Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 12 Active Directory-Zertifikatdienste
Pfeil 12.1 Einige Anwendungsszenarien
Pfeil 12.1.1 Internet-Authentifizierung und Verschlüsselung
Pfeil 12.1.2 Sichere E-Mail
Pfeil 12.1.3 Codesignatur
Pfeil 12.1.4 IP-Verschlüsselung
Pfeil 12.1.5 Anmeldung mit Smartcard
Pfeil 12.1.6 Wireless Authentification (802.1X)
Pfeil 12.1.7 Fazit
Pfeil 12.2 Zertifikatsdienste installieren/Migration (einstufige Architektur)
Pfeil 12.3 Zertifikate aus Sicht des Clients
Pfeil 12.4 Zertifizierungspfad
Pfeil 12.5 Zertifikatvorlagen
Pfeil 12.6 Weboberfläche
Pfeil 12.7 Mehrstufige Architekturen
Pfeil 12.7.1 Rollen
Pfeil 12.7.2 Architekturen
Pfeil 12.8 Autoenrollment und automatische Zertifikatanforderung
Pfeil 12.8.1 Automatische Zertifikatanforderung
Pfeil 12.8.2 Autoenrollment
Pfeil 12.9 Zertifikate für Websites
Pfeil 12.10 Zertifikatssperrlisten
Pfeil 12.10.1 Funktionsweise – ganz grob
Pfeil 12.10.2 Sperrlisteneinträge
Pfeil 12.10.3 Gültigkeit einer Sperrliste
Pfeil 12.10.4 Zertifikatgültigkeit überprüfen
Pfeil 12.10.5 Der Cache
Pfeil 12.10.6 ISA Server zum Veröffentlichen der Speicherortes verwenden
Pfeil 12.11 Das Online Certificate Status Protocol (OCSP)
Pfeil 12.11.1 Konfiguration des Online-Responders
Pfeil 12.11.2 Anpassung der Zertifizierungsstelle
Pfeil 12.11.3 Testen
Pfeil 12.11.4 ISA Server-Veröffentlichung
Pfeil 12.12 Zweistufige Architektur implementieren
Pfeil 12.12.1 Offline-CA installieren und konfigurieren
Pfeil 12.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver und dem Active Directory hinzufügen
Pfeil 12.12.3 Unternehmens-CA installieren
Pfeil 12.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen
Pfeil 12.13 Zertifikate und Windows Mobile
Pfeil 12.13.1 Pocket PC und Pocket PC Phone Edition
Pfeil 12.13.2 Smartphone
Pfeil 12.14 Zertifikate und das iPhone


Galileo Computing - Zum Seitenanfang

12.8 Autoenrollment und automatische Zertifikatanforderung Zur nächsten ÜberschriftZur vorigen Überschrift

Die Wunschvorstellung ist sicherlich, dass alle Anwender und Computer ohne Zutun des Administrators ein Zertifikat erhalten. Diese Forderung gilt sowohl für bereits vorhandene als auch für zukünftig angelegte Benutzerkonten und Computer. Des Weiteren sollen abgelaufene beziehungsweise in Kürze ablaufende Zertifikate automatisch erneuert werden.

Für diese Aufgabenstellung gibt es Lösungen, und zwar das Autoenrollment und die automatische Zertifikatanforderung. Dieses Verfahren eignet sich übrigens nicht nur, um Zertifikate für die Mailverschlüsselung und -signierung auszurollen, sondern kommt beispielsweise auch zur Anwendung, wenn Sie Smartcards mit Zertifikaten für die Benutzeranmeldung betanken müssen. Man kann sicherlich davon ausgehen, dass im Laufe der Zeit deutlich mehr Anwendungen spezielle Benutzerzertifikate benötigen, die natürlich immer nach Möglichkeit automatisch ausgerollt und erneuert werden sollen.


Galileo Computing - Zum Seitenanfang

12.8.1 Automatische Zertifikatanforderung Zur nächsten ÜberschriftZur vorigen Überschrift

Die automatische Zertifikatanforderung ist sehr einfach aufzusetzen, denn es muss lediglich eine Gruppenrichtlinie angepasst werden. Eine der Haupteinschränkungen ist allerdings, das über diesen Weg nur Computerzertifikate verteilt werden können. Hauptanwendungsgebiet ist die Verteilung von Computer- oder IPSec-Zertifikaten – das geht dann aber wirklich sehr gut.

Um beispielsweise dafür zu sorgen, dass alle Computer der Domäne ein Computerzertifikat anfordern, gehen Sie wie folgt vor:

  • Erstellen Sie ein neues Gruppenrichtlinienobjekt. Sie könnten die notwendigen Einstellungen zwar auch einem bestehenden Gruppenrichtlinienobjekt hinzufügen, aus Gründen der Übersichtlichkeit empfehle ich aber immer eine sinnvolle Aufteilung (Abbildung 12.47).
  • Wählen Sie das Bearbeiten des neuen Gruppenrichtlinienobjekts, es öffnet sich der Gruppenrichtlinienverwaltungs-Editor.
  • Navigieren Sie zu ComputerkonfigurationRichtlinienWindows-EinstellungenSicherheitseinstellungenRichtlinien für öffentliche SchlüsselEinstellungen der automatischen Zertifikatanforderung. Im Kontextmenü wählen Sie das Erstellen einer neuen Zertifikatanforderung (Abbildung 12.48).

Abbildung 12.47 Aus Gründen der Übersichtlichkeit erstellen Sie am besten ein eigenes Gruppenrichtlinienobjekt.

Abbildung 12.48 Hier erstellen Sie eine automatische Zertifikatanforderung.

In dem nun startenden Assistenten können Sie die Zertifikatvorlage auswählen, auf deren Basis der Computer ein neues Zertifikat anfordern soll. Fertig!

Abbildung 12.49 In dem Assistenten wählen Sie die Zertifikatvorlage aus, auf deren Basis das neue Zertifikat registriert werden soll.


Galileo Computing - Zum Seitenanfang

12.8.2 Autoenrollment topZur vorigen Überschrift

Wenn Sie nicht nur Computerzertifikate sondern auch Benutzerzertifikate verteilen möchten, können Sie nicht die automatische Zertifikatanforderung verwenden, sondern müssen das Autoenrollment konfigurieren.

Die Nutzung des Autoenrollments erfordert die Einhaltung einer ziemlich engen Kompatibilitätsliste:

  • Active Directory mit Windows Server 2008- oder Windows 2003-Schema und Gruppenrichtlinien
  • Domänencontroller mit dem Betriebssystem Windows Server 2008 oder Windows Server 2003. Windows 2000-DCs mit aktuellem Service Pack (ab SP3) können ebenfalls verwendet werden.
  • Stammzertifizierungsstelle (Enterprise CA) auf einem Windows Server 2008 oder Windows Server 2003 und zwar Enterprise Edition (Autoenrollment kann in der Tat nicht mit einer Zertifizierungsstelle konfiguriert werden, die auf einem Standard-Edition-Server läuft.)
  • Clientbetriebssystem Windows 7, Windows Vista, Windows XPpro, Windows Server 2008 oder Windows Server 2003

Konfiguration des Autoenrollments für Benutzerzertifikate

In diesem Abschnitt werde ich Ihnen die Konfiguration des Autoenrollments für Benutzerzertifikate vorführen.

Um das Autoenrollment zu konfigurieren, öffnen Sie zunächst das Snap-In Zertifikatvorlagen. Suchen Sie die Zertifikatvorlage »Benutzer«, und erstellen Sie mit dem Befehl Doppelte Vorlage eine Kopie. Das Anlegen weiterer Vorlagen ist zuvor erklärt und vorgeführt worden.

Die neu erzeugte Zertifikatvorlage muss nun konfiguriert werden. Die wichtigsten Anpassungen sind die beiden folgenden:

  • Auf der Karteikarte Allgemein müssen der Vorlagenanzeigename und der Vorlagenname vorgegeben werden. Die Gültigkeitsdauer sollte aus Sicherheitsgründen nicht länger als ein Jahr betragen. Da mit dem Autoenrollment vor Ablauf eines Zertifikats die Anforderung eines neuen Zertifikats bearbeitet werden kann, ist ein regelmäßiger Zertifikatstausch kein großes Problem. Achten Sie darauf, dass die Checkbox Zertifikat in Active Directory veröffentlichen aktiviert ist (Abbildung 12.50).

Abbildung 12.50 Auf der Registerkarte »Allgemein« konfigurieren Sie unter anderem die Gültigkeitsdauer und die Veröffentlichung im Active Directory.

  • Wichtig ist, dass Sie die Berechtigungen korrekt setzen: Für die Benutzer, an die das Zertifikat ausgerollt werden soll (im Allgemeinen wird das Authentifizierte Benutzer sein), müssen die Berechtigungen Lesen, Registrieren und Automatisch Registrieren gesetzt sein (Abbildung 12.51).

Natürlich gibt es noch viele andere konfigurierbare Optionen für die Zertifikatvorlage; wenn Sie die zuvor genannten setzen, genügt es für die grundlegende Funktion!

Die nächsten Konfigurationsschritte werden im Snap-In Zertifizierungsstelle ausgeführt. Beachten Sie, dass die neu erstellte Zertifikatvorlage momentan noch nicht in der Zertifizierungsstelle sichtbar ist.

  • Im Kontextmenü des Knotens Zertifikatvorlagen wählen Sie den Befehl Auszustellende Zertifikatvorlage (Abbildung 12.52). Dieser Befehl dient dazu, der Zertifizierungsstelle eine weitere Vorlage hinzuzufügen.

Abbildung 12.51 Damit das Autoenrollment funktioniert, müssen Sie für die Benutzer die Berechtigungen »Lesen«, »Registrieren« und »Automatisch Registrieren« setzen.

Abbildung 12.52 Um der Zertifizierungsstelle die neu erzeugte Vorlage hinzuzufügen, wählen Sie zunächst diesen Befehl.

  • Es erscheint nun eine Liste mit allen vorhandenen Zertifikatvorlagen; in dieser Liste sollte auch die zuvor neu erzeugte Vorlage aufgeführt sein. Diese Vorlage wählen Sie nun aus. Sie sollte nun im Vorlagenverzeichnis der Zertifizierungsstelle aufgeführt sein (Abbildung 12.53).

Abbildung 12.53 Aus der Gesamtliste wählen Sie die neu erstellte Zertifikatvorlage aus.

Die letzte Aufgabe ist nun, die Clients dazu zu bringen, ein auf der neuen Vorlage basierendes Zertifikat anzufordern. Dies lässt sich mithilfe von Gruppenrichtlinien recht einfach erledigen:

  • In der Gruppenrichtlinienverwaltung erstellen Sie ein neues Gruppenrichtlinienobjekt und verknüpfen es mit einer oder mehreren Organisationseinheiten oder der Domäne (das wird ausführlich in Abschnitt 8.4.11 besprochen).

Abbildung 12.54 Konfiguration der Gruppenrichtlinie für Benutzer

  • Im Gruppenrichtlinienverwaltungs-Editor konfigurieren Sie die entsprechenden Einstellungen für Benutzer und Computer. Abbildung 12.54 zeigt die Einstellung der Benutzerkonfiguration.

Wenn alles korrekt konfiguriert ist, wird einige Sekunden, nachdem sich ein Benutzer angemeldet hat, ein Zertifikat erzeugt und installiert sein. Dies funktioniert natürlich nur, wenn die Zertifizierungsstelle für die Ausgabe des Zertifikats nicht noch eine manuelle Bestätigung erfordert. (Das wird in den Eigenschaften der Zertifizierungsstelle konfiguriert.)



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de