Mithilfe der Registerkarte Erweiterte Überprüfung fügen Administratoren Stammzertifikaten, die von der Gruppenrichtlinie verteilt werden, eine Zertifikatrichtlinie für die erweiterte Überprüfung (Extended Validation, EV) hinzu. Durch das Hinzufügen der EV-Zertifikatrichtlinie zu Stammzertifikaten und Zertifikaten, die für Intranetwebsites ausgestellt wurden, ist erkennbar, dass eine Website vertrauenswürdig ist.
Die folgenden Verfahren müssen ausgeführt werden, um EV-Zertifikate für Intranetwebsites verwenden zu können.
- Hinzufügen einer EV-Zertifikatrichtlinie zu einer Zertifikatvorlage
- Hinzufügen einer EV-Zertifikatrichtlinie zu einem Stammzertifikat
- Ausstellen von EV-Zertifikaten für Intranetwebsites
Hinzufügen einer EV-Zertifikatrichtlinie zu einer Zertifikatvorlage
Neben dem Stammzertifikat muss die EV-Zertifikatrichtlinie auch in für Intranetwebsites ausgestellten Zertifikaten und allen Zertifikaten der ausstellenden Zertifizierungsstelle (Certification Authority, CA) im Zertifizierungspfad vorhanden sein.
In diesem Verfahren können Sie eine Zertifikatvorlage ändern, mit der Webserverzertifikate in Ihrer Organisation oder beliebige Zertifikatvorlagen ausgestellt werden, die die folgenden Anforderungen erfüllen:
- Die Zertifikatvorlage weist Version 2 oder Version 3 auf.
- Der Zertifikatzweck enthält die Signatur und die Verschlüsselung.
- Die Anwendungsrichtlinienerweiterung enthält die Serverauthentifizierung.
Die ausstellende Zertifizierungsstelle muss folgende Anforderungen erfüllen:
- Der Zertifizierungspfad des Zertifikats der ausstellenden Zertifizierungsstelle enthält ein Stammzertifikat mit einer EV-Zertifikatrichtlinie.
- Das Zertifikat der ausstellenden Zertifizierungsstelle enthält die Richtlinie Alle ausgegebenen Richtlinien oder eine EV-Zertifikatrichtlinie.
- Bei der ausstellenden Zertifizierungsstelle handelt es sich um eine Unternehmenszertifizierungsstelle.
Sie müssen mindestens Mitglied der Gruppe Organisations-Admins sein, um dieses Verfahren ausführen zu können.
So fügen Sie einer Zertifikatvorlage eine EV-Zertifikatrichtlinie hinzu |
Öffnen Sie an der ausstellenden Zertifizierungsstelle den Server-Manager. Erweitern Sie in der Konsolenstruktur den Eintrag Rollen, erweitern Sie Active Directory-Zertifikatdienste, und klicken Sie dann auf Zertifikatvorlagen.
Doppelklicken Sie auf eine Vorlage, mit der Zertifikate für Intranetwebsites ausgestellt werden.
Klicken Sie auf die Registerkarte Erweiterungen.
Klicken Sie auf Anwendungsrichtlinien, und klicken Sie dann auf Bearbeiten, um das Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten zu öffnen.
Klicken Sie auf Hinzufügen, um das Dialogfeld Anwendungsrichtlinie hinzufügen zu öffnen.
Klicken Sie auf Neu, um das Dialogfeld Neue Anwendungsrichtlinie zu öffnen.
Geben Sie einen Namen für die EV-Zertifikatrichtlinie ein. Der Name wird in den Erweiterung von ausgestellten Zertifikaten und in den Vorlageneigenschaften im Zertifikatvorlagen-Snap-In angezeigt.
Eine eindeutige Objekt-ID (auch als OID bezeichnet) wird automatisch generiert. Kopieren Sie den Objekt-ID-Wert zur Verwendung anhand des folgenden Verfahrens. Klicken Sie auf OK.
Wählen Sie in der Liste Anwendungsrichtlinien die erstellte Richtlinie aus. Klicken Sie auf OK.
Klicken Sie auf OK, um die Anwendungsrichtlinienerweiterung zu speichern. Überprüfen Sie auf der Registerkarte Erweiterungen, ob die EV-Zertifikatrichtlinie im Feld Beschreibung von Anwendungsrichtlinien angezeigt wird.
Klicken Sie auf die Registerkarte Sicherheit. Überprüfen Sie, ob die Gruppen oder Benutzer, die Zertifikate für Intranetwebsites anfordern, über die Berechtigungen Lesen und Registrieren verfügen.
Klicken Sie auf OK, um die Zertifikatvorlage zu speichern.
Doppelklicken Sie in der Konsolenstruktur auf die Zertifizierungsstelle.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu, und klicken Sie dann auf Auszustellende Zertifikatvorlage, um das Dialogfeld Zertifikatvorlagen aktivieren zu öffnen.
Wählen Sie die Zertifikatvorlage mit der EV-Zertifikatrichtlinie aus, und klicken Sie auf OK.
Hinzufügen einer EV-Zertifikatrichtlinie zu einem Stammzertifikat
Sie müssen mindestens Mitglied der Gruppe Organisations-Admins sein, um dieses Verfahren ausführen zu können.
So fügen Sie einem Stammzertifikat eine EV-Zertifikatrichtlinie hinzu |
Klicken Sie auf Start, und klicken Sie anschließend auf Ausführen. Geben Sie gpmc.msc ein, und klicken Sie auf OK, um die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) zu öffnen.
Erweitern Sie in der Konsolenstruktur die Gesamtstruktur und die Domäne, die die zu bearbeitende Richtlinie enthalten, und klicken Sie auf Gruppenrichtlinienobjekte.
Klicken Sie mit der rechten Maustaste auf die zu bearbeitende Richtlinie, und klicken Sie dann auf Bearbeiten.
Öffnen Sie in der Konsolenstruktur nacheinander Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Richtlinien öffentlicher Schlüssel und schließlich Vertrauenswürdige Stammzertifizierungsstellen.
Falls keine Stammzertifikate angezeigt werden, exportieren Sie das Zertifizierungsstellenzertifikat aus der Stammzertifizierungsstelle, und importieren Sie das Zertifikat in Vertrauenswürdige Stammzertifizierungsstellen. Weitere Informationen finden Sie unter Exportieren eines Zertifikats.
Klicken Sie mit der rechten Maustaste auf das Stammzertifikat, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweiterte Überprüfung.
Geben Sie einen Objekt-ID-Wert ein, der die EV-Zertifikatrichtlinie in Ihrer Organisation repräsentiert. Verwenden Sie denselben Objekt-ID-Wert, falls Sie die EV-Zertifikatrichtlinie mithilfe des vorherigen Verfahrens erstellt haben.
Klicken Sie auf OID hinzufügen, und klicken Sie dann auf OK, um die Änderungen zu speichern.
Hinweis | |
Änderungen an der Gruppenrichtlinie werden von Domänenmitgliedern basierend auf dem Aktualisierungsintervall der Gruppenrichtlinie regelmäßig beim Starten der Computer und beim Anmelden der Benutzer angewendet. Das Standardaktualisierungsintervall beträgt 90 Minuten. Führen Sie den Befehl Gpupdate aus, um die Gruppenrichtlinie für ein Domänenmitglied sofort zu aktualisieren. |
Ausstellen von EV-Zertifikaten
Führen Sie die Verfahren in diesen verwandten Themen aus, um ein EV-Zertifikat auf Ihrem Intranetwebserver anzufordern und zu installieren:
- Öffnen Sie auf einem Intranetwebserver das Zertifikat-Snap-In für den lokalen Computer. Siehe Hinzufügen des Zertifikat-Snap-Ins zu einer MMC-Konsole.
- Fordern Sie ein EV-Zertifikat an. Siehe Anfordern von Zertifikaten mithilfe des Zertifikatanforderungs-Assistenten.
- Konfigurieren Sie eine Websitebindung. Siehe das Thema zum Dialogfeld Websitebindung hinzufügen bzw. Websitebindung bearbeiten unter
https://go.microsoft.com/fwlink/?LinkId=143106 (möglicherweise in englischer Sprache) .
Weitere Verweise
- SSL-Zertifikate für die erweiterte Überprüfung (
https://go.microsoft.com/fwlink/?LinkId=142392, möglicherweise in englischer Sprache ) - Anzeigen von Zertifikateigenschaften