Verwenden Sie die folgenden Verfahren für die NAP-Zertifizierungsstellen (Network Access Protection, Netzwerkzugriffsschutz), um sicherzustellen, dass diese Server ordnungsgemäß für die Verwendung mit der Integritätsregistrierungsstelle (Health Registration Authority, HRA) und der NAP-IPsec-Erzwingungsmethode (Internet Protocol Security) konfiguriert sind. NAP-Zertifizierungsstellen sind Server, auf denen die Active Directory®-Zertifikatdienste (Active Directory® Certificate Services, AD CS) installiert sind und ausgeführt werden und mit deren Hilfe NAP-Integritätszertifikate ausgestellt werden können. Weitere Informationen (möglicherweise in englischer Sprache) zu AD CS finden Sie unter https://go.microsoft.com/fwlink/?LinkId=127816.

Sie müssen mindestens Mitglied der Gruppe Domain Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter https://go.microsoft.com/fwlink/?LinkId=83477 (möglicherweise in englischer Sprache).

Auswählen einer NAP-Zertifizierungsstelle

Die Integritätsregistrierungsstelle muss mindestens einer Zertifizierungsstelle zugeordnet sein, damit NAP-Integritätszertifikate erhalten und NAP-Integritätszertifikate für kompatible NAP-Clientcomputer ausgestellt werden können. Sie können während der Installation der Integritätsregistrierungsstelle eine Zertifizierungsstelle auswählen, indem Sie die Zertifizierungsstelle lokal installieren oder eine vorhandene Remotezertifizierungsstelle auswählen. Sie können NAP-Zertifizierungsstellen auch zu einem späteren Zeitpunkt mithilfe des HRA-Snap-Ins oder einer Befehlszeile hinzufügen. Sie müssen das HRA-Snap-In oder eine Befehlszeile verwenden, um der Integritätsregistrierungsstelle mehr als eine Zertifizierungsstelle zuzuordnen. Sie können die Integritätsregistrierungsstelle für die Verwendung einer Unternehmenszertifizierungsstelle oder einer eigenständigen Zertifizierungsstelle konfigurieren. Die Konfigurationsanforderungen für eine NAP-Zertifizierungsstelle sind je nach Typ der ausgewählten Zertifizierungsstelle unterschiedlich. Sie müssen die Sicherheitseinstellungen der Zertifizierungsstelle und die Zertifikatausstellungsanforderungen unabhängig davon konfigurieren, ob Sie eine eigenständige Zertifizierungsstelle oder eine Unternehmenszertifizierungsstelle auswählen. In der empfohlenen Konfiguration wird die Integritätsregistrierungsstelle einer dedizierten eigenständigen untergeordneten Zertifizierungsstelle zugeordnet. Weitere Informationen zum Konfigurieren der Integritätsregistrierungsstelle für die Verwendung einer NAP-Zertifizierungsstelle finden Sie unter Konfigurieren der NAP-Zertifizierungsstelle.

Auswählen einer eigenständigen Zertifizierungsstelle

In einer eigenständigen Zertifizierungsstelle werden keine Zertifikatvorlagen verwendet. Daher müssen Sie bei Verwendung einer eigenständigen NAP-Zertifizierungsstelle keine Integritätszertifikatvorlage konfigurieren. Wenn Sie eine eigenständige Zertifizierungsstelle auswählen, müssen Sie dennoch die Sicherheitseinstellungen der Zertifizierungsstelle und die Zertifikatausstellungsanforderungen konfigurieren, sodass die Integritätsregistrierungsstelle Integritätszertifikate erhalten und automatisch für kompatible Clientcomputer ausstellen kann.

Auswählen einer Unternehmenszertifizierungsstelle

Eine Unternehmenszertifizierungsstelle stellt Zertifikate basierend auf Zertifikatvorlagen aus. Das Richtlinienmodul wird verwendet, um eine Liste der Zertifikaterweiterungen für ausgestellte Zertifikate bereitzustellen, beispielsweise Systemintegritätsauthentifizierung für den Netzwerkzugriffsschutz (Network Access Protection, NAP). Wenn die Unternehmenszertifizierungsstelle unter Windows Server® 2008 ausgeführt wird, ist die Systemintegritätsauthentifizierungs-Zertifikatvorlage standardmäßig mit den für die Domänen- und Integritätsauthentifizierung geeigneten Anwendungsrichtlinienerweiterungen verfügbar. Wenn die Unternehmenszertifizierungsstelle unter Windows Server® 2003 ausgeführt wird, müssen Sie eine Vorlage erstellen und veröffentlichen, die diese Anwendungsrichtlinienerweiterungen enthält. Sie können mithilfe der folgenden Verfahren überprüfen, ob die Unternehmenszertifizierungsstellen so konfiguriert sind, dass Integritätszertifikate automatisch mit den richtigen Anwendungsrichtlinienerweiterungen ausgestellt werden.

Überprüfen der Verfügbarkeit von Vorlagen

Wenn auf dem Unternehmenszertifizierungsstellen-Server Windows Server 2008 ausgeführt wird, ist automatisch eine Zertifikatvorlage für in der Domäne authentifizierte NAP-Clients mit dem Anzeigenamen Systemintegritätsauthentifizierung verfügbar. Wenn die Unternehmenszertifizierungsstelle unter Windows Server 2003 ausgeführt wird, muss diese Vorlage erstellt werden. Überprüfen Sie mithilfe des folgenden Verfahrens, ob eine NAP-Integritätszertifikatvorlage mit den richtigen Anwendungsrichtlinienerweiterungen verfügbar ist, oder erstellen Sie diese Vorlage, wenn sie nicht verfügbar ist. Dieses Verfahren gilt nicht bei Verwendung einer eigenständigen Zertifizierungsstelle.

So überprüfen Sie die Verfügbarkeit von Vorlagen
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie certtmpl.msc ein, und drücken Sie dann die EINGABETASTE.

  2. Überprüfen Sie im Detailbereich unter Vorlagenanzeigename die Liste der Vorlagen. Doppelklicken Sie auf den Namen der NAP-Integritätszertifikatvorlage. Führen Sie die folgenden Schritte aus, wenn eine NAP-Integritätszertifikatvorlage nicht aufgelistet wird:

    1. Klicken Sie mit der rechten Maustaste auf Arbeitsstationsauthentifizierung, und klicken Sie dann auf Doppelte Vorlage.

    2. Geben Sie unter Vorlagenanzeigename den Text Systemintegritätsauthentifizierung ein, und klicken Sie dann auf die Registerkarte Erweiterungen.

    3. Klicken Sie unter Erweiterungen in dieser Vorlage auf Anwendungsrichtlinien, und klicken Sie dann auf Bearbeiten.

    4. Klicken Sie auf Hinzufügen, und klicken Sie dann auf Neu.

    5. Geben Sie in Neue Anwendungsrichtlinie unter Name den Text Systemintegritätsauthentifizierung ein.

    6. Geben Sie unter Objektkennung die Zeichenfolge 1.3.6.1.4.1.311.47.1.1 ein, und klicken Sie dann viermal auf OK.

    7. Überprüfen Sie, ob die neue Vorlage erfolgreich erstellt wurde.

    8. Doppelklicken Sie zum Überprüfen der neuen Vorlage auf deren Namen, und führen Sie die restlichen Schritte dieses Verfahrens aus.

  3. Klicken Sie auf die Registerkarte Erweiterungen.

  4. Klicken Sie unter Erweiterungen in dieser Vorlage auf Anwendungsrichtlinien.

  5. Überprüfen Sie unter Beschreibung von Anwendungsrichtlinien, ob Systemintegritätsauthentifizierung und Clientauthentifizierung aufgelistet werden, und klicken Sie dann auf Bearbeiten.

  6. Klicken Sie auf Systemintegritätsauthentifizierung, und klicken Sie dann auf Bearbeiten.

  7. Überprüfen Sie in Anwendungsrichtlinie bearbeiten unter Objektkennung, ob der Wert 1.3.6.1.4.1.311.47.1.1 lautet. Wenn der Wert der Objektkennung für die Anwendungsrichtlinie nicht diesem Wert entspricht, erstellen Sie mithilfe der vorherigen Schritte dieses Verfahrens eine neue Systemintegritätsauthentifizierungs-Vorlage. Korrigieren Sie auch die Anwendungsrichtliniennamen, sodass die Objektkennung, die Systemintegritätsauthentifizierung zugeordnet ist, 1.3.6.1.4.1.311.47.1.1 lautet.

  8. Klicken Sie dreimal auf Abbrechen, und schließen Sie dann die Zertifikatvorlagenkonsole.

Hinweis

Beziehen Sie die Anwendungsrichtlinie Clientauthentifizierung nicht mit ein, wenn diese Zertifikatvorlage zum Ausstellen anonymer Integritätszertifikate verwendet wird. Zertifikate, die die Clientauthentifizierungs-Anwendungsrichtlinie enthalten, werden für Clients ausgestellt, die mit den Domänenanmeldeinformationen authentifiziert werden.

Überprüfen der Verfügbarkeit von Zertifikaten

In einer Unternehmenszertifizierungsstelle müssen Zertifikate verfügbar gemacht werden, bevor sie für Clientcomputer ausgestellt werden können. Stellen Sie mithilfe des folgenden Verfahrens sicher, dass das NAP-Integritätszertifikat verfügbar ist, um ausgestellt werden zu können. Dieses Verfahren gilt nicht bei Verwendung einer eigenständigen Zertifizierungsstelle.

So überprüfen Sie die Verfügbarkeit von Zertifikaten
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie certsvr.msc ein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie in der Konsolenstruktur auf Zertifikatvorlagen.

  3. Überprüfen Sie im Detailbereich unter Name, ob das NAP-Integritätszertifikat aufgelistet wird. Wenn der Unternehmenszertifizierungsstellen-Server unter Windows Server 2008 ausgeführt wird, hat die Standard-Integritätszertifikatvorlage für in der Domäne authentifizierte NAP-Clients den Anzeigenamen Systemintegritätsauthentifizierung.

  4. Wenn die Integritätszertifikatvorlage erstellt wurde, jedoch in der Liste nicht angezeigt wird, kann die Vorlage mithilfe der folgenden Schritte ausgestellt werden:

    1. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, zeigen Sie auf Neu, und klicken Sie dann auf Auszustellende Zertifikatvorlage.

    2. Klicken Sie in Zertifikatvorlagen aktivieren unter Name auf den Namen des NAP-Integritätszertifikats, und klicken Sie dann auf OK. Wenn die Vorlage nicht aufgeführt wird, wurde sie bereits aktiviert, oder Sie müssen sie vor dem Ausführen dieses Verfahrens erstellen.

    3. Überprüfen Sie, ob die NAP-Integritätszertifikatvorlage zu der Liste der Vorlagen hinzugefügt wird.

  5. Schließen Sie die Zertifizierungsstellenkonsole.

Überprüfen der Zertifikatregistrierungsberechtigungen für die Integritätsregistrierungsstelle

Der Integritätsregistrierungsstelle (Health Registration Authority, HRA) muss die Berechtigung zum Registrieren des Integritätszertifikats erteilt werden, damit die Integritätsregistrierungsstelle Zertifikate von einer Unternehmenszertifizierungsstelle erhalten und für diese Clients ausstellen kann. Durch das Aktivieren der Berechtigung für die automatische Registrierung kann dem lokalen Zertifikatspeicher dieses Zertifikat automatisch von der Integritätsregistrierungsstelle hinzugefügt werden. Wenn nur die Registrierungsberechtigung zugelassen ist, müssen Sie auf dem Integritätsregistrierungsstellen-Server manuell ein Integritätszertifikat bereitstellen. Überprüfen Sie mithilfe des folgenden Verfahrens, ob der Integritätsregistrierungsstelle diese Berechtigungen erteilt wurden. Dieses Verfahren gilt nicht bei Verwendung einer eigenständigen Zertifizierungsstelle.

So überprüfen Sie die Zertifikatregistrierungsberechtigungen für die Integritätsregistrierungsstelle
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie certtmpl.msc ein, und drücken Sie dann die EINGABETASTE.

  2. Doppelklicken Sie im Detailbereich unter Vorlagenanzeigename auf den Namen des NAP-Integritätszertifikats. Wenn auf dem Unternehmenszertifizierungsstellen-Server Windows Server 2008 ausgeführt wird, hat die Standard-Integritätszertifikatvorlage für in der Domäne authentifizierte NAP-Clients den Anzeigenamen Systemintegritätsauthentifizierung.

  3. Klicken Sie auf die Registerkarte Sicherheit.

  4. Überprüfen Sie, ob dem DNS-Namen des Integritätsregistrierungsstellen-Servers oder einer Gruppe, deren Mitglied der Integritätsregistrierungsstellen-Server ist, die Berechtigungen Registrieren und Automatisch registrieren erteilt wurden. Wenn diese Berechtigungen nicht zugelassen sind, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf Hinzufügen, klicken Sie auf Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie dann auf OK.

    2. Geben Sie unter Geben Sie die zu verwendenden Objektnamen ein den DNS-Namen des HRA-Servers ein, und klicken Sie dann auf OK. Sie können alternativ den Namen einer Gruppe angeben, deren Mitglied der Integritätsregistrierungsstellen-Server ist.

    3. Klicken Sie auf den hinzugefügten Namen bzw. die hinzugefügte Gruppe, wählen Sie Zulassen für Registrieren und Automatisch registrieren aus, und klicken Sie dann auf OK.

  5. Schließen Sie die Zertifikatvorlagenkonsole.

Überprüfen von Sicherheitseinstellungen der Zertifizierungsstelle

Mit den Sicherheitseinstellungen der Zertifizierungsstelle wird bestimmt, ob die Integritätsregistrierungsstelle über Berechtigungen zum Ausstellen von Integritätszertifikaten verfügt. Überprüfen Sie diese Berechtigungen in den NAP-Zertifizierungsstellen mithilfe des folgenden Verfahrens. Dieses Verfahren gilt sowohl für Unternehmenszertifizierungsstellen-Server als auch für eigenständige Zertifizierungsstellenserver.

So überprüfen Sie die Sicherheitseinstellungen der Zertifizierungsstelle
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie certsrv.msc ein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie mit der rechten Maustaste auf den allgemeinen Namen der Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte Sicherheit.

  4. Wenn die Integritätsregistrierungsstelle und NAP-Zertifizierungsstelle auf demselben Computer ausgeführt werden, stellen Sie sicher, dass unter Gruppen- oder Benutzernamen der Eintrag NETZWERKDIENST angezeigt wird.

  5. Wenn die Integritätsregistrierungsstelle und NAP-Zertifizierungsstelle auf unterschiedlichen Computern ausgeführt werden, stellen Sie sicher, dass der Computername des HRA-Servers unter Gruppen- oder Benutzernamen angezeigt wird.

  6. Klicken Sie auf den Namen des Integritätsregistrierungsstellen-Servers oder auf NETZWERKDIENST, und überprüfen Sie, ob die Berechtigungen für Zertifikate ausstellen und verwalten, Zertifizierungsstelle verwalten und Zertifikate anfordern zugelassen sind.

  7. Klicken Sie auf OK, und schließen Sie dann die Zertifizierungsstellenkonsole.

Überprüfen der Zertifikatausstellungsanforderungen

NAP-Zertifizierungsstellen müssen zum automatischen Ausstellen von Integritätszertifikaten konfiguriert werden, damit NAP-Clientcomputer Integritätszertifikate sofort erhalten können, wenn festgestellt wird, dass sie die Netzwerkintegritätsanforderungen erfüllen. Überprüfen Sie mithilfe des folgenden Verfahrens, ob Zertifikate automatisch ausgestellt werden. Dieses Verfahren gilt sowohl für Unternehmenszertifizierungsstellen-Server als auch für eigenständige Zertifizierungsstellenserver.

So überprüfen Sie die Zertifikatausstellungsanforderungen
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie certsrv.msc ein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie mit der rechten Maustaste auf den allgemeinen Namen der Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte Richtlinienmodul, und klicken Sie dann auf Eigenschaften.

  4. Überprüfen Sie, ob Den Einstellungen der Zertifikatvorlage folgen ausgewählt ist.

  5. Klicken Sie zweimal auf OK, und schließen Sie dann die Zertifizierungsstellenkonsole.

Weitere Verweise