Zertifizierungsstellen-Webregistrierung installieren

Aus FAQ LIFE-SESSIONS



In diesem Beitrag werde ich zeigen, wie man ein Zertifizierungsstellen-Webregistrierung installiert. Damit hat man die Möglichkeit über einen Browser, eine Zertifikatsanfrage zu stellen, ohne auf den Server zugreifen zu müssen. Damit wird man flexibler und dies ist rein optional. Es gibt nur eine Voraussetzung, es muss auf einem Server, nicht zwingender der Domain Controller, es ist sogar empfohlen dies nicht zu mach auf dem die Zertifizierungsstelle zu installieren. Eine Zertifizierungsstelle werde ich nicht mehr darauf eingehen, dies habe ich in einem anderen Beitrag gemacht, siehe Zertifikatsstelle - Root Zertifikat installieren – FAQ LIFE-SESSIONS (life-sessions.at).

Installation[Bearbeiten | Quelltext bearbeiten]


Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen.

WEB CA 1.png

Wir werden "Rollenbasierte oder featurebasierte Installation" wählen, dies ist zu meist die Standardwahl, ausgenommen wir möchten einen Terminalserver installieren.

WEB CA 2.png

An diesem Punkt, werden wir vom Server-Pool installieren. Man könnte über den Server-Manager andere Windows Server einbinden und danach Rollen und Features so auf einem anderen Server installieren bzw. konfigurieren, dies ist ehrlich gesagt nicht schlecht, so hat man den Überblick über seine Server Landschaft, auf nur einem Server, dies ist für mich ein Managementserver.

WEB CA 3.png

Wie wir sehen ist die Rolle "Active-Directory-Zertifikatsdienst" aktivieren, installiert und konfiguriert. Nun können wir weitere Rollen "Active-Directory-Zertifikatsdienst" installieren. Wir werden die Rolle "Zertifizierungsstelle-Webregistrierung" wählen, damit wir später im Browser eine Zertifikatsanfrage in Auftrag geben können.

WEB CA 4.png

Es erscheint nun ein Pop-up, da man gewisse Feature benötigt werden, Microsoft gibt uns gleich die richtigen Feature mit und werden diese hinzufügen.

WEB CA 5.png

Nun sind wir bereit die Rolle zum Hinzufügen und die Checkbox werden nun weitergehen.

WEB CA 6.png

Wir benötigen keine Features, die wurden passend durch das Hinzufügen der Rolle aktiviert.

WEB CA 7.png

Wir werden nun die Rolle installieren, es wird kein Neustart benötigt.

WEB CA 8.png

Konfigurieren[Bearbeiten | Quelltext bearbeiten]


Wir müssen die Zertifizierungsstellen-Webregistrierung noch konfigurieren, es funktioniert über den Server-Manager, es wird ein oranges Rufzeichen erscheinen im Manager oder direkt aus dem Installation-Wizard. Ich werde es euch zeigen über den Installation-Wizard.

WEB CA 9.png

Es muss sichergestellt werden, das genügend Rechte, vorhanden sind, man benötigt einen Benutzer mit mindestens dem Recht Organisations-Administrator. Es empfehlt sich den Benutzer Domain-Administrator oder einen eigene erstellten Domain-Admin zu benutzen. Zu beachten ist, dass ein lokaler Administrator keine solchen Schreibrechte besitzt.

WEB CA 10.png

Wir müssen nun die Rolle "Zertifizierungsstellen-Webregistrierung" auf dem Server aktivieren.

WEB CA 11.png

Bevor die Konfiguration beginnt, wird noch mal angezeigt, was angepasst wird.

WEB CA 12.png

Wir haben nun die Konfiguration erfolgreich abgeschlossen und schließen den Wizard.

WEB CA 13.png

Ebenso haben wir hiermit die Installation ebenso abgeschlossen.

WEB CA 14.png

Überprüfen[Bearbeiten | Quelltext bearbeiten]


Wir können nun die zuständige Website überprüfen, am besten Mal auf dem Server. Da ist der Zugriff zB über "http://localhost/cersrv" erreichbar. Aber im Grunde kann man den Server, am Anfang über das http Protokoll erreichen, das es ein unsicheres Protokoll ist absolut nicht zu empfehlen.

Damit man den Zertifizierungsstelle-Webregistrierung erreicht ist der Pfad "certsrv" am Ende einzutragen, dies ist egal, ob Sie es über localhost, DNS oder IP-Adresse, den Server anwählen, ebenso von intern, wie extern.

http://localhost/cersrv
WEB CA 15.png

Sollte man extern die Zertifizierungsstelle-Webregistrierung anwählen und nicht als Administrator angemeldet sein, wird man immer nach einem Benutzernamen und Kennwort gefragt.

WEB CA 16.png

Nach dem Einloggen kann man wieder ganz normal seine Arbeit verrichten.

WEB CA 17.png

Browser Verschlüsselung[Bearbeiten | Quelltext bearbeiten]


Ich möchte euch noch zeigen wie ihr von "http" auf "https", die Zertifizierungsstelle-Webregistrierung umstellt. Das ist nicht mal so unwichtig. Da immer mehr Browser Hersteller, das "http" Protokoll sperren werden, in naher Zukunft. Aus der Sicht der Sicherheit, ist es ebenfalls wichtig, beim "http" Protokoll kann jeder, wenn er will, mit lesen kann.

Wir öffnen den Server-Manger, rechts, gibt es den Punkt "Tools" und darin gibt es den Menüpunkt "Internet Information Services (IIS) Manager". Wir können den "Internet Information Services (IIS) Manager" auch im Startmenü in Windows-Verwaltungsprogramme finden.

WEB CA 23.png

Bei der "Default Web Site" machen wir einen rechts Klick und wir benötigen den Menüpunkt "Bindungen bearbeiten".

WEB CA 18.png

Nun sehen wir, über welches Protokoll, die Seite wir erreichen können. Da wir das Protokoll "https" möchten, müssen wir es hinzufügen.

WEB CA 19.png

Beim Auswahlmenü wählen wir "https" aus, wir müssen noch das Zertifikat wählen.

Da ich es in der Testumgebung auf einem Domain Controller installiert habe. Werde ich natürlich dieses Zertifikat benutzen. Bei diesem Zertifikat sieht man sofort, wie der DNS Name lautet und ist auch darüber erreichbar, ohne Zertifikatswarnung.

Wenn Sie z. B. localhost benutzen, wird ein Zertifikatsfehler auftreten und Sie können unter Umständen die Seite nicht erreichen.

Nach dem Anpassen, braucht man keinen Neustart des Webserver, dies wird vom Server sofort umgesetzt.

WEB CA 20.png

Wie wir sehen funktioniert die Seite nun und es gibt kein Zertifikatsfehler, mit diesem DNS-Eintrag wird man immer nach dem Passwort gefragt, dass finde ich gut, sonst könnte jeder eine Anfrage erstellen und vielleicht mit nicht so positiven Absichten, Ihnen Schaden zufügen.

https://FQDN-des-Servers/certsrv
WEB CA 21.png

Nach dem Testen sollten wir nun die Erreichbarkeit anpassen und das Protokoll "http" entfernen.

WEB CA 22.png

Es empfiehlt sich, denn Service "" Neu zu starten, am besten mit PowerShell. Da es sich sonst, wenn Sie den Server nicht Neustart, zu Problemen kommen kann.

iisreset /noforce

Passwort Anfrage unterbinden[Bearbeiten | Quelltext bearbeiten]


Sie können die Passwortabfrage unterbinden, empfiehlt sich aber nicht, aus Sicherheitsgründen.

Wir öffnen die "Internet Optionen", gehen auf den Reiter "Sicherheit" und wählen den Button "Seiten".

WEB CA 24.png

Wir gehen auf "Erweitert".

WEB CA 25.png

Sie fügen den FQDN im Textfeld ein und fügen die Seite hinzu. Somit wird nicht mehr nach dem Passwort gefragt.

WEB CA 26.png