O'Reilly logo

Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 by Ian L. McLean, Orin Thomas

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Lektion 1: Verwalten und Warten von Zertifikatservern 347
Lektion 1: Verwalten und Warten von Zertifikatservern
In dieser Lektion erfahren Sie etwas über die vier Arten von Zertifizierungsstellen: Unter-
nehmensstammzertifizierungsstellen, untergeordnete Unternehmenszertifizierungsstellen,
eigenständige Stammzertifizierungsstellen und untergeordnete Zertifizierungsstellen. Sie
erfahren, welche Zertifizierungsstellenart Sie aufbauen sollten, um die Anforderungen zu
erfüllen, wie Sie die Archivierung konfigurieren und ein Benutzerkonto als Schlüsselwieder-
herstellungs-Agent festlegen. Außerdem erfahren Sie, wie Sie die Zertifikatdiensterollen
konfigurieren und die Verantwortung für die Verwaltung der Zertifikatserver und der Zerti-
fikate auf verschiedene Mitarbeitergruppen aufteilen können.
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
Installieren von eigenständigen und Unternehmenszertifizierungsstellen
Konfigurieren von Zertifizierungsstellenhierarchien
Konfigurieren der Schlüsselarchivierung, Wiederherstellung und der Sicherung der
Zertifizierungsstellen
Zuweisen von Verwaltungsrollen
Veranschlagte Zeit für diese Lektion: 40 Minuten
Active Directory-Zertifikatdienste
Im Gegensatz zu den in Active Directory-integrierten DNS-Servern oder Domänencontrol-
lern, die nicht hierarchisch strukturiert sind, ist die Struktur der Active Directory-Zertifikat-
dienste, in älteren Windows-Versionen einfach nur Zertifikatdienste genannt, hierarchisch.
In den Zertifikatdiensten, mit denen die PKI (Public Key Infrastructure) aufgebaut wird,
dreht sich alles um das Vertrauen. In einer Active Directory-Zertifikatdienste-Infrastruktur
geht das Vertrauen von der Spitze der Hierarchie aus. Der Zertifikatserver an der Spitze wird
Stammzertifizierungsstelle genannt. Jeder Zertifikatserver unter der Stammzertifizierungs-
stelle ist eine untergeordnete Zertifizierungsstelle. Die Stammzertifizierungsstelle signiert
die Signaturzertifikate der untergeordneten Zertifizierungsstellen, die sich in der Hierarchie
direkt unter ihr befinden. Wenn Sie der Stammzertifizierungsstelle vertrauen, vertrauen Sie
implizit auch der untergeordnete Zertifizierungsstelle, weil die Zertifikate, die von der unter-
geordneten Zertifizierungsstelle ausgestellt werden, indirekt von der Stammzertifizierungs-
stelle genehmigt werden. Untergeordnete Zertifizierungsstellen können selbst ebenfalls
Signaturzertifikate ausstellen. Daher können weitere Ebenen zur Zertifikatdienstehierarchie
hinzugefügt werden. Kommt der Administrator eines höherrangigen Zertifikatservers zu
dem Schluss, dass eine in der Hierarchie tiefer stehende Zertifizierungsstelle nicht mehr
zuverlässig arbeitet, kann er das Signaturzertifikat sperren, das für diese Zertifizierungsstelle
ausgestellt wurde. Dadurch wird die Zertifizierungsstelle als nicht mehr vertrauenswürdig
gekennzeichnet und die Zertifikate, die von dieser Zertifizierungsstelle und allen unter ihr
stehenden Zertifizierungsstellen ausgestellt wurden, werden ungültig.
Sie können Windows Server 2008-Zertifikatserver als Unternehmenszertifizierungsstellen
oder als eigenständige Zertifizierungsstellen konfigurieren. Daraus ergeben sich vier Vari-
anten: die Unternehmens-Stammzertifizierungsstelle, die untergeordnete Unternehmenszerti-
348 Kapitel 7: Active Directory-Zertifikatdienste
fizierungsstelle, die eigenständige Stammzertifizierungsstelle und die eigenständige unter-
geordnete Zertifizierungsstelle. Unternehmenszertifizierungsstellen sind in die Active Direc-
tory-Domänendienste eingebunden und verwenden Gruppenrichtlinien, um Informationen
über das Vertrauen in Zertifikate und über Zertifikatsperrungen an alle Clients der Active
Directory-Gesamtstruktur zu verbreiten. Unternehmenszertifizierungsstellen verwenden
Zertifikatvorlagen mit konfigurierbaren Werten. Jede Zertifikatvorlage verfügt über einen
konfigurierbaren Satz an Sicherheitsberechtigungen, mit denen Administratoren angeben
können, welche Clients Zertifikate anfordern können, die nach der betreffenden Vorlage
ausgestellt werden. Zu den weiteren Vorteilen von Unternehmenszertifizierungsstellen zählt,
dass die erforderlichen Clientdaten automatisch von Active Directory-Domänendiensten
abgerufen werden und dass Sie eine automatische Registrierung konfigurieren können, um
die Bereitstellung von Zertifikaten durch diese Art von Zertifikatservern zu automatisieren.
Mehr über Zertifikatvorlagen und die automatische Registrierung erfahren Sie in Lektion 2,
„Verwalten und Warten von Zertifikaten und Zertifikatvorlagen“.
Eigenständige
Zertifizierungsstellen können auch auf Computern betrieben werden, die nicht
Mitglieder einer Active Directory-Domäne sind. Eine eigenständige Zertifizierungsstelle
können Sie auch auf einem Computer installieren, der Mitglied einer Domäne ist. Wenn Sie
dies mit einem Konto tun, das Mitglied der Gruppe Domänen-Admins ist, werden automa-
tisch Informationen über die Zertifizierungsstelle zum Zertifikatspeicher Vertrauenswürdige
Stammzertifizierungsstellen hinzugefügt. Auch eigenständige Zertifizierungsstellen können
in den Active Directory-Domänendiensten Sperrungsdaten veröffentlichen. Allerdings kön-
nen eigenständige Zertifizierungsstellen nicht automatisch die Informationen von den Active
Directory-Domänendiensten abrufen, die für eine Zertifikatregistrierung erforderlich sind.
Wenn ein Client eine Zertifikatanforderung an eine eigenständige Zertifizierungsstelle
übermittelt, muss er selbst alle erforderlichen Angaben zur Identifikation machen. Der
Administrator der Zertifizierungsstelle muss diese Daten dann manuell überprüfen, bevor
er entscheidet, ob das Zertifikat ausgestellt wird. Es ist möglich, in derselben Infrastruktur
eigenständige Zertifizierungsstellen und Unternehmenszertifizierungsstellen zu verwenden.
Viele Organisationen verwenden eine eigenständige Zertifizierungsstelle als Stammzertifi-
zierungsstelle und richten zur Verwaltung der Zertifikate für die Active Directory-Domänen-
dienste eine Gruppe von Unternehmenszertifizierungsstellen ein. Eigenständige Zertifizie-
rungsstellen können vom Netzwerk getrennt werden. Die Verwendung einer Offline-Stamm-
zertifizierungsstelle wird als sicherste Methode zur Bereitstellung einer Stammzertifizie-
rungsstelle angesehen. Im weiteren Verlauf dieser Lektion werden Offline-Stammzertifizie-
rungsstellen noch genauer beschrieben.
Welche Art von Zertifizierungsstelle Sie aufbauen können, hängt davon ab, welche Windows
Server 2008-Edition Ihnen zur Verfügung steht. Auf einem Computer, auf dem Windows
Web Server 2008 verwendet wird, können Sie die Rolle Active Directory-Zertifikatdienste
nicht installieren. Unternehmenszertifizierungsstellen werden nur unter Windows Server
2008 Enterprise und Datacenter unterstützt. Windows Server 2008 Standard unterstützt zwar
die Installation einer eigenständigen Zertifizierungsstelle, aber nicht andere Funktionen wie
die Registrierung von Netzwerkgeräten, den Online-Responder-Dienst, Schlüsselarchivie-
rung, Rollentrennung, delegierte Registrierungsagenten oder Beschränkungen für Zertifi-
katmanager.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required