Durch die Richtlinie einer Zertifizierungsstelle (Certification Authority, CA) werden die Zertifikattypen bestimmt, die ein Benutzer anfordern kann, sowie die verfügbaren Konfigurationsoptionen. Falls die Webseite Erweiterte Zertifikatanforderung aktiviert ist, können Sie folgende Optionen für jedes angeforderte Zertifikat festlegen:

  • Zertifikatvorlage (von Unternehmenszertifizierungsstellen) oder Typ des erforderlichen Zertifikats (von eigenständigen Zertifizierungsstellen). Gibt an, für welche Anwendungen der öffentliche Schlüssel im Zertifikat verwendet werden kann, z. B. für Clientauthentifizierung oder für E-Mail.

  • Kryptografiedienstanbieter, (Cryptographic Service Provider, CSP). Ein CSP ist für das Erstellen und Löschen von Schlüsseln sowie für das Verwenden von Schlüsseln zuständig, um verschiedene Kryptografievorgänge auszuführen. Jeder CSP stellt eine andere Implementierung der CryptoAPI bereit. Einige stellen stärkere Kryptografiealgorithmen bereit, während andere Hardwarekomponenten verwenden, wie z. B. Smartcards.

  • Schlüsselgröße. Die Länge des öffentlichen Schlüssels für das Zertifikat in Bits. In der Regel sind längere Schlüssel von einem böswilligen Benutzer schwerer herauszufinden als kürzere Schlüssel.

  • Hashalgorithmus. Bei einem starken Hashalgorithmus ist es berechnungstechnisch unwahrscheinlich, zwei voneinander unabhängige Eingaben mit demselben Hash zu erstellen. Zu den typischen Hashalgorithmen zählen MD2, MD4, MD5 und SHA-1.

  • Schlüsselverwendung. Verwendungsmöglichkeit des privaten Schlüssels. Austausch bedeutet, dass der private Schlüssel zum Aktivieren des Austausches vertraulicher Informationen verwendet werden kann. Signatur bedeutet, dass der private Schlüssel nur zum Erstellen einer digitalen Signatur verwendet werden kann. Beide bedeutet, dass der Schlüssel für beide Funktionen, also Austausch und Signatur, verwendet werden kann.

  • Neuen Schlüsselsatz erstellen oder Bestehenden Schlüsselsatz verwenden. Sie können ein vorhandenes Paar aus öffentlichem und privatem Schlüssel verwenden, das auf dem Computer gespeichert ist, oder ein neues Paar für ein Zertifikat erstellen.

  • Verstärkte Sicherheit für den privaten Schlüssel aktivieren. Wenn Sie verstärkte Sicherheit des privaten Schlüssels aktiviert haben, werden Sie bei jeder Verwendung des privaten Schlüssels zur Eingabe eines Kennworts aufgefordert.

  • Schlüssel als "Exportierbar" markieren. Wenn Sie Schlüssel als exportierbar markieren, können der öffentliche und der private Schlüssel in einer PKCS #12-Datei gespeichert werden. Dies ist hilfreich, wenn Sie bei einem Computerwechsel das Schlüsselpaar verschieben oder es entfernen und an einem anderen Ort zur Sicherung speichern möchten.

  • Zertifikat in lokalem Zertifikatspeicher aufbewahren. Wählen Sie diese Option aus, wenn der Computer bei der Anmeldung anderer Benutzer Zugriff auf den mit dem Zertifikat verknüpften privaten Schlüssel benötigt. Sie können diese Option auch auswählen, wenn Zertifikate für Computer (z. B. Webserver) statt für Benutzer ausgestellt werden sollen.

  • Anforderungsformat. In diesem Abschnitt kann das PKCS #10- oder CMC-Format ausgewählt werden. Wenn Sie die Anforderung zu einem späteren Zeitpunkt absenden möchten, können Sie auch die Option Anforderungsdatei speichern auswählen.

Sie müssen mindestens Mitglied der Gruppe Benutzer oder ‎Lokale Administratoren sein, um dieses Verfahren ausführen zu können. Überprüfen Sie die Details unter "Weitere Überlegungen" in diesem Thema.

So senden Sie eine erweiterte Zertifikatanforderung über das Web

  1. Öffnen Sie einen Webbrowser.

  2. Öffnen Sie https://servername/certsrv, wobei servername der Name des Webservers ist, von dem die Webregistrierungsseiten der Zertifizierungsstelle gehostet werden.

  3. Klicken Sie auf Zertifikat anfordern.

  4. Klicken Sie auf Erweiterte Zertifikatanforderung.

  5. Klicken Sie auf Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen.

  6. Geben Sie alle angeforderten Identifizierungsinformationen sowie alle anderen erforderlichen Optionen ein.

  7. Klicken Sie auf Senden.

  8. Führen Sie eine der folgenden Aktionen aus:

    • Für den Fall, dass die Webseite Zertifikat steht noch aus angezeigt wird, finden Sie weitere Informationen zur Überprüfung eines ausstehenden Zertifikats unter Überprüfen einer ausstehenden Zertifikatanforderung.

    • Wenn die Webseite Zertifikat wurde ausgestellt angezeigt wird, klicken Sie auf Dieses Zertifikat installieren.

Weitere Überlegungen

  • Benutzerzertifikate können vom Benutzer oder von einem Administrator verwaltet werden. Zertifikate, die für einen Computer oder Dienst ausgegeben wurden, können nur von einem Administrator oder von einem Benutzer verwaltet werden, dem die erforderlichen Berechtigungen erteilt wurden.

  • Ein Benutzer kann nur dann ein Zertifikat mithilfe der Webregistrierung anfordern, wenn ein Administrator die entsprechenden Berechtigungen in den Zertifikatvorlagen festgelegt hat, auf denen das angeforderte Zertifikat basiert.

Weitere Verweise

Inhaltsverzeichnis