Lektion 2: Verwalten und Warten von Zertifikaten und Zertifikatvorlagen 375
Zertifikatvorlagen gibt es in drei Versionen, von denen Sie zwei für die Verwendung in Win-
dows Server 2008 Enterprise erstellen können. Version-1-Vorlagen sind in Zertifizierungs-
stellen anwendbar, die unter Windows 2000 Server, Windows Server 2003 oder Windows
Server 2008 betrieben werden. Eine Version-1-Vorlage können Sie weder entfernen noch
ändern. Wenn Sie aber von einer Version-1-Vorlage ein Duplikat erstellen, liegt dieses Du-
plikat wahlweise als Version-2- oder Version-3-Vorlage vor, an der Sie Änderungen vorneh-
men können. Sie können Version-2-Vorlagen bearbeiten und die Vorlagen lassen sich auf
Zertifizierungsstellen
verwenden, die unter Windows Server 2003 und Windows Server 2008
Enterprise und Datacenter betrieben werden. Version-3-Zertifikatvorlagen unterstützen die
Features
von Windows Server 2008, wie CNG (Cryptography Next Generation), und Suite B-
Kryptografiealgorithmen wie beispielsweise ECC (Elliptic Curve Cryptography). Version-3-
Zertifikatvorlagen können Sie nur in Unternehmenszertifizierungsstellen verwenden, die
unter Windows Server 2008 betrieben werden.
Zur Erstellung einer neuen Zertifikatvorlage stellen Sie zuerst ein Duplikat von einer vor-
handenen Zertifikatvorlage her, die am besten zu dem Verwendungszweck der neuen Vor-
lage passt. Wollen Sie zum Beispiel ein weiterentwickeltes EFS-Zertifikat erstellen, dupli-
zieren Sie die EFS-Zertifikatvorlage. Beim Duplizieren der Vorlage werden Sie gefragt, ob
die Vorlage auch für Zertifizierungsstellen vorgesehen ist, die unter Windows Server 2003
Enterprise betrieben werden, oder ob mindestens Windows Server 2008 Enterprise verwen-
det werden muss (Abbildung 7.18).
Abbildung 7.18 Auswählen der Vorlagenkompatibilität
Nachdem Sie festgelegt haben, welches Betriebssystem mindestens verwendet werden muss,
geben Sie der Vorlage einen Namen. Ist dieser Name einmal festgelegt, können Sie ihn nicht
mehr ändern. Auf der Registerkarte Allgemein des Eigenschaftsdialogfelds der Zertifikatvor-
lage können Sie die Gültigkeitdauer des Zertifikats festlegen, den Erneuerungszeitraum, ob
Zertifikate in den Active Directory-Domänendiensten veröffentlicht werden sollen, ob eine
automatische Registrierung erfolgen soll, falls in den Active Directory-Domänendiensten
bereits ein gültiges Zertifikat vorhanden ist, und ob für die automatische Erneuerung von
Smartcard-Zertifikaten der vorhandene Schlüssel verwendet werden soll, falls kein neuer
Schlüssel erstellt werden kann. Abbildung 7.19 zeigt diese Einstellungen.
Auf der Registerkarte Anforderungsverarbeitung (Abbildung 7.20) können Sie den Zweck
eines Zertifikats festlegen. Verfügbar sind die Einstellungen Signatur und Verschlüsselung,
Verschlüsselung, Signatur sowie Signatur und Smartcard-Anmeldung. Wenn Sie für diesen
Zertifikattyp in Ihrer Umgebung eine Schlüsselwiederherstellung ermöglichen wollen, akti-
vieren Sie die Option Privaten Schlüssel für die Verschlüsselung archivieren. Das ermöglicht