Nach der Installation einer Stammzertifizierungsstelle (Certification Authority, CA) installieren viele Organisationen eine oder mehrere untergeordnete Zertifizierungsstellen, um Richtlinieneinschränkungen in der Public Key-Infrastruktur (Public Key Infrastructure, PKI) zu implementieren und Zertifikate für Endclients auszustellen. Durch die Verwendung von mindestens einer untergeordneten Zertifizierungsstelle kann die Stammzertifizierungsstelle vor unnötigen Risiken geschützt werden.
Wenn Sie eine untergeordnete Zertifizierungsstelle verwenden, um mit Konten in einer Active Directory-Domäne Zertifikate für Benutzer und Computer auszustellen und Sie diese Zertifizierungsstelle als Unternehmenszertifizierungsstelle installiert haben, können Sie die vorhandenen Kontodaten des Clients in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) verwenden, um Zertifikate auszustellen, zu verwalten und in AD DS zu veröffentlichen.
Sie müssen mindestens Mitglied der lokalen Gruppe Administratoren oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Wenn es sich um eine Unternehmenszertifizierungsstelle handelt, müssen Sie mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
So installieren Sie eine untergeordnete Zertifizierungsstelle |
Öffnen Sie den Server-Manager, klicken Sie auf Rollen hinzufügen, klicken Sie auf Weiter, und klicken Sie dann auf Active Directory-Zertifikatsdienste. Klicken Sie zweimal auf Weiter.
Klicken Sie auf der Seite Rollendienste auswählen auf Zertifizierungsstelle und dann auf Weiter.
Klicken Sie auf der Seite Setuptyp festlegen auf Eigenständig oder Unternehmen, und klicken Sie dann auf Weiter.
Weitere Informationen finden Sie unter Zertifizierungsstellentypen.
Hinweis Sie benötigen eine Netzwerkverbindung mit einem Domänencontroller, um eine Unternehmenszertifizierungsstelle installieren zu können.
Klicken Sie auf der Seite Zertifizierungsstellentyp festlegen auf Untergeordnete Zertifizierungsstelle und dann auf Weiter.
Klicken Sie auf der Seite Privaten Schlüssel einrichten auf Neuen privaten Schlüssel erstellen und dann auf Weiter.
Wählen Sie auf der Seite Kryptografie konfigurieren einen Kryptografiedienstanbieter, eine Schlüssellänge und einen Hashalgorithmus aus. Klicken Sie auf Weiter.
Weitere Informationen finden Sie unter Kryptografische Optionen für Zertifizierungsstellen.
Navigieren Sie auf der Seite Zertifikat anfordern zur Stammzertifizierungsstelle, oder speichern Sie die Zertifikatanforderung für eine spätere Verarbeitung in einer Datei, wenn für die Stammzertifizierungsstelle keine Verbindung mit dem Netzwerk besteht. Klicken Sie auf Weiter.
Hinweis Die untergeordnete Zertifizierungsstelle kann erst verwendet werden, wenn ihr ein Stamm-Zertifizierungsstellenzertifikat ausgestellt und sie mit diesem Zertifikat erfolgreich installiert wurde.
Erstellen Sie auf der Seite Name der Zertifizierungsstelle konfigurieren einen eindeutigen Namen, durch den die Zertifizierungsstelle identifiziert wird. Klicken Sie auf Weiter.
Weitere Informationen finden Sie unter Zertifizierungsstellenbenennung.
Geben Sie auf der Seite Festlegen der Gültigkeitsdauer den Zeitraum in Jahren oder Monaten an, für den die Zertifizierungsstelle gültig sein soll. Klicken Sie auf Weiter.
Übernehmen Sie auf der Seite Zertifikatdatenbank konfigurieren die Standardaufenthaltsorte, wenn Sie keinen benutzerdefinierten Speicherort für die Zertifikatdatenbank und das Zertifikatdatenbankprotokoll angeben möchten. Klicken Sie auf Weiter.
Weitere Informationen finden Sie unter Zertifikatdatenbank.
Überprüfen Sie auf der Seite Installationsoptionen bestätigen alle ausgewählten Konfigurationseinstellungen. Wenn Sie alle Optionen übernehmen möchten, klicken Sie auf Installieren, und warten Sie, bis der Installationsprozess abgeschlossen ist.