umgesetzt. | ||
| + | [[Datei:WEB CA 20.png|zentriert|gerahmt]] | ||
| + | Wie wir sehen funktioniert die Seite nun und es gibt kein Zertifikatsfehler, mit diesem DNS-Eintrag wird man immer nach dem Passwort gefragt, dass finde ich gut, sonst könnte jeder eine Anfrage erstellen und vielleicht mit nicht so positiven Absichten, Ihnen Schaden zufügen. | ||
| + | <code><nowiki>https://FQDN-des-Servers/certsrv</nowiki></code> | ||
| + | [[Datei:WEB CA 21.png|zentriert|gerahmt]] | ||
| + | Nach dem Testen sollten wir nun die Erreichbarkeit anpassen und das Protokoll "http" entfernen. | ||
| + | [[Datei:WEB CA 22.png|zentriert|gerahmt]]Es empfiehlt sich, denn Service "" Neu zu starten, am besten mit PowerShell. Da es sich sonst, wenn Sie den Server nicht Neustart, zu Problemen kommen kann.<syntaxhighlight lang="powershell"> | ||
| + | iisreset /noforce | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | === '''Passwort Anfrage unterbinden''' === | ||
| + | ----Sie können die Passwortabfrage unterbinden, empfiehlt sich aber nicht, aus Sicherheitsgründen. | ||
| + | |||
| + | Wir öffnen die "Internet Optionen", gehen auf den Reiter "Sicherheit" und wählen den Button "Seiten". | ||
| + | [[Datei:WEB CA 24.png|zentriert|gerahmt]] | ||
| + | Wir gehen auf "Erweitert". | ||
| + | [[Datei:WEB CA 25.png|zentriert|gerahmt]] | ||
| + | Sie fügen den FQDN im Textfeld ein und fügen die Seite hinzu. Somit wird nicht mehr nach dem Passwort gefragt. | ||
| + | [[Datei:WEB CA 26.png|zentriert|gerahmt]] | ||
Aktuelle Version vom 2. Januar 2021, 05:47 Uhr
In diesem Beitrag werde ich zeigen, wie man ein Zertifizierungsstellen-Webregistrierung installiert. Damit hat man die Möglichkeit über einen Browser, eine Zertifikatsanfrage zu stellen, ohne auf den Server zugreifen zu müssen. Damit wird man flexibler und dies ist rein optional. Es gibt nur eine Voraussetzung, es muss auf einem Server, nicht zwingender der Domain Controller, es ist sogar empfohlen dies nicht zu mach auf dem die Zertifizierungsstelle zu installieren. Eine Zertifizierungsstelle werde ich nicht mehr darauf eingehen, dies habe ich in einem anderen Beitrag gemacht, siehe Zertifikatsstelle - Root Zertifikat installieren.
Installation[Bearbeiten | Quelltext bearbeiten]
Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen.
Wir werden "Rollenbasierte oder featurebasierte Installation" wählen, dies ist zu meist die Standardwahl, ausgenommen wir möchten einen Terminalserver installieren.
An diesem Punkt, werden wir vom Server-Pool installieren. Man könnte über den Server-Manager andere Windows Server einbinden und danach Rollen und Features so auf einem anderen Server installieren bzw. konfigurieren, dies ist ehrlich gesagt nicht schlecht, so hat man den Überblick über seine Server Landschaft, auf nur einem Server, dies ist für mich ein Managementserver.
Wie wir sehen ist die Rolle "Active-Directory-Zertifikatsdienst" aktivieren, installiert und konfiguriert. Nun können wir weitere Rollen "Active-Directory-Zertifikatsdienst" installieren. Wir werden die Rolle "Zertifizierungsstelle-Webregistrierung" wählen, damit wir später im Browser eine Zertifikatsanfrage in Auftrag geben können.
Es erscheint nun ein Pop-up, da man gewisse Feature benötigt werden, Microsoft gibt uns gleich die richtigen Feature mit und werden diese hinzufügen.
Nun sind wir bereit die Rolle zum Hinzufügen und die Checkbox werden nun weitergehen.
Wir benötigen keine Features, die wurden passend durch das Hinzufügen der Rolle aktiviert.
Wir werden nun die Rolle installieren, es wird kein Neustart benötigt.
Konfigurieren[Bearbeiten | Quelltext bearbeiten]
Wir müssen die Zertifizierungsstellen-Webregistrierung noch konfigurieren, es funktioniert über den Server-Manager, es wird ein oranges Rufzeichen erscheinen im Manager oder direkt aus dem Installation-Wizard. Ich werde es euch zeigen über den Installation-Wizard.
Es muss sichergestellt werden, das genügend Rechte, vorhanden sind, man benötigt einen Benutzer mit mindestens dem Recht Organisations-Administrator. Es empfehlt sich den Benutzer Domain-Administrator oder einen eigene erstellten Domain-Admin zu benutzen. Zu beachten ist, dass ein lokaler Administrator keine solchen Schreibrechte besitzt.
Wir müssen nun die Rolle "Zertifizierungsstellen-Webregistrierung" auf dem Server aktivieren.
Bevor die Konfiguration beginnt, wird noch mal angezeigt, was angepasst wird.
Wir haben nun die Konfiguration erfolgreich abgeschlossen und schließen den Wizard.
Ebenso haben wir hiermit die Installation ebenso abgeschlossen.
Überprüfen[Bearbeiten | Quelltext bearbeiten]
Wir können nun die zuständige Website überprüfen, am besten Mal auf dem Server. Da ist der Zugriff zB über "http://localhost/cersrv" erreichbar. Aber im Grunde kann man den Server, am Anfang über das http Protokoll erreichen, das es ein unsicheres Protokoll ist absolut nicht zu empfehlen.
Damit man den Zertifizierungsstelle-Webregistrierung erreicht ist der Pfad "certsrv" am Ende einzutragen, dies ist egal, ob Sie es über localhost, DNS oder IP-Adresse, den Server anwählen, ebenso von intern, wie extern.
http://localhost/cersrv
Sollte man extern die Zertifizierungsstelle-Webregistrierung anwählen und nicht als Administrator angemeldet sein, wird man immer nach einem Benutzernamen und Kennwort gefragt.
Nach dem Einloggen kann man wieder ganz normal seine Arbeit verrichten.
Browser Verschlüsselung[Bearbeiten | Quelltext bearbeiten]
Ich möchte euch noch zeigen wie ihr von "http" auf "https", die Zertifizierungsstelle-Webregistrierung umstellt. Das ist nicht mal so unwichtig. Da immer mehr Browser Hersteller, das "http" Protokoll sperren werden, in naher Zukunft. Aus der Sicht der Sicherheit, ist es ebenfalls wichtig, beim "http" Protokoll kann jeder, wenn er will, mit lesen kann.
Wir öffnen den Server-Manger, rechts, gibt es den Punkt "Tools" und darin gibt es den Menüpunkt "Internet Information Services (IIS) Manager". Wir können den "Internet Information Services (IIS) Manager" auch im Startmenü in Windows-Verwaltungsprogramme finden.
Bei der "Default Web Site" machen wir einen rechts Klick und wir benötigen den Menüpunkt "Bindungen bearbeiten".
Nun sehen wir, über welches Protokoll, die Seite wir erreichen können. Da wir das Protokoll "https" möchten, müssen wir es hinzufügen.
Beim Auswahlmenü wählen wir "https" aus, wir müssen noch das Zertifikat wählen.
Da ich es in der Testumgebung auf einem Domain Controller installiert habe. Werde ich natürlich dieses Zertifikat benutzen. Bei diesem Zertifikat sieht man sofort, wie der DNS Name lautet und ist auch darüber erreichbar, ohne Zertifikatswarnung.
Wenn Sie z. B. localhost benutzen, wird ein Zertifikatsfehler auftreten und Sie können unter Umständen die Seite nicht erreichen.
Nach dem Anpassen, braucht man keinen Neustart des Webserver, dies wird vom Server sofort umgesetzt.
Wie wir sehen funktioniert die Seite nun und es gibt kein Zertifikatsfehler, mit diesem DNS-Eintrag wird man immer nach dem Passwort gefragt, dass finde ich gut, sonst könnte jeder eine Anfrage erstellen und vielleicht mit nicht so positiven Absichten, Ihnen Schaden zufügen.
https://FQDN-des-Servers/certsrv
Nach dem Testen sollten wir nun die Erreichbarkeit anpassen und das Protokoll "http" entfernen.
Es empfiehlt sich, denn Service "" Neu zu starten, am besten mit PowerShell. Da es sich sonst, wenn Sie den Server nicht Neustart, zu Problemen kommen kann.
iisreset /noforce
Passwort Anfrage unterbinden[Bearbeiten | Quelltext bearbeiten]
Sie können die Passwortabfrage unterbinden, empfiehlt sich aber nicht, aus Sicherheitsgründen.
Wir öffnen die "Internet Optionen", gehen auf den Reiter "Sicherheit" und wählen den Button "Seiten".
Wir gehen auf "Erweitert".
Sie fügen den FQDN im Textfeld ein und fügen die Seite hinzu. Somit wird nicht mehr nach dem Passwort gefragt.

























