Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 12 Active Directory-Zertifikatdienste
Pfeil 12.1 Einige Anwendungsszenarien
Pfeil 12.1.1 Internet-Authentifizierung und Verschlüsselung
Pfeil 12.1.2 Sichere E-Mail
Pfeil 12.1.3 Codesignatur
Pfeil 12.1.4 IP-Verschlüsselung
Pfeil 12.1.5 Anmeldung mit Smartcard
Pfeil 12.1.6 Wireless Authentification (802.1X)
Pfeil 12.1.7 Fazit
Pfeil 12.2 Zertifikatsdienste installieren/Migration (einstufige Architektur)
Pfeil 12.3 Zertifikate aus Sicht des Clients
Pfeil 12.4 Zertifizierungspfad
Pfeil 12.5 Zertifikatvorlagen
Pfeil 12.6 Weboberfläche
Pfeil 12.7 Mehrstufige Architekturen
Pfeil 12.7.1 Rollen
Pfeil 12.7.2 Architekturen
Pfeil 12.8 Autoenrollment und automatische Zertifikatanforderung
Pfeil 12.8.1 Automatische Zertifikatanforderung
Pfeil 12.8.2 Autoenrollment
Pfeil 12.9 Zertifikate für Websites
Pfeil 12.10 Zertifikatssperrlisten
Pfeil 12.10.1 Funktionsweise – ganz grob
Pfeil 12.10.2 Sperrlisteneinträge
Pfeil 12.10.3 Gültigkeit einer Sperrliste
Pfeil 12.10.4 Zertifikatgültigkeit überprüfen
Pfeil 12.10.5 Der Cache
Pfeil 12.10.6 ISA Server zum Veröffentlichen der Speicherortes verwenden
Pfeil 12.11 Das Online Certificate Status Protocol (OCSP)
Pfeil 12.11.1 Konfiguration des Online-Responders
Pfeil 12.11.2 Anpassung der Zertifizierungsstelle
Pfeil 12.11.3 Testen
Pfeil 12.11.4 ISA Server-Veröffentlichung
Pfeil 12.12 Zweistufige Architektur implementieren
Pfeil 12.12.1 Offline-CA installieren und konfigurieren
Pfeil 12.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver und dem Active Directory hinzufügen
Pfeil 12.12.3 Unternehmens-CA installieren
Pfeil 12.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen
Pfeil 12.13 Zertifikate und Windows Mobile
Pfeil 12.13.1 Pocket PC und Pocket PC Phone Edition
Pfeil 12.13.2 Smartphone
Pfeil 12.14 Zertifikate und das iPhone


Galileo Computing - Zum Seitenanfang

12.5 Zertifikatvorlagen topZur vorigen Überschrift

Sie haben bereits erfahren, dass es viele unterschiedliche Zertifikatstypen gibt, beispielsweise solche für Computer, für Benutzer und vieles andere mehr. Das »wirkliche« Unterscheidungsmerkmal der Zertifikate sind die Verwendungszwecke des Zertifikats, beispielsweise:

  • Clientauthentifizierung
  • Serverauthentifizierung
  • E-Mail-Verschlüsselung und -Signierung
  • Verschlüsselndes Dateisystem
  • Codesignatur

Wie Sie in Abbildung 12.29 erkennen können, sind in der Zertifikatsverwaltung verschiedene Zertifikatvorlagen vorhanden. Die genauen Verwendungszwecke sind aus dem Eigenschaftendialog der jeweiligen Zertifikatvorlage ersichtlich.

Festzustellen ist, dass jedes Zertifikat, das von einer Zertifizierungsstelle ausgestellt wird, auf einer Zertifikatvorlage basieren muss. Um also Zertifikate zu erzeugen, die für eine bestimmte Kombination von Verwendungszwecken vorgesehen sind, müssen Sie eine entsprechende Zertifikatvorlage erstellen. In diesem Abschnitt führe ich Ihnen vor, wie eine Zertifikatvorlage für Benutzer erstellt wird, deren Zertifikate nur für Clientauthentifizierung und Sichere E–Mail, nicht aber für das verschlüsselnde Dateisystem verwendet werden können.

Abbildung 12.29 Zertifikate, die auf einer dieser Zertifikatvorlagen basieren, können Sie bei dieser Zertifizierungsstelle erhalten.

Der erste Schritt ist das Aufrufen des Verwaltungswerkzeugs für die Zertifikatvorlagen. Hierzu gibt es zwei Möglichkeiten:

  • In der Verwaltung der Zertifizierungsstelle können Sie im Kontextmenü des Eintrags Zertifikatvorlagen die Verwaltung derselben aufrufen (Abbildung 12.30).
  • Alternativ können Sie das Snap-In Zertifikatvorlagen direkt der MMC hinzufügen.

In dem Snap-In zur Verwaltung der Zertifikatvorlagen sind deutlich mehr Vorlagen zu sehen als in dem entsprechenden Knoten der Verwaltung der Zertifizierungsstelle. Mit anderen Worten: Nicht alle vorhandenen Zertifikatvorlagen sind auch direkt für die Zertifizierungsstelle aktiv.

Man kann einerseits die vorhandenen und noch nicht von der Zertifizierungsstelle verwendeten Vorlagen aktivieren. Darüber hinaus können auch eigene Zertifikatvorlagen mit einer individuellen Kombination von Verwendungszwecken eingerichtet werden.

In diesem Beispiel soll eine neue Benutzer-Zertifikatvorlage erstellt werden, die im Gegensatz zur Standardvorlage nicht für die Verwendung des verschlüsselnden Dateisystems vorgesehen ist. Der erste Schritt hierzu ist in Abbildung 12.31 gezeigt: Sie wählen die »ähnlichste« Vorlage aus (in diesem Fall Benutzer) und rufen in deren Kontextmenü die Funktion Doppelte Vorlage auf. Was dieser Befehl macht, ist leicht zu erraten – es wird eine Kopie der Zertifikatvorlage angelegt. Aus dieser Kopie wird dann die neue Zertifikatvorlage erstellt.

Abbildung 12.30 Um alle Zertifikatvorlagen zu verwalten, wählen Sie einfach die entsprechende Funktion im Kontextmenü.

Abbildung 12.31 Am einfachsten erstellt man eine neue Vorlage, indem man eine bestehende dupliziert.

Beim Erstellen der Kopie der Zertifikatvorlage werden Sie gefragt werden, auf welcher Version der Stammzertifizierungsstelle die neue Zertifikatvorlage basieren soll. Zur Auswahl stehen die Optionen Windows 2003 Server Enterprise Edition und Windows Server 2008, Enterprise Edition (Abbildung 12.32).


Nur Windows Server 2008

Der Dialog aus Abbildung 12.32 lässt es schon erkennen, trotzdem sei nochmals ganz deutlich darauf hingewiesen, dass eine Zertifizierungsstelle, die »eigene« Vorlagen unterstützt, auf der Enterprise Edition des Windows Server 2008-Betriebssystems ausgeführt werden muss.


Abbildung 12.32 Hier legen Sie fest, auf welchem Betriebssystem die Zertifizierungsstelle mindestens laufen muss.

Sofern Sie eine Vorlage konfigurieren, die eine Windows Server 2008-Zertifizierungsstelle voraussetzt, gibt es einige zusätzliche Einstellmöglichkeiten, beispielsweise zur Kryptografie (welcher Cryptography Service Provider soll verwendet werden etc.).

Als Nächstes rufen Sie den Eigenschaftendialog der neuen Zertifikatvorlage auf und nehmen die notwendigen Konfigurationsänderungen vor (Abbildung 12.33). Ich werde nicht jede einzelne Option beschreiben; die meisten Einstellungen sind selbsterklärend.

Abbildung 12.33 Konfiguration der neuen Zertifikatvorlage

Zunächst zur Karteikarte Allgemein: Hier können Sie den Vorlagennamen und den Vorlagenanzeigenamen wählen, was kaum spektakulär ist. Im Normalfall werden Sie die Zertifikatvorlage im Active Directory veröffentlichen, was zur Folge hat, dass AD-Clients die Vorlage beim Anfordern eines neuen Zertifikats in der Auswahlliste sehen.

Wichtig ist natürlich auch der Gültigkeitszeitraum, der je nach Verwendungszweck konfiguriert werden kann und soll. Bei einem Benutzerzertifikat ist ein Jahr ein durchaus sinnvoller Wert. Aus Gründen der Sicherheit sollte er nicht zu lang sein – aber auch nicht zu kurz, damit Sie nicht ständig das Zertifikat erneuern müssen.

Besonders hinweisen möchte ich Sie auf den Eintrag Unterstützte Zertifizierungsstellen (Min.), den Sie nicht verändern können. Ein dupliziertes Zertifikat erfordert immer, dass die ausstellende Zertifizierungsstelle auf einem Enterprise Edition-Server läuft. Das hat nicht unbedingt einen technischen Grund, sondern ist eine zu beachtende Lizenzbestimmung, die Sie bei der Planung unbedingt berücksichtigen müssen.

Sofern die Zertifizierungsstelle in das Active Directory integriert ist (Enterprise CA) und die Zertifikatvorlage im AD veröffentlicht wird, sieht es im Active Directory so aus, wie auf Abbildung 12.34 gezeigt:

  • Die Zertifizierungsstelle ist im Konfigurationsnamenskontext verzeichnet.
  • In den Eigenschaften der Zertifizierungsstelle, genauer gesagt im Attribut certificateTemplates, sind die verwendeten Zertifikatvorlagen aufgeführt.
  • Details zu den einzelnen Zertifikatvorlagen können, sofern sie im AD veröffentlicht werden, ebenfalls im Konfigurationsnamenskontext ermittelt werden. Unter ConfigurationServicesPublic Key ServicesCertificate Templates sind Informationen zu dieser Zertifikatvorlage gespeichert.

Abbildung 12.34 Ein Blick ins Active Directory mit ADSI-Editor. Die neue Zertifikatvorlage ist in der Eigenschaft »certificateTemplates« der Zertifizierungsstelle verzeichnet.

Ich zeige Ihnen die Beispiele mit ADSI-Editor übrigens nicht etwa deshalb, weil ich Sie animieren möchte, mit diesem Werkzeug im AD »herzumzuadministrieren«, sondern um Ihnen zu helfen, die Hintergründe zu verstehen. Um im Problemfall schnell die richtigen Schlüsse zu ziehen, ist es einfach wichtig, ein wenig die Hintergründe zu kennen.

Nun müssen Sie noch konfigurieren, für welche Zwecke dieses Zertifikat verwendet werden soll. Dieses erledigen Sie auf der Karteikarte Erweiterungen, indem Sie die Anwendungsrichtlinien bearbeiten (Abbildung 12.35).

Abbildung 12.35 So wird die Anwendungsrichtlinie der neuen Vorlage konfiguriert.

In dem hier vorgeführten Beispiel sollen die mittels dieser Vorlage ausgestellten Zertifikate nicht für das verschlüsselnde Dateisystem verwendet werden, demzufolge wird der entsprechende Eintrag gelöscht. Genauso können weitere Verwendungszwecke hinzugefügt werden.

Etliche weitere Konfigurationsmöglichkeiten stehen zur Verfügung, werden an dieser Stelle aber nicht weiter besprochen. Ist die Konfiguration der neuen Zertifikatvorlage abgeschlossen, wird diese in der Liste der Vorlagen aufgeführt werden (Abbildung 12.36). Wie erwartet wird als notwendige Zertifizierungsstelle ein Enterprise Edition-Server angegeben.

Abbildung 12.36 Die neue Zertifikatvorlage benötigt einen Enterprise Edition-Server.

Da nun die Zertifikatvorlage konfiguriert ist, kommen wir zum letzten Schritt, nämlich zum Hinzufügen der neuen Zertifikatvorlage als auszustellende Zertifikatvorlage. Hierzu wählen Sie im Kontextmenü des Knotens Zertifikatvorlage in dem Snap-In Zertifizierungsstelle die Funktion NeuAuszustellende Zertifikatvorlage. Es wird ein Dialog erscheinen, der die installierten Zertifikatvorlagen anzeigt; durch Auswahl von OK können Sie die selektierte Vorlage hinzufügen (Abbildung 12.37).

Abbildung 12.37 Die neue Zertifikatvorlage wird den auszustellenden Zertifikatvorlagen hinzugefügt.

Wenn ein Benutzer mittels des Snap-Ins Zertifikate auf seinem PC/Notebook ein Zertifikat anfordern will, wird ihm die neue Vorlage ebenfalls in der Auswahlliste angezeigt werden (Abbildung 12.38).

Abbildung 12.38 Ein auf der neuen Zertifikatvorlage basierendes Zertifikat kann nun vom Benutzer angefordert werden.

Welche Zertifikatvorlagen einem Benutzer tatsächlich angezeigt werden, hängt davon ab, welche Berechtigungen in der Zertifikatvorlage gesetzt worden sind. Angezeigt werden nur diejenigen Vorlagen, bei denen der Benutzer das Recht »Registrieren« hat. Die Berechtigungen können im Eigenschaftendialog der Zertifikatvorlage auf der Karteikarte Sicherheit eingestellt werden

Zum Schluss möchte ich Ihnen zeigen, dass das Zertifikat tatsächlich gemäß den Einstellungen in der Zertifikatvorlage erstellt worden ist (Abbildung 12.39):

  • Als Verwendungszwecke sind nur ClientAuthentifizierung (Garantiert dem Remotecomputer…) und Sichere E-Mail (Schützt E-Mail-Nachrichten) vorhanden. Der Verwendungszweck Verschlüsselndes Dateisystem, der bei der Originalvorlage vorhanden ist, fehlt.
  • Das Gültigkeitsdatum ist auf ein Jahr beschränkt.

Abbildung 12.39 Ein auf der neuen Vorlage basierendes Zertifikat



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de