Nach der Installation und Konfiguration der CA in Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA geht es jetzt mit der Installation der Web-Registrierung weiter. Diese ist optional, denn meistens werden Zertifikate benutzerfreundlich über GPO verteilt. Ist aber auch die Zertifizierungsstellen-Webregistrierung installiert, dann können Zertifikate auch über eine Web Site heruntergeladen werden. Damit wird man flexibler. Dieser Artikel ist Teil 2 der Serie Active Directory Zertifikatsdienste.
Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA
Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen
Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen
Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats
Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents
Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents
Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA
Installation der Zertifizierungsstellen-Webregistrierung
Die Installation erfolgt über den Server-Manager – Rollen und Features hinzufügen.
Danach klickt man auf Weiter.
Der Installationstyp ist Rollenbasiert.
Bei Zielserver wähle ich die Standardeinstellung (mein lokaler Computer).
Bei Serverrollen muss Zertifizierungsstellen-Webregistrierung gewählt werden.
Es sollen alle Verwaltungstools mit installiert werden.
Features werden keine benötigt.
Um Zertifikate per Browser zu installieren ist die Rolle Webserver (IIS) notwendig.
Hier wähle ich die vorgeschlagenen Rollendienste und mache keine Änderungen.
Nach kurzer Zeit ist die Installation fertig.
Aktivieren der Zertifizierungsstellen-Webregistrierung
Im Server-Manager wird man daran erinnert dass noch etwas zu tun ist. Einfach den Link anklicken.
Die Anmeldeinformationen können bestätigt werden. (Benutzer muss Mitglied der Gruppe Organisations-Admins sein).
Danach wählt man Zertifizierungsstellen-Webregistrierung.
Und schließt die Konfiguration ab.
Testen der Website für die Zertifizierungsstellen-Webregistrierung
Im Internet Explorer öffnet man
http://localhost/certsrv
Die Website öffnet sich. Ich empfehle unbedingt IE zu verwenden. Mit anderen Browsern passieren abenteuerliche Dinge. Um das kann man sich später kümmern.
Das Protokoll lautet HTTP. Also unverschlüsselt. Eine ungute Situation.
HTTPS aktivieren
Im Server-Manager unter Tools öffnet man den Internetinformationsdienste (IIS)-Manager. Dort erweitert man Sites und klickt mit der rechten Maustaste auf Default Web Site und wählt Bindungen bearbeiten.
Anschließend klickt man auf Hinzufügen.
Jetzt müssen folgende Einstellungen getroffen werden: Typ: https und Port: 443. Als Zertifikat muss das Zertifikat des Computers gewählt werden. Dieses erkennt man am FQDN des Namens (ComputerName.DomänenName.xxx).
Nach einem Kontrollblick kann das Fenster geschlossen werden.
Danach führt man iisreset aus um den Webserver neu zu starten.
iisreset /noforce
Im Internet Explorer sollte nun in den Internetoptionen – Sicherheit – Lokales Intranet – Sites – Erweitert die Seite https://ServerName.DomainName.xxx hinzugefügt werden. Tut man das nicht kommt es später beim Aufrufen der Seite zu einer Passwortabfrage.
Nun kann man in Internet Explorer mit
https://ComputerName.DomänenName.xxx/certsrv
den Zugriff über HTTPS prüfen.
Wählt man “Ein Zertifikat anfordern” dann steht zunächst nur ein Benutzer-Zertifikat zur Auswahl.
Wird dagegen die erweiterte Zertifikatsanforderung und danach “Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen” gewählt, so erweitert sich die Auswahl der Zertifikatsvorlagen.
Weiter gehts mit Teil 3: Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen
Categories: Cyber Security, Windows Server
Hallo Patrick, vielen Dank für die hervorragende Doku!
Ich habe eine Frage, bin selbst MCSE, allerdings 2003. Damals haben wir natürlich auch PKI gemacht und ich wollte in meiner Testumgebung wieder eine aufbauen. Ich habe zwei voneinander unabhängige Domänen, eine mit einem DC auf 2012R2, eine auf 2016. wenn ich die CA auf dem CD installiere, klappt alles, wie in Deiner Anleitung. Wenn ich aber einen separaten Server verwende, das wollte ich in der 2016er Umgebung tun, läuft alles ohne Fehler, ich sehe aber das Computerzertifikat (Computername.Domainname) nicht, nur das SSL Zertifikat Computername. Kannst Du mir hier evtl, einen Tip geben?
Vielne Dank und viele Grüße,
Nico.
LikeLike
Hallo! Vielen Dank! Wenn der Computer Mitglied der Domäne ist, sollte das Zertifikat mit dem FQDN aufscheinen. Lg P
LikeLike