Active Directory-Zertifikatdienste-Rollendienste (Active Directory Certificate Services, AD CS) können auf Servern unter verschiedenen Betriebssystemen eingerichtet werden, einschließlich Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 und Windows 2000 Server. Es unterstützen jedoch nicht alle Betriebssysteme alle Features oder Entwurfsanforderungen. Zudem erfordert ein optimaler Entwurf eine genaue Planung und Überprüfung, bevor Sie AD CS in einer Produktionsumgebung bereitstellen. Obwohl Sie AD CS mit einem einzelnen Server für eine einzelne Zertifizierungsstelle (Certification Authority, CA) bereitstellen können, können Bereitstellungen auch mehrere Server umfassen, die als Stamm-, Richtlinien- und Ausstellungszertifizierungsstellen oder Online-Responder konfiguriert sind.

In der Tabelle sind die AD CS-Komponenten aufgeführt, die unter verschiedenen Editionen von Windows Server 2008 R2 konfiguriert werden können.

Komponenten Web Edition Standard Edition Enterprise Edition Datacenter Edition

Zertifizierungsstelle

Nein

Ja

Ja

Ja

Registrierungsdienst für Netzwerkgeräte

Nein

Nein

Ja

Ja

Online-Responder-Dienst

Nein

Nein

Ja

Ja

Zertifizierungsstellen für Webregistrierung

Nein

Ja

Ja

Ja

Zertifikatregistrierungs-Webdienst

Nein

Ja

Ja

Ja

Zertifikatregistrierungsrichtlinien-Webdienst

Nein

Ja

Ja

Ja


Die folgenden Features sind auf Servern unter Windows Server 2008 R2 verfügbar, die als Zertifizierungsstellen konfiguriert wurden.

AD CS-Features Web Edition Standard Edition Enterprise Edition Datacenter Edition

Anpassbare Zertifikatvorlagen der Version 2 und der Version 3

Nein

Ja

Ja

Ja

Schlüsselarchivierung

Nein

Nein

Ja

Ja

Rollentrennung

Nein

Nein

Ja

Ja

Zertifikatverwaltungseinschränkungen

Nein

Nein

Ja

Ja

Einschränkungen für delegierte Registrierungs-Agents

Nein

Nein

Ja

Ja

Zertifikatregistrierung über Gesamtstrukturgrenzen hinweg

Nein

Nein

Ja

Ja

Anpassen von AD CS

AD CS enthält programmierbare Schnittstellen. Entwickler können somit Unterstützung für zusätzliche Transporte, Richtlinien, Zertifikateigenschaften und Formate erstellen. Weitere Informationen zum Anpassen von AD CS finden Sie im Thema zur Zertifikatsdienstearchitektur (https://go.microsoft.com/fwlink/?LinkId=91405, möglicherweise in englischer Sprache).

Verwalten von AD CS

Die folgenden MMC-Snap-Ins (Microsoft Management Console) können für die Verwaltung von AD CS verwendet werden.

  • Zertifizierungsstelle Das primäre Tool zum Verwalten einer Zertifizierungsstelle, Zertifikatsperrung und Zertifikatregistrierung

  • Zertifikatvorlagen Wird verwendet, um Zertifikatvorlagen für die Veröffentlichung in Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) und für die Verwendung mit Unternehmenszertifizierungsstellen zu duplizieren und zu konfigurieren.

  • Online-Responder Wird verwendet, um OCSP-Responder (Online Certificate Status Protocol) zu konfigurieren und zu verwalten.

  • Unternehmens-PKI Wird verwendet, um mehrere Zertifizierungsstellen, Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) und Speicherorte für den Zugriff auf Stelleninformationen zu überwachen und um AD CS-Objekte zu verwalten, die in AD DS veröffentlicht werden.

  • Zertifikate Wird verwendet, um Zertifikatspeicher für einen Computer, Benutzer oder Dienst anzuzeigen und zu verwalten.


Inhaltsverzeichnis