Mit dem Zertifikatregistrierungs-Webdienst können Registrierungsanforderungen für neue Zertifikate und für die Zertifikaterneuerung verarbeitet werden. In beiden Fällen sendet der Clientcomputer die Anforderung an den Webdienst, der die Anforderung dann im Auftrag des Clientcomputers an die Zertifizierungsstelle (Certification Authority, CA) sendet. Deshalb muss dem Webdienstkonto für Delegierungszwecke vertraut werden, um der Zertifizierungsstelle die Clientidentität anzuzeigen.
Das Akzeptieren von Anforderungen aus dem Internet durch den Zertifikatregistrierungs-Webdienst stellt ein erhöhtes Sicherheitsrisiko dar, und manche Organisationen vertrauen deshalb möglicherweise dem Webdienstkonto nicht zu Delegierungszwecken. Der Zertifikatregistrierungs-Webdienst kann für den Nur-Erneuerungsmodus konfiguriert werden, um das Risiko aufgrund des Akzeptierens von Anforderungen aus dem Internet zu reduzieren.
Im Nur-Erneuerungsmodus akzeptiert der Webdienst nur Zertifikaterneuerungsanforderungen, und Anforderungen für neue Zertifikate werden abgelehnt. Zur Unterstützung des Nur-Erneuerungsmodus muss die Zertifizierungsstelle so konfiguriert werden, dass der Clientcomputer mithilfe der Signatur in der Erneuerungsanforderung und im vorhandenen Zertifikat des Clientcomputers authentifiziert wird. In dieser Konfiguration muss dem Webdienstkonto nicht für Delegierungszwecke vertraut werden.
Für den Nur-Erneuerungsmodus gelten die folgenden Anforderungen:
- Unternehmenszertifizierungsstelle unter Windows Server 2008 R2.
- Clientcomputer unter Windows 7 oder Windows Server 2008 R2.
- Clientcomputer, die eine Zertifikaterneuerung anfordern, benötigen ein nicht abgelaufenes Zertifikat und können von der ausstellenden Zertifizierungsstelle überprüft werden.
Sie müssen mindestens Mitglied der Gruppe Organisations-Admins sein, um dieses Verfahren ausführen zu können.
So konfigurieren Sie den Nur-Erneuerungsmodus für den Zertifikatregistrierungs-Webdienst |
Öffnen Sie den Server-Manager.
Klicken Sie in der Konsolenstruktur auf Rollen.
Falls Active Directory-Zertifikatdienste auf der Seite Rollenübersicht angezeigt wird, klicken Sie auf Rollendienste hinzufügen, und fahren Sie mit dem nächsten Schritt fort. Führen Sie andernfalls die folgenden Schritte aus, bevor Sie den Vorgang fortsetzen:
- Klicken Sie auf der Seite Rollenübersicht auf Rollen hinzufügen.
- Klicken Sie auf der Seite Vorbemerkungen auf Weiter.
- Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Zertifikatdienste, und klicken Sie dann auf Weiter.
- Überprüfen Sie die Informationen auf der Seite Einführung in Active Directory-Zertifikatdienste, und klicken Sie dann auf Weiter.
- Klicken Sie auf der Seite Rollenübersicht auf Rollen hinzufügen.
Aktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Zertifikatregistrierungs-Webdienst.
Hinweis Der Zertifizierungsstellen-Rollendienst (Certification Authority, CA) wird automatisch ausgewählt, wenn die AD CS-Rolle hinzugefügt wird, kann jedoch nicht gleichzeitig mit dem Zertifikatregistrierungs-Webdienst installiert werden. Wenn Sie sowohl den Zertifizierungsstellen- als auch den Zertifikatregistrierungs-Webdienst installieren möchten, schließen Sie zuerst die Installation der Zertifizierungsstelle ab. Weitere Informationen finden Sie unter Einrichten von Active Directory-Zertifikatsdiensten.
Klicken Sie auf Erforderliche Rollendienste hinzufügen, wenn Sie zum Installieren erforderlicher Rollendienste aufgefordert werden, und klicken Sie anschließend auf Weiter.
Um eine Zertifizierungsstelle anzugeben, klicken Sie auf Zertifizierungsstellenname oder Computername, und klicken Sie dann auf Durchsuchen. Wählen Sie eine Zertifizierungsstelle aus, oder geben Sie einen Computernamen ein, und klicken Sie dann auf OK.
Aktivieren Sie das Kontrollkästchen Konfigurieren Sie den Zertifikatregistrierungs-Webdienst für den Nur-Erneuerungsmodus.
Klicken Sie auf der Seite Authentifizierungstyp auswählen auf Benutzername und Kennwort oder Clientzertifikatsauthentifizierung.
Klicken Sie auf der Seite Kontoanmeldeinformationen für Zertifikatregistrierungs-Webdienst angeben entweder auf Dienstkonto angeben oder Integrierte Anwendungspoolidentität verwenden. Um ein Dienstkonto anzugeben, klicken Sie auf Auswählen, geben Sie einen Benutzernamen und ein Kennwort für ein Domänenkonto ein, und klicken Sie auf OK. Klicken Sie auf Weiter.
Wählen Sie ein vorhandenes Serverzertifikat aus, klicken Sie auf Importieren, um eine Zertifikatdatei zu importieren, oder klicken Sie auf Zertifikat für SSL später auswählen und zuweisen, und klicken Sie dann auf Weiter. Weitere Informationen finden Sie unter Konfigurieren von Serverzertifikaten für Zertifikatregistrierungs-Webdienste.
Klicken Sie auf der Seite Einführung in Webserver (IIS) auf Weiter.
Überprüfen Sie auf der Seite Rollendienste auswählen die ausgewählten Rollendienste, und klicken Sie dann auf Weiter.
Überprüfen Sie die Informationen auf der Seite Installationsauswahl bestätigen, und klicken Sie dann auf Installieren.
Überprüfen Sie die Seite Installationsergebnisse auf Meldungen. Möglicherweise sind zusätzliche Aufgaben zum Konfigurieren des Zertifikatregistrierungs-Webdiensts erforderlich, bevor Benutzer Anforderungen einreichen können.
Verwenden Sie diese Befehle, um Active Directory-Zertifikatdienste zu konfigurieren und neu zu starten. In dieser Konfiguration können von der Zertifizierungsstelle auch Anforderungen für neue Zertifikate verarbeitet werden.
So konfigurieren Sie die Unterstützung des Nur-Erneuerungsmodus für die Zertifizierungsstelle |
Geben Sie an an der Zertifizierungsstelle an der Eingabeaufforderung certutil –setreg policy\editflags +enablerenewonbehalfof ein, und drücken Sie die EINGABETASTE.
Öffnen Sie das Zertifizierungsstellen-Snap-In.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Sicherheit.
Wenn das Webdienstkonto in Gruppen- oder Benutzernamen angezeigt wird, stellen Sie sicher, dass die Berechtigung Lesen ausgewählt ist. Wenn das Webdienstkonto nicht angezeigt wird, führen Sie die folgenden Schritte aus:
- Klicken Sie auf Hinzufügen.
- Geben Sie den Kontonamen ein, und klicken Sie auf Namen überprüfen. Falls der Name nicht gefunden wird, klicken Sie auf Objekttypen, und stellen Sie sicher, dass der richtige Kontotyp ausgewählt ist. Klicken Sie, nachdem der richtige Kontoname gefunden wurde, auf OK.
- Aktivieren Sie das Kontrollkästchen Lesen, und klicken Sie dann auf OK.
- Klicken Sie auf Hinzufügen.
Geben Sie sc stop certsvc ein, und drücken Sie die EINGABETASTE.
Geben Sie sc start certsvc ein, und drücken Sie die EINGABETASTE.
Weitere Verweise