Verwalten der Zertifikatregistrierung

  • 9 Minuten

Der Zweck der Zertifizierungsstelle besteht darin, Benutzern und Geräten das Registrieren und Verwenden von Zertifikaten zu ermöglichen. Wie bei der Implementierung der Zertifizierungsstelle sind dazu eine sorgfältige Planung und Vorbereitung erforderlich, um den Typ der Zertifikate festzulegen, die eine Zertifizierungsstelle ausstellen kann.

Was ist ein Zertifikat?

Bei einem Zertifikat handelt es sich um eine kleine Datei mit mehreren Informationen zu ihrem Besitzer. Diese Daten können die E-Mail-Adresse des Besitzers, den Namen des Besitzers, den Zertifikatverwendungstyp, die Gültigkeitsdauer und die URLs für die AIA- und CDP-Speicherorte enthalten.

Ein Zertifikat enthält auch den öffentlichen Schlüssel und die entsprechenden Metadaten, die aus einem privaten Schlüssel und dem zugehörigen öffentlichen Schlüssel bestehen. Sie können diese Schlüssel bei Prozessen zum Validieren von Identitäten, digitalen Signaturen und der Verschlüsselung verwenden. Das Schlüsselpaar, das von den einzelnen Zertifikaten generiert wird, weist die folgenden Bedingungen auf:

  • Wenn Inhalt mit dem öffentlichen Schlüssel verschlüsselt ist, kann er nur mit dem privaten Schlüssel entschlüsselt werden.
  • Wenn Inhalt mit dem privaten Schlüssel verschlüsselt ist, kann er nur mit dem öffentlichen Schlüssel entschlüsselt werden.
  • An der Beziehung zwischen den Schlüsseln eines einzelnen Schlüsselpaars ist kein anderer Schlüssel beteiligt.
  • Der private Schlüssel kann in einem vertretbaren Zeitraum nicht von einem öffentlichen Schlüssel abgeleitet werden und umgekehrt.

Im Rahmen des Zertifikatregistrierungsprozesses generiert der Client das Paar aus öffentlichem und privatem Schlüssel. Der Client sendet dann den öffentlichen Schlüssel an die Zertifizierungsstelle, die die Clientinformationen bestätigt, sie mit einem eigenen privaten Schlüssel signiert und dann das Zertifikat, das den öffentlichen Clientschlüssel enthält, an den Client zurücksendet.

Hinweis

Sie können sich ein Zertifikat wie einen Führerschein vorstellen. Viele Unternehmen akzeptieren einen Führerschein als Form der Identifikation, da sie die Führerscheinstelle (eine behördliche Einrichtung) als vertrauenswürdig betrachten. Da Unternehmen den Vorgang zum Erwerb eines Führerscheins kennen, vertrauen sie darauf, dass der Aussteller die Identität der Person überprüft hat, bevor er den Führerschein ausgestellt hat. Daher ist der Führerschein als gültiger Identitätsnachweis zulässig. Eine Zertifikatvertrauensstellung entsteht auf ähnliche Weise.

Mehrere Phasen des ZS-Lebenszyklus mit Schwerpunkt auf der Ausstellung von Zertifikaten.

Was sind Zertifikatvorlagen?

Zertifikatvorlagen definieren, wie Benutzer und Geräte von der Unternehmenszertifizierungsstelle ausgestellte Zertifikate, die auf dieser Vorlage basieren, anfordern und verwenden können. Sie können beispielsweise eine Vorlage erstellen, mit der die Dateiverschlüsselung oder die E-Mail-Signaturfunktion bereitgestellt wird. Die Zertifizierungsstelle nutzt AD DS zum Speichern der von Ihnen konfigurierten Vorlagen.

Wichtig

Zertifikatvorlagen sind nur verfügbar, wenn Sie eine Unternehmenszertifizierungsstelle verwenden. Dies bedeutet, dass bei einer eigenständigen Zertifizierungsstelle jede Zertifikatanforderung manuell mit allen erforderlichen Informationen erstellt werden muss.

Die Zertifizierungsstelle stellt Vorlagen für Benutzer und Computer bereit. Sie können Zertifikatvorlagen Berechtigungen zuweisen, um zu definieren, wer die Zertifikate verwalten sowie die Registrierung bzw. automatische Registrierung vornehmen kann und welche Gültigkeitsdauer bzw. welchen Verlängerungszeitraum sie aufweisen sollen. Sie können zusätzliche Änderungen vornehmen, indem Sie vordefinierte Zertifikatvorlagen duplizieren. Um Vorlagen für Benutzer und Geräte verfügbar zu machen, müssen Sie die Nutzung explizit erlauben.

Vorlagenversionen

Die Zertifizierungsstelle in AD CS unter Windows Server unterstützt Zertifikatvorlagen in vier Versionen mit den folgenden funktionalen Unterschieden:

  • Vorlagen der Version 1. Mit diesen Vorlagen können Sie nur zertifikatbezogene Berechtigungen ändern. Wenn Sie eine Zertifizierungsstelle installieren, werden standardmäßig Zertifikatvorlagen der Version 1 erstellt.
  • Vorlagen der Version 2. Mit diesen Vorlagen können Sie zusätzliche Einstellungen anpassen, z. B. Gültigkeitsdauer und Verlängerungszeitraum. Dies ist auch die Mindestversion, die die automatische Registrierung unterstützt. Mit der Standardinstallation von AD CS werden mehrere vorkonfigurierte Vorlagen der Version 2 bereitgestellt. Sie können Vorlagen der Version 2 erstellen oder eine Zertifikatvorlage der Version 1 duplizieren, um eine neue Vorlage der Version 2 zu erstellen.
  • Vorlagen der Version 3. Zertifikatvorlagen der Version 3 unterstützen Cryptography Next Generation (CNG). CNG unterstützt erweiterte Kryptografiealgorithmen. Sie können Standardvorlagen der Version 1 und Version 2 duplizieren und sie auf Version 3 aktualisieren. Wenn Sie Zertifikatvorlagen der Version 3 verwenden, können Sie CNG-Verschlüsselung und Hashalgorithmen für Zertifikatanforderungen, ausgestellte Zertifikate und den Schutz privater Schlüssel für den Schlüsselaustausch und Schlüsselarchivierungsszenarien verwenden.
  • Vorlagen der Version 4. Zertifikatvorlagen der Version 4 unterstützen Kryptografiedienstanbieter (Cryptographic Service Provider, CSPs) und Schlüsselspeicheranbieter. Sie können sie auch so konfigurieren, dass eine Verlängerung mit demselben Schlüssel erforderlich ist.

Demo

Im folgenden Video erhalten werden folgende Aufgaben veranschaulicht:

  • Erstellen einer neuen Vorlage auf Basis der Webservervorlage
  • Konfigurieren von Vorlagen für die Ausstellung

Der Vorgang besteht aus folgenden Hauptschritten:

  1. Erstellen einer AD DS-Umgebung Erstellen einer AD DS-Gesamtstruktur mit einer Domäne
  2. Bereitstellen einer Unternehmens-Stammzertifizierungsstelle
  3. Konfigurieren einer benutzerdefinierten Zertifikatvorlage Verwenden der Zertifikatvorlagenkonsole, um die Webservervorlage zu duplizieren
  4. Konfigurieren der Vorlage für die Ausstellung Verwenden der Zertifizierungsstellenkonsole, um die Vorlage zur Verwendung verfügbar zu machen

Überprüfen Sie Ihr Wissen

1.

Welches Tool kann für die Zertifikatregistrierung über eine bereits konfigurierte Vorlage verwendet werden?