Erkunden der Grundlagen von PKI und AD CS

  • 5 Minuten

Wenn Sie Zertifikate für Ihre AD DS-Infrastruktur benötigen, können Sie diese von einer öffentlichen Zertifizierungsstelle anfordern oder in Ihrer eigenen Infrastruktur ausstellen. Zum Implementieren einer eigenen Zertifizierungsstelle können Sie die Active Directory-Zertifikatdienste (AD CS) verwenden. Für diesen Weg hat sich auch Contoso entschieden. Bei AD CS handelt es sich um eine Identitätstechnologie in Windows Server, mit der Sie die Public Key-Infrastruktur (PKI) für Ihre Organisation implementieren können.

Was ist PKI?

Die PKI ist eine Kombination aus Software, Verschlüsselungstechnologien, Prozessen und Diensten, mit deren Hilfe eine Organisation ihre Daten sowie Kommunikation und Geschäftstransaktionen schützen kann. Die PKI basiert auf dem Austausch digitaler Zertifikate zwischen authentifizierten Benutzern und vertrauenswürdigen Ressourcen. Zertifikate werden zum Schützen von Daten und zum Verwalten von Anmeldeinformationen verwendet, um Benutzer und Computer sowohl innerhalb als auch außerhalb der Organisation zu identifizieren.

Was sind Active Directory-Zertifikatdienste (AD CS)?

Sie können eine PKI-Lösung implementieren, indem Sie die Windows Server-Rolle der Active Directory-Zertifikatdienste (AD CS) verwenden. AD CS stellt alle PKI-bezogenen Komponenten als Rollendienste bereit. Die einzelnen Rollendienste sind jeweils für einen bestimmten Teil der Zertifikatinfrastruktur verantwortlich und bilden durch ihre Zusammenarbeit eine vollständige Lösung.

Die AD CS-Rolle beinhaltet die folgenden Rollendienste:

  • Zertifizierungsstelle. Der Hauptzweck von Zertifizierungsstellen besteht im Ausstellen von Zertifikaten, dem Sperren von Zertifikaten sowie dem Veröffentlichen von AIA (Authority Information Access) und Sperrinformationen. Die erste Zertifizierungsstelle, die Sie bereitstellen, bildet den Stamm Ihrer internen Public Key-Infrastruktur (PKI). Anschließend können Sie in der PKI-Hierarchie (mit der Stammzertifizierungsstelle auf oberster Ebene) untergeordnete Zertifizierungsstellen bereitstellen. Untergeordnete Zertifizierungsstellen vertrauen implizit der Stammzertifizierungsstelle und ebenso den von ihr ausgegebenen Zertifikaten.

    Hinweis

    Sie können bei Bedarf mehrere interne ZS-Hierarchien bereitstellen, die jeweils über einen eigenen Stamm verfügen.

  • Zertifizierungsstellen-Webregistrierung. Diese Komponente bietet eine Methode zum Ausstellen und Erneuern von Zertifikaten, falls Benutzer Geräte verwenden, die nicht in die Domäne eingebunden sind oder unter anderen Betriebssystemen als Windows ausgeführt werden.

  • Online-Responder. Mit dieser Komponente können Sie die Validierung und Sperrüberprüfung über OCSP (Online Certificate Status Protocol) konfigurieren und verwalten. Ein Online-Responder decodiert Sperrstatusanforderungen für bestimmte Zertifikate, wertet den Status dieser Zertifikate aus und gibt eine signierte Antwort mit den angeforderten Zertifikatstatusinformationen zurück.

  • Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) Mit dieser Komponente können Router, Switches und andere Netzwerkgeräte Zertifikate von AD CS abrufen.

  • Zertifikatregistrierungs-Webdienst (Certificate Enrollment Web Service, CES). Diese Komponente funktioniert als Proxyclient zwischen einem Computer unter Windows und der Zertifizierungsstelle. CES bietet Benutzern, Computern oder Anwendungen die Möglichkeit, mithilfe von Webdiensten eine Verbindung zu einer Zertifizierungsstelle herzustellen und folgende Aufgaben auszuführen:

    • Anfordern, Erneuern und Installieren von ausgestellten Zertifikaten
    • Abrufen von Zertifikatsperrlisten
    • Herunterladen eines Stammzertifikats
    • Registrieren über das Internet oder gesamtstrukturübergreifend
    • Automatisches Erneuern von Zertifikaten für Computer, die zu nicht vertrauenswürdigen AD DS-Domänen gehören oder in keine Domäne eingebunden sind.

  • Zertifikatregistrierungsrichtlinien-Webdienst (Certificate Enrollment Policy Web Service, CEP). Mit dieser Komponente können Benutzer Informationen zur Zertifikatregistrierungsrichtlinie abrufen. In Kombination mit dem CES-Webdienst ermöglicht der CEP-Webdienst die richtlinienbasierte Zertifikatregistrierung, wenn Benutzergeräte nicht in die Domäne eingebunden sind oder keine Verbindung zu einem Domänencontroller herstellen können.

Die Rollendienste der AD CS-Rolle in Windows Server 2019, einschließlich Zertifizierungsstelle, Zertifizierungsstellen-Webregistrierung, Online-Responder, Registrierungsdienst für Netzwerkgeräte, CES- und CEP-Webdienst.