Nach der Installation und Konfiguration der CA in Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA geht es jetzt mit der Installation der Web-Registrierung weiter. Diese ist optional, denn meistens werden Zertifikate benutzerfreundlich über GPO verteilt. Ist aber auch die Zertifizierungsstellen-Webregistrierung installiert, dann können Zertifikate auch über eine Web Site heruntergeladen werden. Damit wird man flexibler. Dieser Artikel ist Teil 2 der Serie Active Directory Zertifikatsdienste.

Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA

Installation der Zertifizierungsstellen-Webregistrierung

Die Installation erfolgt über den Server-Manager – Rollen und Features hinzufügen.

Danach klickt man auf Weiter.

Der Installationstyp ist Rollenbasiert.

Bei Zielserver wähle ich die Standardeinstellung (mein lokaler Computer).

Bei Serverrollen muss Zertifizierungsstellen-Webregistrierung gewählt werden.

Es sollen alle Verwaltungstools mit installiert werden.

Features werden keine benötigt.

Um Zertifikate per Browser zu installieren ist die Rolle Webserver (IIS) notwendig.

Hier wähle ich die vorgeschlagenen Rollendienste und mache keine Änderungen.

Nach kurzer Zeit ist die Installation fertig.

Aktivieren der Zertifizierungsstellen-Webregistrierung

Im Server-Manager wird man daran erinnert dass noch etwas zu tun ist. Einfach den Link anklicken.

Die Anmeldeinformationen können bestätigt werden. (Benutzer muss Mitglied der Gruppe Organisations-Admins sein).

Danach wählt man Zertifizierungsstellen-Webregistrierung.

Und schließt die Konfiguration ab.

Testen der Website für die Zertifizierungsstellen-Webregistrierung

Im Internet Explorer öffnet man

http://localhost/certsrv

Die Website öffnet sich. Ich empfehle unbedingt IE zu verwenden. Mit anderen Browsern passieren abenteuerliche Dinge. Um das kann man sich später kümmern.

Das Protokoll lautet HTTP. Also unverschlüsselt. Eine ungute Situation.

HTTPS aktivieren

Im Server-Manager unter Tools öffnet man den Internetinformationsdienste (IIS)-Manager. Dort erweitert man Sites und klickt mit der rechten Maustaste auf Default Web Site und wählt Bindungen bearbeiten.

Anschließend klickt man auf Hinzufügen.

Jetzt müssen folgende Einstellungen getroffen werden: Typ: https und Port: 443. Als Zertifikat muss das Zertifikat des Computers gewählt werden. Dieses erkennt man am FQDN des Namens (ComputerName.DomänenName.xxx).

Nach einem Kontrollblick kann das Fenster geschlossen werden.

Danach führt man iisreset aus um den Webserver neu zu starten.

iisreset /noforce

Im Internet Explorer sollte nun in den Internetoptionen – Sicherheit – Lokales Intranet – Sites – Erweitert die Seite https://ServerName.DomainName.xxx hinzugefügt werden. Tut man das nicht kommt es später beim Aufrufen der Seite zu einer Passwortabfrage.

Nun kann man in Internet Explorer mit

https://ComputerName.DomänenName.xxx/certsrv

den Zugriff über HTTPS prüfen.

Wählt man “Ein Zertifikat anfordern” dann steht zunächst nur ein Benutzer-Zertifikat zur Auswahl.

Wird dagegen die erweiterte Zertifikatsanforderung und danach “Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen” gewählt, so erweitert sich die Auswahl der Zertifikatsvorlagen.

Weiter gehts mit Teil 3: Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen