Mithilfe dieses Verfahrens können Sie die Active Directory®-Zertifikatsdienste (Active Directory Certificate Services, AD CS) so installieren, dass Sie ein Serverzertifikat für Server registrieren können, auf denen Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgeführt wird. Wenn Sie die zertifikatbasierte Authentifizierung bereitstellen, ist für Netzwerkrichtlinienserver ein Serverzertifikat erforderlich. Während des Authentifizierungsvorgangs senden Netzwerkrichtlinienserver ihr Serverzertifikat als Identitätsnachweis an Clientcomputer.
Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in den Gruppen Enterprise Admins und Domain Admins der Stammdomäne erforderlich.
So installieren Sie Active Directory-Zertifikatsdienste |
Melden Sie sich als Mitglied der Gruppe Organisations-Admins und der Gruppe Domänen-Admins der Stammdomäne an.
Klicken Sie im Startmenü auf Verwaltung, und klicken Sie dann auf Server-Manager. Die Server-Manager-Konsole wird geöffnet. Klicken Sie im linken Bereich auf Rollen, und klicken Sie dann im Detailbereich auf Rollen hinzufügen.
Der Assistent zum Hinzufügen von Rollen wird angezeigt. Klicken Sie auf Weiter.
Wählen Sie auf der Seite Serverrollen auswählen unter Rollen die Option Active Directory-Zertifikatsdienste aus, und klicken Sie dann zwei Mal auf Weiter.
Klicken Sie auf der Seite Rollendienste auswählen unter Rollendienste auf Zertifizierungsstelle, und klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite Einführung in Active Directory-Zertifikatdienste die angezeigten Informationen, und klicken Sie dann auf Weiter.
Stellen Sie auf der Seite Rollendienste auswählen sicher, dass Zertifizierungsstelle ausgewählt ist, wählen Sie erforderliche zusätzliche Rollendienste aus, und klicken Sie dann auf Weiter.
Stellen Sie auf der Seite Setuptyp angeben sicher, dass die Option Unternehmen ausgewählt ist, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Zertifizierungsstellentyp angeben auf Stammzertifizierungsstelle und dann auf Weiter.
Stellen Sie auf der Seite Privaten Schlüssel einrichten sicher, dass Neuen privaten Schlüssel erstellen ausgewählt ist, und klicken Sie dann auf Weiter.
Übernehmen Sie auf der Seite Kryptografie für ZS konfigurieren die Standardeinstellungen, oder ändern Sie sie gemäß den Anforderungen. Beachten Sie, dass der Standardwert für Schlüsselzeichenlänge auf 2048 festgelegt ist. Dies entspricht dem Doppelten der vorherigen standardmäßigen Schlüsselzeichenlänge 1024. Abhängig von der Netzwerkgröße und dem Datenverkehr müssen Sie den Wert für die Schlüsselzeichenlänge möglicherweise anpassen. Klicken Sie auf Weiter.
Übernehmen Sie auf der Seite Name der Zertifizierungsstelle konfigurieren den vorgeschlagenen allgemeinen Namen für die Zertifizierungsstelle, oder ändern Sie den Namen entsprechend den Anforderungen, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Festlegen der Gültigkeitsdauer unter Wählen Sie die Gültigkeitsdauer für das für diese Zertifizierungsstelle generierte Zertifikat aus die Zahl ein, und wählen Sie den Zeitwert (Jahre, Monate, Wochen oder Tage) für das Datum aus, an dem von der Zertifizierungsstelle ausgestellte Zertifikate ablaufen. Die Standardeinstellung von fünf Jahren wird empfohlen. Klicken Sie auf Weiter.
Geben Sie auf der Seite Zertifikatdatenbank konfigurieren unter Speicherort der Zertifikatdatenbank und Speicherort des Zertifikatdatenbankprotokolls den Ordner zum Speichern dieser Elemente an. Wenn Sie andere als die Standardspeicherorte angeben, sollten Sie sicherstellen, dass die Ordner mit Zugriffssteuerungslisten (Access Control Lists, ACLs) geschützt sind. Sie verhindern, dass nicht autorisierte Benutzer oder Computer auf die Datenbank und die Protokolldateien der Zertifizierungsstelle zugreifen. Klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen, oder installieren Sie die ausgewählten zusätzlichen Rollendienste.