Sie können dieses Verfahren verwenden, um die Zertifikatvorlage zu konfigurieren, die von Active Directory®-Zertifikatdiensten (Active Directory Certificate Services, AD CS) als Grundlage für Serverzertifikate verwendet wird, die für Netzwerkrichtlinienserver (Network Policy Server, NPS) registriert sind.

Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in den Gruppen Enterprise Admins und Domain Admins der Stammdomäne erforderlich.

So konfigurieren Sie die Zertifikatvorlage und die automatische Registrierung
  1. Klicken Sie auf dem Computer, auf dem die Active Directory-Zertifikatsdienste installiert sind, auf Start, klicken Sie anschließend auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.

  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. Das Dialogfeld Snap-Ins hinzufügen bzw. entfernen wird geöffnet.

  3. Doppelklicken Sie unter Verfügbare Snap-Ins auf Zertifizierungsstelle. Wählen Sie die Zertifizierungsstelle (Certification Authority, CA) aus, die Sie verwalten möchten, und klicken Sie dann auf Fertig stellen. Das Dialogfeld Zertifizierungsstelle wird geschlossen, und das Dialogfeld Snap-Ins hinzufügen bzw. entfernen wird wieder angezeigt.

  4. Doppelklicken Sie unter Verfügbare Snap-Ins auf Zertifikatvorlagen, und klicken Sie dann auf OK.

  5. Klicken Sie in der Konsolenstruktur auf Zertifikatvorlagen. Alle Zertifikatvorlagen werden im Detailbereich angezeigt.

  6. Klicken Sie im Detailbereich auf die Vorlage RAS- und IAS-Server.

  7. Klicken Sie im Menü Aktion auf Doppelte Vorlage. Wählen Sie im Dialogfeld Doppelte Vorlage die entsprechende Vorlagenversion für Ihre Bereitstellung aus, und klicken Sie dann auf OK. Das Dialogfeld mit den Eigenschaften der neuen Vorlage wird geöffnet.

  8. Geben Sie auf der Registerkarte Allgemein in das Feld Anzeigename einen neuen Namen für die Zertifikatvorlage ein, oder übernehmen Sie den Standardnamen.

  9. Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie unter Gruppen- oder Benutzernamen auf RAS- und IAS-Server.

  10. Aktivieren Sie im Feld Berechtigungen für RAS- und IAS-Server unter Zulassen die Kontrollkästchen Registrieren und Automatisch registrieren, und klicken Sie dann auf OK.

  11. Doppelklicken Sie auf Zertifizierungsstelle, doppelklicken Sie auf den Zertifizierungsstellennamen, und klicken Sie dann auf Zertifikatvorlagen. Zeigen Sie im Menü Aktion auf Neu, und klicken Sie dann auf Auszustellende Zertifikatvorlage. Das Dialogfeld Zertifikatvorlagen aktivieren wird geöffnet.

  12. Klicken Sie in Zertifikatvorlagen aktivieren auf den Namen der gerade konfigurierten Zertifikatvorlage, und klicken Sie dann auf OK. Wenn Sie beispielsweise den standardmäßigen Zertifikatvorlagennamen nicht geändert haben, klicken Sie auf Kopie von RAS- und IAS-Servern, und klicken Sie dann auf OK.

  13. Klicken Sie auf dem Computer, auf dem die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) installiert sind, im Startmenü auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.

  14. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. Das Dialogfeld Snap-Ins hinzufügen bzw. entfernen wird geöffnet.

  15. Doppelklicken Sie unter Verfügbare Snap-Ins auf Gruppenrichtlinienverwaltungs-Editor. Der Assistent Gruppenrichtlinienobjekt auswählen wird geöffnet. Klicken Sie auf Durchsuchen, und wählen Sie dann Standarddomänenrichtlinie aus. Klicken Sie auf OK, dann auf Fertig stellen und anschließend erneut auf OK.

  16. Doppelklicken Sie auf Standarddomänenrichtlinie. Öffnen Sie nacheinander Computerkonfiguration, Richtlinien, Windows-Einstellungen und Sicherheitseinstellungen, und wählen Sie dann Richtlinien öffentlicher Schlüssel aus.

  17. Doppelklicken Sie im Detailbereich auf Zertifikatdiensteclient - automatische Registrierung. Das Dialogfeld Eigenschaften von Zertifikatdiensteclient - automatische Registrierung wird geöffnet.

  18. Wählen Sie im Dialogfeld Eigenschaften von Zertifikatdiensteclient - automatische Registrierung unter Konfigurationsmodell die Option Aktiviert aus.

  19. Aktivieren Sie das Kontrollkästchen Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen.

  20. Aktivieren Sie das Kontrollkästchen Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren, und klicken Sie dann auf OK.

Weitere Überlegungen

Nachdem Sie dieses Verfahren abgeschlossen haben, führen Server mit NPS eine automatische Registrierung eines Serverzertifikats aus, wenn die Gruppenrichtlinien aktualisiert werden. Zum Aktualisieren der Gruppenrichtlinien starten Sie den Server neu, oder führen Sie an der Eingabeaufforderung gpupdate aus.

Siehe auch


Inhaltsverzeichnis