SID-500

Home » Security » Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Nach der Installation und Konfiguration der CA in Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA geht es jetzt mit der Installation der Web-Registrierung weiter. Diese ist optional, denn meistens werden Zertifikate benutzerfreundlich über GPO verteilt. Ist aber auch die Zertifizierungsstellen-Webregistrierung installiert, dann können Zertifikate auch über eine Web Site heruntergeladen werden. Damit wird man flexibler. Dieser Artikel ist Teil 2 der Serie Active Directory Zertifikatsdienste.


Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA


Installation der Zertifizierungsstellen-Webregistrierung

Die Installation erfolgt über den Server-Manager – Rollen und Features hinzufügen.

1

Danach klickt man auf Weiter.

2

Der Installationstyp ist Rollenbasiert.

3a

Bei Zielserver wähle ich die Standardeinstellung (mein lokaler Computer).

4

Bei Serverrollen muss Zertifizierungsstellen-Webregistrierung gewählt werden.

1a.PNG

Es sollen alle Verwaltungstools mitinstalliert werden.

1b.PNG

Features werden keine benötigt.

7x

Um Zertifikate per Browser zu installieren ist die Rolle Webserver (IIS) notwendig.

3.PNG

Hier wähle ich die vorgeschlagenen Rollendienste und mache keine Änderungen.

4.PNG

Nach kurzer Zeit ist die Installation fertig.

5.PNG

6.PNG

Aktivieren der Zertifizierungsstellen-Webregistrierung

Im Server-Manager wird man daran erinnert dass noch etwas zu tun ist. Einfach den Link anklicken.

7a.PNG

Die Anmeldeinformationen können bestätigt werden. (Benutzer muss Mitglied der Gruppe Organisations-Admins sein).

8a.PNG

Danach wählt man Zertifizierungsstellen-Webregistrierung.

9a.PNG

Und schließt die Konfiguration ab.

10a.PNG

Testen der Website für die Zertifizierungsstellen-Webregistrierung

Im Internet Explorer öffnet man

http://localhost/certsrv

Die Website öffnet sich. Ich empfehle unbedingt IE zu verwenden. Mit anderen Browsern passieren abenteuerliche Dinge. Um das kann man sich später kümmern.

11a.PNG

Das Protokoll lautet HTTP. Also unverschlüsselt. Eine ungute Situation.

HTTPS aktivieren

Im Server-Manager unter Tools öffnet man den Internetinformationsdienste (IIS)-Manager. Dort erweitert man Sites und klickt mit der rechten Maustaste auf Default Web Site und wählt Bindungen bearbeiten.

12a.PNG

Anschließend klickt man auf Hinzufügen.

13a.PNG

Jetzt müssen folgende Einstellungen getroffen werden: Typ: https und Port: 443. Als Zertifikat muss das Zertifikat des Computers gewählt werden. Dieses erkennt man am FQDN des Namens (ComputerName.DomänenName.xxx).

14a.PNG

Nach einem Kontrollblick kann das Fenster geschlossen werden.

15a.PNG

Danach führt man iisreset aus um den Webserver neu zu starten.

iisreset /noforce

Im Internet Explorer sollte nun in den Internetoptionen – Sicherheit – Lokales Intranet – Sites – Erweitert die Seite https://ServerName.DomainName.xxx hinzugefügt werden. Tut man das nicht kommt es später beim Aufrufen der Seite zu einer Passwortabfrage.

1

Nun kann man in Internet Explorer mit

https://ComputerName.DomänenName.xxx/certsrv

den Zugriff über HTTPS prüfen.

20a.PNG

Wählt man “Ein Zertifikat anfordern” dann steht zunächst nur ein Benutzer-Zertifikat zur Auswahl.

z.PNG

Wird dagegen die erweiterte Zertifikatsanforderung und danach “Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen” gewählt, so erweitert sich die Auswahl der Zertifikatsvorlagen.

a.PNG

b.PNG

Weiter gehts mit Teil 3: Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen


8 Comments

  1. […] Weiter gehts in Teil 2: Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrieru… […]

    Like

  2. […] Root CA installiert. Teil 2 hat sich mit der Installation der Web Oberfläche der CA beschäftigt: Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrieru…. In diesem Artikel wird darauf aufgebaut und er werden eigens erstellte Zertifikatsvorlagen […]

    Like

  3. […] Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrieru… […]

    Like

  4. […] Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrieru… […]

    Like

  5. […] Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrieru… […]

    Like

  6. […] Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrieru… […]

    Like

  7. […] Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrieru… […]

    Like

  8. […] automatisch mitinstalliert. So wird bei beim Setup von PowerShell Web Access, oder bei der Konfiguration einer Zertifizierungsstellen Webregistrierung (CA) auch IIS installiert. In diesem Artikel beschränke ich mich auf die alleinige Bereitstellung eines […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

Who is the blogger?

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com