Active Directory-Zertifikatdienste-Rollendienste (Active Directory Certificate Services, AD CS) können auf Servern unter verschiedenen Betriebssystemen eingerichtet werden, einschließlich Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 und Windows 2000 Server. Es unterstützen jedoch nicht alle Betriebssysteme alle Features oder Entwurfsanforderungen. Zudem erfordert ein optimaler Entwurf eine genaue Planung und Überprüfung, bevor Sie AD CS in einer Produktionsumgebung bereitstellen. Obwohl Sie AD CS mit einem einzelnen Server für eine einzelne Zertifizierungsstelle (Certification Authority, CA) bereitstellen können, können Bereitstellungen auch mehrere Server umfassen, die als Stamm-, Richtlinien- und Ausstellungszertifizierungsstellen oder Online-Responder konfiguriert sind.
In der Tabelle sind die AD CS-Komponenten aufgeführt, die unter verschiedenen Editionen von Windows Server 2008 R2 konfiguriert werden können.
Komponenten | Web Edition | Standard Edition | Enterprise Edition | Datacenter Edition |
---|---|---|---|---|
Zertifizierungsstelle |
Nein |
Ja |
Ja |
Ja |
Registrierungsdienst für Netzwerkgeräte |
Nein |
Nein |
Ja |
Ja |
Online-Responder-Dienst |
Nein |
Nein |
Ja |
Ja |
Zertifizierungsstellen für Webregistrierung |
Nein |
Ja |
Ja |
Ja |
Zertifikatregistrierungs-Webdienst |
Nein |
Ja |
Ja |
Ja |
Zertifikatregistrierungsrichtlinien-Webdienst |
Nein |
Ja |
Ja |
Ja |
Die folgenden Features sind auf Servern unter Windows Server 2008 R2 verfügbar, die als Zertifizierungsstellen konfiguriert wurden.
AD CS-Features | Web Edition | Standard Edition | Enterprise Edition | Datacenter Edition |
---|---|---|---|---|
Anpassbare Zertifikatvorlagen der Version 2 und der Version 3 |
Nein |
Ja |
Ja |
Ja |
Schlüsselarchivierung |
Nein |
Nein |
Ja |
Ja |
Rollentrennung |
Nein |
Nein |
Ja |
Ja |
Zertifikatverwaltungseinschränkungen |
Nein |
Nein |
Ja |
Ja |
Einschränkungen für delegierte Registrierungs-Agents |
Nein |
Nein |
Ja |
Ja |
Zertifikatregistrierung über Gesamtstrukturgrenzen hinweg |
Nein |
Nein |
Ja |
Ja |
Anpassen von AD CS
AD CS enthält programmierbare Schnittstellen. Entwickler können somit Unterstützung für zusätzliche Transporte, Richtlinien, Zertifikateigenschaften und Formate erstellen. Weitere Informationen zum Anpassen von AD CS finden Sie im Thema zur Zertifikatsdienstearchitektur (
Verwalten von AD CS
Die folgenden MMC-Snap-Ins (Microsoft Management Console) können für die Verwaltung von AD CS verwendet werden.
-
Zertifizierungsstelle Das primäre Tool zum Verwalten einer Zertifizierungsstelle, Zertifikatsperrung und Zertifikatregistrierung
-
Zertifikatvorlagen Wird verwendet, um Zertifikatvorlagen für die Veröffentlichung in Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) und für die Verwendung mit Unternehmenszertifizierungsstellen zu duplizieren und zu konfigurieren.
-
Online-Responder Wird verwendet, um OCSP-Responder (Online Certificate Status Protocol) zu konfigurieren und zu verwalten.
-
Unternehmens-PKI Wird verwendet, um mehrere Zertifizierungsstellen, Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) und Speicherorte für den Zugriff auf Stelleninformationen zu überwachen und um AD CS-Objekte zu verwalten, die in AD DS veröffentlicht werden.
-
Zertifikate Wird verwendet, um Zertifikatspeicher für einen Computer, Benutzer oder Dienst anzuzeigen und zu verwalten.