Installieren der Zertifizierungsstelle
Sie können dieses Verfahren durchführen, um Active Directory-Zertifikatdienste (AD CS) zu installieren, damit Sie ein Serverzertifikat auf Servern registrieren können, auf denen der Netzwerkrichtlinienserver, der Routing- und RAS-Dienst oder beides ausgeführt wird.
Wichtig
- Bevor Sie Active Directory-Zertifikatdienste installieren, müssen Sie den Computer benennen, ihn mit einer statischen IP-Adresse konfigurieren und zur Domäne hinzufügen. Weitere Informationen zum Ausführen dieser Aufgaben finden Sie im Leitfaden zum Windows Server 2016-Hauptnetzwerk.
- Damit dieses Verfahren durchgeführt werden kann, muss der Computer, auf dem Sie AD CS installieren, sich in einer Domäne befinden, in der Active Directory Domain Services (AD DS) installiert ist.
Für dieses Verfahren sind mindestens die Mitgliedschaften in den Gruppen Organisations-Admins und Domänen-Admins der Stammdomäne erforderlich.
Hinweis
Um dieses Verfahren mithilfe von Windows PowerShell durchzuführen, öffnen Sie Windows PowerShell, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
Geben Sie nach der Installation von AD CS den folgenden Befehl ein, und drücken Sie die EINGABETASTE.
Install-AdcsCertificationAuthority -CAType EnterpriseRootCA
So installieren Sie Active Directory-Zertifikatsdienste
Tipp
Wenn Sie Windows PowerShell zum Installieren von Active Directory-Zertifikatdienste verwenden möchten, finden Sie Cmdlets und optionale Parameter unter Install-AdcsCertificationAuthority.
Melden Sie sich als Mitglied der GruppeOrganisations-Admins und der GruppeDomänen-Admins der Stammdomäne an.
Klicken Sie im Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen. Der Assistent zum Hinzufügen von Rollen und Features wird geöffnet.
Klicken Sie auf der Seite Vorbemerkungen auf Weiter.
Hinweis
Die Seite Vorbemerkungen im Assistenten zum Hinzufügen von Rollen und Features wird nicht angezeigt, wenn Sie bei einer früheren Ausführung des Assistenten die Option Seite standardmäßig überspringen ausgewählt haben.
Wählen Sie unter Installationstyp auswählen die Option Rollenbasierte oder featurebasierte Installation aus, und klicken Sie dann auf Weiter.
Stellen Sie sicher, dass unter Zielserver auswählen die Option Einen Server aus dem Serverpool auswählen aktiviert ist. Wählen Sie unter Serverpool den lokalen Computer aus. Klicken Sie auf Weiter.
Wählen Sie auf der Seite Serverrollen auswählen unter Rollen die Option Active Directory-Zertifikatsdienste aus. Wenn Sie aufgefordert werden, erforderliche Features hinzuzufügen, klicken Sie auf Features hinzufügen und dann auf Weiter.
Klicken Sie in Features auswählen auf Weiter.
Lesen Sie die unter Active Directory-Zertifikatdiensten bereitgestellten Informationen, und klicken Sie dann auf Weiter.
Klicken Sie unter Installationsauswahl bestätigen auf Installieren. Schließen Sie den Assistenten während des Installationsvorgangs nicht. Klicken Sie nach Abschluss der Installation auf Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren. Der Konfigurations-Assistent für AD CS wird geöffnet. Lesen Sie die Anmeldeinformationen, und geben Sie bei Bedarf die Anmeldeinformationen für ein Konto an, das Mitglied der Unternehmensadministratorgruppe ist. Klicken Sie auf Weiter.
Klicken Sie auf der Seite Rollendienste auf Zertifizierungsstelle und dann auf Weiter.
Stellen Sie auf der Seite Setuptyp sicher, dass Unternehmens-ZS ausgewählt ist, und klicken Sie dann auf Weiter.
Stellen Sie auf der Seite Geben Sie den Typ der Zertifizierungsstelle an sicher, dass Stammzertifizierungsstelle ausgewählt ist, und klicken Sie dann auf Weiter.
Stellen Sie auf der Seite Geben Sie den Typ des privaten Schlüssels an sicher, dass Neuen privaten Schlüssel erstellen ausgewählt ist, und klicken Sie dann auf Weiter.
Übernehmen Sie auf der Seite Kryptografie für Zertifizierungsstelle die Standardeinstellungen für CSP (RSA#Microsoft Software Key Storage Provider) und Hashalgorithmus (SHA2), und legen Sie die beste Schlüsselzeichenlänge für die Bereitstellung fest. Große Schlüsselzeichenlängen bieten optimale Sicherheit, können jedoch die Serverleistung beeinträchtigen und sind möglicherweise nicht mit Legacyanwendungen kompatibel. Es wird empfohlen, die Standardeinstellung von 2048 beizubehalten. Klicken Sie auf Weiter.
Behalten Sie auf der Seite ZS-Name den vorgeschlagenen allgemeinen Namen für die ZS bei, oder ändern Sie den Namen entsprechend Ihren Anforderungen. Stellen Sie sicher, dass der ZS-Name mit Ihren Namenskonventionen und -zwecken kompatibel ist, da Sie ihn nach der Installation von AD CS nicht ändern können. Klicken Sie auf Weiter.
Geben Sie auf der Seite Gültigkeitsdauer unter Geben Sie die Gültigkeitsdauer an die Zahl ein, und wählen Sie einen Zeitwert aus (Jahre, Monate, Wochen oder Tage). Die Standardeinstellung von fünf Jahren wird empfohlen. Klicken Sie auf Weiter.
Geben Sie auf der Seite Zertifizierungsstellendatenbank unter Geben Sie die Orte der Datenbank an den Ordnerspeicherort für die Zertifikatdatenbank und das Zertifikatdatenbankprotokoll an. Wenn Sie andere Speicherorte als die Standardspeicherorte angeben, stellen Sie sicher, dass die Ordner mit Zugriffssteuerungslisten (ACLs) gesichert werden, die verhindern, dass nicht autorisierte Benutzer oder Computer auf die ZS-Datenbank und Protokolldateien zugreifen. Klicken Sie auf Weiter.
Klicken Sie unter Bestätigung auf Konfigurieren, um Ihre Auswahl anzuwenden, und klicken Sie dann auf Schließen.