Freigeben über


Konfigurieren und Überprüfen der PKI in einem hybriden Zertifikatvertrauensmodell

In diesem Artikel werden die Funktionen oder Szenarien von Windows Hello for Business beschrieben, die für Folgendes gelten:


Windows Hello for Business muss über eine Public Key-Infrastruktur (PKI) verfügen, wenn die Zertifikatvertrauensmodelle verwendet werden. Die Domänencontroller müssen über ein Zertifikat verfügen, das als Vertrauensstamm für Clients dient. Das Zertifikat stellt sicher, dass Clients nicht mit nicht autorisierten Domänencontrollern kommunizieren.

Hybride Zertifikatvertrauensbereitstellungen stellen Benutzern ein Anmeldezertifikat aus, sodass sie sich mithilfe von Windows Hello for Business-Anmeldeinformationen bei Active Directory authentifizieren können. Darüber hinaus stellen Bereitstellungen mit Hybridzertifikatvertrauensstellung Zertifikate an Registrierungsstellen aus, um bei der Ausstellung von Benutzerauthentifizierungszertifikaten umfassende Sicherheit zu bieten.

Bereitstellen einer Unternehmenszertifizierungsstelle

In dieser Anleitung wird davon ausgegangen, dass die meisten Unternehmen über eine Public Key-Infrastruktur verfügen. Windows Hello for Business hängt von einer Unternehmens-PKI ab, auf der die Rolle Windows Server Active Directory-Zertifikatdienste ausgeführt wird.
Wenn Sie noch nicht über eine PKI verfügen, lesen Sie die Anleitungen für zertifizierungsstellen , um Ihre Infrastruktur ordnungsgemäß zu entwerfen. Anschließend finden Sie im Test lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy (Testumgebungshandbuch: Bereitstellen einer AD CS-Two-Tier PKI-Hierarchie ) Anweisungen zum Konfigurieren Ihrer PKI mithilfe der Informationen aus Ihrer Entwurfssitzung.

Labbasierte PKI

Die folgenden Anweisungen können verwendet werden, um eine einfache Public Key-Infrastruktur bereitzustellen, die für eine Labumgebung geeignet ist.

Melden Sie sich mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators auf einem Windows Server an, auf dem die Zertifizierungsstelle (Ca) installiert werden soll.

Hinweis

Installieren Sie niemals eine Zertifizierungsstelle auf einem Domänencontroller in einer Produktionsumgebung.

  1. Öffnen einer Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten
  2. Verwenden Sie den folgenden Befehl, um die Active Directory-Zertifikatdiensterolle zu installieren.
    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
    
  3. Verwenden Sie den folgenden Befehl, um die Zertifizierungsstelle mithilfe einer grundlegenden Konfiguration der Zertifizierungsstelle zu konfigurieren.
    Install-AdcsCertificationAuthority
    

Konfigurieren der Unternehmens-PKI

Konfigurieren von Domänencontrollerzertifikaten

Clients müssen den Domänencontrollern vertrauen, und die beste Möglichkeit, die Vertrauensstellung zu aktivieren, besteht darin, sicherzustellen, dass jeder Domänencontroller über ein Kerberos-Authentifizierungszertifikat verfügt. Durch die Installation eines Zertifikats auf den Domänencontrollern kann das Schlüsselverteilungscenter (Key Distribution Center, KDC) seine Identität gegenüber anderen Mitgliedern der Domäne nachweisen. Die Zertifikate stellen Clients einen Vertrauensstamm außerhalb der Domäne bereit, nämlich die Unternehmenszertifizierungsstelle.

Domänencontroller fordern automatisch ein Domänencontrollerzertifikat an (sofern veröffentlicht), wenn sie feststellen, dass eine Unternehmenszertifizierungsstelle zu Active Directory hinzugefügt wird. Die zertifikate, die auf den Zertifikatvorlagen Domänencontroller und Domänencontrollerauthentifizierung basieren, enthalten nicht den KDC Authentication Object Identifier (OID), der später dem Kerberos RFC hinzugefügt wurde. Daher müssen Domänencontroller ein Zertifikat anfordern, das auf der Zertifikatvorlage für die Kerberos-Authentifizierung basiert.

Standardmäßig stellt die Active Directory-Zertifizierungsstelle die Zertifikatvorlage für die Kerberos-Authentifizierung bereit und veröffentlicht sie. Die in der Vorlage enthaltene Kryptografiekonfiguration basiert auf älteren und weniger leistungsfähigen Kryptografie-APIs. Um sicherzustellen, dass Domänencontroller das richtige Zertifikat mit der besten verfügbaren Kryptografie anfordern, verwenden Sie die Zertifikatvorlage kerberos-Authentifizierung als Baseline , um eine aktualisierte Zertifikatvorlage für den Domänencontroller zu erstellen.

Wichtig

Die für die Domänencontroller ausgestellten Zertifikate müssen die folgenden Anforderungen erfüllen:

  • Die Zertifikatsperrlisten-Verteilungspunkterweiterung muss auf eine gültige Zertifikatsperrliste oder eine AIA-Erweiterung (Authority Information Access) verweisen, die auf einen Online Certificate Status Protocol (OCSP)-Antworter verweist.
  • Optional kann der Abschnitt antragsteller des Zertifikats den Verzeichnispfad des Serverobjekts (distinguished name) enthalten.
  • Der Abschnitt "Zertifikatschlüsselverwendung" muss digitale Signatur und Schlüsselverschlüsselung enthalten.
  • Optional sollte der Abschnitt Grundlegende Einschränkungen des Zertifikats Folgendes enthalten: [Subject Type=End Entity, Path Length Constraint=None]
  • Der Abschnitt zur erweiterten Schlüsselverwendung des Zertifikats muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2), Serverauthentifizierung (1.3.6.1.5.5.7.3.1) und KDC-Authentifizierung (1.3.6.1.5.2.3.5) enthalten.
  • Der Abschnitt " Alternativer Antragstellername" des Zertifikats muss den DNS-Namen (Domain Name System) enthalten.
  • Die Zertifikatvorlage muss über eine Erweiterung mit dem Wert DomainControllerverfügen, der als BMPstring codiert ist. Wenn Sie eine Windows Server Enterprise-Zertifizierungsstelle verwenden, ist diese Erweiterung bereits in der Zertifikatvorlage des Domänencontrollers enthalten.
  • Das Domänencontrollerzertifikat muss im Zertifikatspeicher des lokalen Computers installiert sein.

Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.

  1. Öffnen der Verwaltungskonsole der Zertifizierungsstelle

  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen > Verwalten.

  3. Klicken Sie in der Zertifikatvorlagenkonsole im Detailbereich mit der rechten Maustaste auf die Vorlage Kerberos-Authentifizierung, und wählen Sie Vorlage duplizieren aus.

  4. Verwenden Sie die folgende Tabelle, um die Vorlage zu konfigurieren:

    Registerkartenname Konfigurationen
    Kompatibilität
    • Deaktivieren Sie das Kontrollkästchen Resultierende Änderungen anzeigen .
    • Auswählen von Windows Server 2016 aus der Liste der Zertifizierungsstelle
    • Wählen Sie Windows 10/Windows Server 2016 aus der Liste Zertifizierungsempfänger aus.
    Allgemein
    • Geben Sie einen Vorlagenanzeigenamen an, z. B. Domänencontrollerauthentifizierung (Kerberos)
    • Legen Sie den Gültigkeitszeitraum auf den gewünschten Wert fest.
    • Notieren Sie sich den Vorlagennamen für später, der mit dem Anzeigenamen der Vorlage minus Leerzeichen identisch sein sollte.
    Antragstellername
    • Wählen Sie Aus diesen Active Directory-Informationen erstellen aus.
    • Wählen Sie in der Liste Format des Antragstellernamensdie Option Keine aus.
    • Wählen Sie DNS-Name aus der Liste Diese Informationen in alternative Antragsteller einschließen aus.
    • Alle anderen Elemente löschen
    Kryptografie
    • Festlegen der Anbieterkategorie auf Schlüsselspeicheranbieter
    • Festlegen des Algorithmusnamens auf RSA
    • Festlegen der Mindestschlüsselgröße auf 2048
    • Festlegen des Anforderungshashs auf SHA256
  5. Wählen Sie OK aus, um Ihre Änderungen abzuschließen und die neue Vorlage zu erstellen.

  6. Schließen der Konsole

Hinweis

Die Aufnahme der KDC-Authentifizierungs-OID in das Domänencontrollerzertifikat ist für hybrid eingebundene Microsoft Entra-Geräte nicht erforderlich. Die OID ist erforderlich, um die Authentifizierung mit Windows Hello for Business für lokale Ressourcen durch in Microsoft Entra eingebundene Geräte zu aktivieren.

Wichtig

Damit in Microsoft Entra eingebundene Geräte sich bei lokalen Ressourcen authentifizieren können, stellen Sie Folgendes sicher:

  • Installieren Sie das Zertifikat der Stammzertifizierungsstelle im vertrauenswürdigen Stammzertifikatspeicher des Geräts. Erfahren Sie , wie Sie ein vertrauenswürdiges Zertifikatprofil über Intune bereitstellen.
  • Veröffentlichen Ihrer Zertifikatsperrliste an einem Speicherort, der für in Microsoft Entra eingebundene Geräte verfügbar ist, z. B. eine webbasierte URL

Vorhandene Domänencontrollerzertifikate ablösen

Die Domänencontroller verfügen möglicherweise über ein vorhandenes Domänencontrollerzertifikat. Die Active Directory-Zertifikatdienste stellen eine Standardzertifikatvorlage für Domänencontroller bereit, die als Domänencontrollerzertifikat bezeichnet wird. In späteren Versionen von Windows Server wurde eine neue Zertifikatvorlage mit dem Namen Domänencontroller-Authentifizierungszertifikat bereitgestellt. Diese Zertifikatvorlagen wurden vor der Aktualisierung der Kerberos-Spezifikation bereitgestellt, die besagt, dass Schlüsselverteilungszentren (Key Distribution Centers, KDCs) die Zertifikatauthentifizierung durchführen, die für die KDC-Authentifizierungserweiterung erforderlich sind.

Die Zertifikatvorlage kerberos-Authentifizierung ist die aktuellste Zertifikatvorlage, die für Domänencontroller bestimmt ist, und sollte die Vorlage sein, die Sie auf allen Domänencontrollern bereitstellen.
Mit der Automatischen Registrierung können Sie die Domänencontrollerzertifikate ersetzen. Verwenden Sie die folgende Konfiguration, um ältere Domänencontrollerzertifikate mithilfe der Zertifikatvorlage kerberos-Authentifizierung durch neue zu ersetzen.

Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.

  1. Öffnen der Verwaltungskonsole der Zertifizierungsstelle
  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen > Verwalten.
  3. Klicken Sie in der Zertifikatvorlagenkonsole im Detailbereich mit der rechten Maustaste auf die Vorlage Domänencontrollerauthentifizierung (Kerberos) (oder den Namen der Zertifikatvorlage, die Sie im vorherigen Abschnitt erstellt haben) und wählen Sie Eigenschaften aus.
  4. Wählen Sie die Registerkarte Ersetzte Vorlagen aus. Wählen Sie Hinzufügen aus.
  5. Wählen Sie im Dialogfeld Abgelöste Vorlage hinzufügen die Zertifikatvorlage Domänencontroller und dann OK > Hinzufügen aus.
  6. Wählen Sie im Dialogfeld Abgelöste Vorlage hinzufügen die Zertifikatvorlage Domänencontroller-Authentifizierung aus, und wählen Sie OK aus.
  7. Wählen Sie im Dialogfeld Abgelöste Vorlage hinzufügen die Zertifikatvorlage Kerberos-Authentifizierung und dann OK aus.
  8. Fügen Sie der Registerkarte Abgelöste Vorlagen alle anderen Unternehmenszertifikatvorlagen hinzu, die zuvor für Domänencontroller konfiguriert wurden.
  9. Wählen Sie OK aus, und schließen Sie die Konsole "Zertifikatvorlagen".

Die Zertifikatvorlage ist so konfiguriert, dass sie alle in der Liste abgelösten Vorlagen bereitgestellten Zertifikatvorlagen ersetzt.
Die Zertifikatvorlage und die Ablösung von Zertifikatvorlagen sind jedoch erst aktiv, wenn die Vorlage in einer oder mehreren Zertifizierungsstellen veröffentlicht wurde.

Hinweis

Das Zertifikat des Domänencontrollers muss mit einem Stamm im NTAuth-Speicher verkettet werden. Standardmäßig wird das Stammzertifikat der Active Directory-Zertifizierungsstelle dem NTAuth-Speicher hinzugefügt. Wenn Sie eine Nicht-Microsoft-Zertifizierungsstelle verwenden, ist dies möglicherweise nicht standardmäßig möglich. Wenn das Domänencontrollerzertifikat nicht mit einem Stamm im NTAuth-Speicher verkettet wird, schlägt die Benutzerauthentifizierung fehl. Verwenden Sie den folgenden Befehl, um alle Zertifikate im NTAuth-Speicher anzuzeigen:

Certutil -viewstore -enterprise NTAuth

Konfigurieren einer Zertifikatvorlage für den Registrierungs-Agent

Eine Zertifikatregistrierungsstelle (Certificate Registration Authority, CRA) ist eine vertrauenswürdige Zertifizierungsstelle, die die Zertifikatanforderung überprüft. Nachdem die Anforderung überprüft wurde, wird die Anforderung der Zertifizierungsstelle zur Ausstellung präsentiert. Die Zertifizierungsstelle stellt das Zertifikat aus und gibt es an die CRA zurück, die das Zertifikat an den anfordernden Benutzer zurückgibt. Windows Hello for Business-Zertifikatvertrauensbereitstellungen verwenden AD FS als CRA.

Die CRA registriert sich für ein Registrierungs-Agent-Zertifikat. Nachdem die CRA die Zertifikatanforderung überprüft hat, signiert sie die Zertifikatanforderung mit ihrem Registrierungs-Agent-Zertifikat und sendet sie an die Zertifizierungsstelle. Die Zertifikatvorlage für die Windows Hello for Business-Authentifizierung ist so konfiguriert, dass nur Zertifikate für Zertifikatanforderungen ausgestellt werden, die mit einem Registrierungs-Agent-Zertifikat signiert wurden. Die Zertifizierungsstelle stellt nur dann ein Zertifikat für diese Vorlage aus, wenn die Registrierungsstelle die Zertifikatanforderung signiert.

Wichtig

Befolgen Sie die folgenden Verfahren basierend auf dem ad fs-Dienstkonto, das in Ihrer Umgebung verwendet wird.

Erstellen eines Registrierungs-Agent-Zertifikats für gruppenverwaltete Dienstkonten (Group Managed Service Accounts, GMSA)

Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.

  1. Öffnen der Verwaltungskonsole der Zertifizierungsstelle

  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus.

  3. Klicken Sie in der Zertifikatvorlagenkonsole mit der rechten Maustaste auf den Detailbereich der Vorlage für den Exchange-Registrierungs-Agent (Offlineanforderung), und wählen Sie Vorlage duplizieren aus.

  4. Verwenden Sie die folgende Tabelle, um die Vorlage zu konfigurieren:

    Registerkartenname Konfigurationen
    Kompatibilität
    • Deaktivieren Sie das Kontrollkästchen Resultierende Änderungen anzeigen .
    • Auswählen von Windows Server 2016 aus der Liste der Zertifizierungsstelle
    • Wählen Sie Windows 10/Windows Server 2016 aus der Liste Zertifizierungsempfänger aus.
    Allgemein
    • Angeben eines Vorlagenanzeigenamens, z. B. WHFB-Registrierungs-Agent
    • Legen Sie den Gültigkeitszeitraum auf den gewünschten Wert fest.
    Antragstellername Wählen Sie in der Anforderung Angeben aus.

    Anmerkung: Gruppenverwaltete Dienstkonten (Group Managed Service Accounts, GMSA) unterstützen die Option Aus diesen Active Directory-Informationen erstellen nicht und führen dazu, dass der AD FS-Server das Registrierungs-Agent-Zertifikat nicht registrieren kann. Sie müssen die Zertifikatvorlage mit Angeben in der Anforderung konfigurieren, um sicherzustellen, dass AD FS-Server die automatische Registrierung und Verlängerung des Registrierungs-Agent-Zertifikats durchführen können.
    Kryptografie
    • Festlegen der Anbieterkategorie auf Schlüsselspeicheranbieter
    • Festlegen des Algorithmusnamens auf RSA
    • Festlegen der Mindestschlüsselgröße auf 2048
    • Festlegen des Anforderungshashs auf SHA256
    Sicherheit
    • Wählen Sie Hinzufügen aus.
    • Wählen Sie Objekttypen aus, und aktivieren Sie das Kontrollkästchen Dienstkonten .
    • Wählen Sie OK aus.
    • Geben Sie adfssvc im Textfeld Geben Sie die zu markierenden Objektnamen ein, und wählen Sie OK aus.
    • Wählen Sie in der Liste Gruppen- oder Benutzernamen die Option adfssvc aus. Im Abschnitt Berechtigungen für adfssvc :
      • Aktivieren Sie im Abschnitt Berechtigungen für adfssvc das Kontrollkästchen Zulassen für die Berechtigung Registrieren .
      • Deaktivieren Sie mit Ausnahme des adfssvc-Benutzers das Kontrollkästchen Zulassen für die Berechtigungen Registrieren und automatische Registrierung für alle anderen Elemente in der Liste Gruppen- oder Benutzernamen .
    • Wählen Sie OK aus.
  5. Wählen Sie OK aus, um Ihre Änderungen abzuschließen und die neue Vorlage zu erstellen.

  6. Schließen der Konsole

Erstellen eines Registrierungs-Agent-Zertifikats für ein Standarddienstkonto

Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.

  1. Öffnen der Verwaltungskonsole der Zertifizierungsstelle

  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus.

  3. Klicken Sie in der Zertifikatvorlagenkonsole mit der rechten Maustaste auf den Detailbereich der Vorlage für den Exchange-Registrierungs-Agent (Offlineanforderung), und wählen Sie Vorlage duplizieren aus.

  4. Verwenden Sie die folgende Tabelle, um die Vorlage zu konfigurieren:

    Registerkartenname Konfigurationen
    Kompatibilität
    • Deaktivieren Sie das Kontrollkästchen Resultierende Änderungen anzeigen .
    • Auswählen von Windows Server 2016 aus der Liste der Zertifizierungsstelle
    • Wählen Sie Windows 10/Windows Server 2016 aus der Liste Zertifikatempfänger aus.
    Allgemein
    • Angeben eines Vorlagenanzeigenamens, z. B. WHFB-Registrierungs-Agent
    • Legen Sie den Gültigkeitszeitraum auf den gewünschten Wert fest.
    Antragstellername
    • Wählen Sie Aus diesen Active Directory-Informationen erstellen aus.
    • Wählen Sie in der Liste Format des Antragstellernamens die Option Vollständig unterschiedener Name aus.
    • Aktivieren Sie das Kontrollkästchen Benutzerprinzipalname (UPN) unter Diese Informationen in alternativen Antragstellernamen einschließen.
    Kryptografie
    • Festlegen der Anbieterkategorie auf Schlüsselspeicheranbieter
    • Festlegen des Algorithmusnamens auf RSA
    • Festlegen der Mindestschlüsselgröße auf 2048
    • Festlegen des Anforderungshashs auf SHA256
    Sicherheit
    • Wählen Sie Hinzufügen aus.
    • Wählen Sie Objekttypen aus, und aktivieren Sie das Kontrollkästchen Dienstkonten .
    • Wählen Sie OK aus.
    • Geben Sie adfssvc im Textfeld Geben Sie die zu markierenden Objektnamen ein, und wählen Sie OK aus.
    • Wählen Sie in der Liste Gruppen- oder Benutzernamen die Option adfssvc aus. Im Abschnitt Berechtigungen für adfssvc :
      • Aktivieren Sie im Abschnitt Berechtigungen für adfssvc das Kontrollkästchen Zulassen für die Berechtigung Registrieren .
      • Deaktivieren Sie mit Ausnahme des adfssvc-Benutzers das Kontrollkästchen Zulassen für die Berechtigungen Registrieren und automatische Registrierung für alle anderen Elemente in der Liste Gruppen- oder Benutzernamen .
    • Wählen Sie OK aus.
  5. Wählen Sie OK aus, um Ihre Änderungen abzuschließen und die neue Vorlage zu erstellen.

  6. Schließen der Konsole

Konfigurieren einer Windows Hello for Business-Authentifizierungszertifikatvorlage

Während der Bereitstellung von Windows Hello for Business fordern Windows-Clients ein Authentifizierungszertifikat von AD FS an, das das Authentifizierungszertifikat im Namen des Benutzers anfordert. Mit dieser Aufgabe wird die Zertifikatvorlage für die Windows Hello for Business-Authentifizierung konfiguriert.

Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.

  1. Öffnen der Verwaltungskonsole der Zertifizierungsstelle

  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus.

  3. Klicken Sie in der Zertifikatvorlagenkonsole mit der rechten Maustaste auf die Vorlage Smartcard-Anmeldung, und wählen Sie Vorlage duplizieren aus.

  4. Verwenden Sie die folgende Tabelle, um die Vorlage zu konfigurieren:

    Registerkartenname Konfigurationen
    Kompatibilität
    • Deaktivieren Sie das Kontrollkästchen Resultierende Änderungen anzeigen .
    • Auswählen von Windows Server 2016 aus der Liste der Zertifizierungsstelle
    • Wählen Sie Windows 10/Windows Server 2016 aus der Liste Zertifizierungsempfänger aus.
    Allgemein
    • Angeben eines Vorlagenanzeigenamens, z. B. WHFB-Authentifizierung
    • Legen Sie den Gültigkeitszeitraum auf den gewünschten Wert fest.
    • Notieren Sie sich den Vorlagennamen für später, der mit dem Anzeigenamen der Vorlage minus Leerzeichen identisch sein sollte.
    Antragstellername
    • Wählen Sie Aus diesen Active Directory-Informationen erstellen aus.
    • Wählen Sie in der Liste Format des Antragstellernamens die Option Vollständig unterschiedener Name aus.
    • Aktivieren Sie das Kontrollkästchen Benutzerprinzipalname (UPN) unter Diese Informationen in alternativen Antragstellernamen einschließen.
    Kryptografie
    • Festlegen der Anbieterkategorie auf Schlüsselspeicheranbieter
    • Festlegen des Algorithmusnamens auf RSA
    • Festlegen der Mindestschlüsselgröße auf 2048
    • Festlegen des Anforderungshashs auf SHA256
    Extensions Überprüfen Sie, ob die Erweiterung für Anwendungsrichtliniendie Smartcardanmeldung enthält.
    Ausstellungsanforderungen
    • Aktivieren Sie das Kontrollkästchen Diese Anzahl autorisierter Signaturen . Geben Sie 1 in das Textfeld ein.
    • Wählen Sie anwendungsrichtlinie aus dem Richtlinientyp aus, der für die Signatur erforderlich ist.
    • Wählen Sie in der Anwendungsrichtlinienliste den Zertifikatanforderungs-Agent aus.
    • Wählen Sie die Option Gültiges vorhandenes Zertifikat aus.
    Anforderungsverarbeitung Aktivieren Sie das Kontrollkästchen Mit demselben Schlüssel verlängern .
    Sicherheit
    • Wählen Sie Hinzufügen aus.
    • Ziel einer Active Directory-Sicherheitsgruppe, die die Benutzer enthält, die Sie bei Windows Hello for Business registrieren möchten. Wenn Sie beispielsweise über eine Gruppe namens Window Hello for Business Users verfügen, geben Sie sie in das Textfeld Geben Sie die zu markierenden Objektnamen ein, und wählen Sie OK aus.
    • Wählen Sie die Windows Hello for Business-Benutzer aus der Liste Gruppen- oder Benutzernamen aus . Im Abschnitt Berechtigungen für Windows Hello for Business-Benutzer :
      • Aktivieren Sie das Kontrollkästchen Zulassen für die Berechtigung Registrieren .
      • Deaktivieren Sie mit Ausnahme der obigen Gruppe (z. B. Windows Hello for Business-Benutzer) das Kontrollkästchen Zulassen für die Berechtigungen Registrieren und automatische Registrierung für alle anderen Einträge im Abschnitt Gruppen- oder Benutzernamen , wenn die Kontrollkästchen noch nicht deaktiviert sind.
    • Wählen Sie OK aus.
  5. Wählen Sie OK aus, um Ihre Änderungen abzuschließen und die neue Vorlage zu erstellen.

  6. Schließen der Konsole

Kennzeichnen der Vorlage als Windows Hello-Anmeldevorlage

Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.

Öffnen Sie ein Eingabeaufforderungsende mit erhöhten Rechten, führen Sie den folgenden Befehl aus.

certutil.exe -dsTemplate WHFBAuthentication msPKI-Private-Key-Flag +CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY

Wenn die Vorlage erfolgreich geändert wurde, enthält die Ausgabe des Befehls alte und neue Werte der Vorlagenparameter. Der neue Wert muss den CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY Parameter enthalten. Beispiel:

CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=[yourdomain]:WHFBAuthentication

Old Value:
msPKI-Private-Key-Flag REG_DWORD = 5050080 (84213888)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)

New Value:
msPKI-Private-Key-Flag REG_DWORD = 5250080 (86311040)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY -- 200000 (2097152)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
CertUtil: -dsTemplate command completed successfully."

Hinweis

Wenn Sie Ihrer Windows Hello for Business-Authentifizierungszertifikatvorlage einen anderen Namen gegeben haben, ersetzen Sie WHFBAuthentication im obigen Befehl durch den Namen Ihrer Zertifikatvorlage. Es ist wichtig, dass Sie den Namen der Vorlage und nicht den Vorlagenanzeigename verwenden. Sie können den Namen der Vorlage auf der Registerkarte Allgemein der Zertifikatvorlage mithilfe der Verwaltungskonsole für Zertifikatvorlagen (certtmpl.msc) anzeigen.

Aufheben der Veröffentlichung abgelöster Zertifikatvorlagen

Die Zertifizierungsstelle stellt Zertifikate nur basierend auf veröffentlichten Zertifikatvorlagen aus. Aus Sicherheitsgründen empfiehlt es sich, die Veröffentlichung von Zertifikatvorlagen aufzuheben, für die die Zertifizierungsstelle nicht konfiguriert ist, einschließlich der vorab veröffentlichten Vorlagen aus der Rolleninstallation und aller abgelösten Vorlagen.

Die neu erstellte Zertifikatvorlage für die Domänencontrollerauthentifizierung ersetzt frühere Domänencontrollerzertifikatvorlagen. Aus diesem Grund müssen Sie die Veröffentlichung dieser Zertifikatvorlagen von allen ausstellenden Zertifizierungsstellen aufheben.

Melden Sie sich bei der Zertifizierungsstelle oder Verwaltungsarbeitsstation mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.

  1. Öffnen der Verwaltungskonsole der Zertifizierungsstelle
  2. Erweitern Des übergeordneten Knotens im Navigationsbereich >Zertifikatvorlagen
  3. Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage für den Domänencontroller , und wählen Sie Löschen aus. Wählen Sie im Fenster Zertifikatvorlagen deaktivieren die Option Ja aus.
  4. Wiederholen Sie Schritt 3 für die Zertifikatvorlagen Domänencontrollerauthentifizierung und Kerberos-Authentifizierung .

Veröffentlichen der Zertifikatvorlagen für die Zertifizierungsstelle

Eine Zertifizierungsstelle kann nur Zertifikate für Zertifikatvorlagen ausstellen, die in ihr veröffentlicht wurden. Wenn Sie über mehrere Zertifizierungsstellen verfügen und möchten, dass mehr Zertifizierungsstellen Zertifikate basierend auf der Zertifikatvorlage ausstellen, müssen Sie die Zertifikatvorlage für diese veröffentlichen.

Melden Sie sich bei der Zertifizierungsstelle oder den Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.

  1. Öffnen der Verwaltungskonsole der Zertifizierungsstelle
  2. Erweitern des übergeordneten Knotens über den Navigationsbereich
  3. Wählen Sie im Navigationsbereich Zertifikatvorlagen aus.
  4. Klicken Sie mit der rechten Maustaste auf den Knoten Zertifikatvorlagen. Auswählen der ausstellenden neuen > Zertifikatvorlage
  5. Wählen Sie im Fenster Zertifikatvorlagen aktivieren die Vorlagen Domänencontrollerauthentifizierung (Kerberos), WHFB-Registrierungs-Agent und WHFB-Authentifizierung aus, die Sie in den vorherigen Schritten > erstellt haben, auf OK.
  6. Schließen der Konsole

Wichtig

Wenn Sie in Microsoft Entra eingebundene Geräte bereitstellen und bei der Anmeldung mit Windows Hello for Business das einmalige Anmelden (Single Sign-On, SSO) für lokale Ressourcen benötigen, befolgen Sie die Verfahren zum Aktualisieren Ihrer Zertifizierungsstelle, um einen http-basierten CRL-Verteilungspunkt einzuschließen.

Konfigurieren und Bereitstellen von Zertifikaten auf Domänencontrollern

Konfigurieren der automatischen Zertifikatregistrierung für die Domänencontroller

Domänencontroller fordern automatisch ein Zertifikat von der Zertifikatvorlage für den Domänencontroller an. Domänencontroller kennen jedoch keine neueren Zertifikatvorlagen oder abgelösten Konfigurationen in Zertifikatvorlagen. Damit Domänencontroller Zertifikate automatisch registrieren und erneuern können, konfigurieren Sie ein Gruppenrichtlinienobjekt für die automatische Zertifikatregistrierung, und verknüpfen Sie es mit der Organisationseinheit für Domänencontroller .

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
  2. Erweitern Sie die Domäne, und wählen Sie im Navigationsbereich den Knoten Gruppenrichtlinienobjekt aus.
  3. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekt, und wählen Sie Neu aus.
  4. Geben Sie die automatische Zertifikatregistrierung des Domänencontrollers in das Feld "Name" ein, und wählen Sie OK aus.
  5. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Domänencontroller für die automatische Zertifikatregistrierung, und wählen Sie Bearbeiten aus.
  6. Erweitern Sie im Navigationsbereich richtlinien unter Computerkonfiguration.
  7. Erweitern Sie Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel.
  8. Klicken Sie im Detailbereich mit der rechten Maustaste auf Zertifikatdienste-Client – Automatische Registrierung, und wählen Sie Eigenschaften aus.
  9. Wählen Sie in der Liste Konfigurationsmodell die Option Aktiviert aus.
  10. Aktivieren Sie das Kontrollkästchen Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und widerrufene Zertifikate entfernen .
  11. Aktivieren Sie das Kontrollkästchen Zertifikate aktualisieren, die Zertifikatvorlagen verwenden .
  12. Wählen Sie OK aus.
  13. Schließen des Gruppenrichtlinienverwaltungs-Editors

Bereitstellen des GPO für die automatische Zertifikatregistrierung des Domänencontrollers

Melden Sie sich mit den entsprechenden Anmeldeinformationen des Domänenadministrators bei Domänencontrollern oder Verwaltungsarbeitsstationen an.

  1. Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
  2. Erweitern Sie im Navigationsbereich die Domäne, und erweitern Sie den Knoten mit dem Active Directory-Domänennamen. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit Domänencontroller , und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen... aus.
  3. Wählen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen die Option Automatische Zertifikatregistrierung des Domänencontrollers oder den Namen des zuvor erstellten Gruppenrichtlinienobjekts für die Domänencontrollerzertifikatregistrierung aus.
  4. Wählen Sie OK aus.

Überprüfen der Konfiguration

Windows Hello for Business ist ein verteiltes System, das auf den ersten Blick komplex und schwierig erscheint. Der Schlüssel zu einer erfolgreichen Bereitstellung besteht darin, die Arbeitsphasen vor dem Wechsel zur nächsten Phase zu überprüfen.

Vergewissern Sie sich, dass Ihre Domänencontroller die richtigen Zertifikate und keine abgelösten Zertifikatvorlagen registrieren. Überprüfen Sie, ob jeder Domänencontroller die automatische Zertifikatregistrierung abgeschlossen hat.

Verwenden der Ereignisprotokolle

Melden Sie sich mit den entsprechenden Anmeldeinformationen des Domänenadministrators bei Domänencontrollern oder Verwaltungsarbeitsstationen an.

  1. Navigieren Sie mithilfe der Ereignisanzeige zum Ereignisprotokoll Anwendung und Dienste>Microsoft>Windows>CertificateServices-Lifecycles-System .
  2. Suchen Sie nach einem Ereignis, das eine neue Zertifikatregistrierung (automatische Registrierung) angibt:
    • Zu den Details des Ereignisses gehört die Zertifikatvorlage, für die das Zertifikat ausgestellt wurde.
    • Der Name der Zertifikatvorlage, die zum Ausstellen des Zertifikats verwendet wird, sollte mit dem Namen der Zertifikatvorlage übereinstimmen, der im Ereignis enthalten ist.
    • Der Zertifikatfingerabdruck und die EKUs für das Zertifikat sind ebenfalls im Ereignis enthalten.
    • Die für die ordnungsgemäße Windows Hello for Business-Authentifizierung erforderliche EKU ist die Kerberos-Authentifizierung, zusätzlich zu anderen EKUs, die von der Zertifikatvorlage bereitgestellt werden.

Zertifikate, die von Ihrem neuen Domänencontrollerzertifikat abgelöst werden, generieren ein Archivereignis im Ereignisprotokoll. Das Archivierungsereignis enthält den Namen der Zertifikatvorlage und den Fingerabdruck des Zertifikats, das durch das neue Zertifikat abgelöst wurde.

Zertifikat-Manager

Sie können mithilfe der Zertifikat-Manager-Konsole überprüfen, ob der Domänencontroller das Zertifikat ordnungsgemäß basierend auf der korrekten Zertifikatvorlage mit den richtigen EKU registriert hat. Verwenden Sie certlm.msc, um das Zertifikat im Zertifikatspeicher des lokalen Computers anzuzeigen. Erweitern Sie die den Speicher Privat, und zeigen Sie die Zertifikate an, die für den Computer registriert sind. Archivierte Zertifikate werden im Zertifikat-Manager nicht angezeigt.

Certutil.exe

Sie können den Befehl verwenden certutil.exe , um registrierte Zertifikate auf dem lokalen Computer anzuzeigen. Certutil zeigt registrierte und archivierte Zertifikate für den lokalen Computer an. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus:

certutil.exe -q -store my

Verwenden Sie den folgenden Befehl, um detaillierte Informationen zu den einzelnen Zertifikaten im Speicher anzuzeigen und zu überprüfen, ob die automatische Zertifikatregistrierung die richtigen Zertifikate registriert hat:

certutil.exe -q -v -store my

Problembehandlung

Windows Trigger löst die automatische Zertifikatregistrierung für den Computer während des Starts und bei Aktualisierungen der Gruppenrichtlinie aus. Sie können die Gruppenrichtlinie über eine Eingabeaufforderung mit erhöhten Rechten mithilfe von gpupdate.exe /force aktualisieren.

Alternativ können Sie die automatische Zertifikatregistrierung mit certreq.exe -autoenroll -q von einer Eingabeaufforderung mit erhöhten Rechten zwingend auslösen.

Verwenden Sie die Ereignisprotokolle, um die Zertifikatregistrierung und -archivierung zu überwachen. Überprüfen Sie die Konfiguration, z. B. das Veröffentlichen von Zertifikatvorlagen für die ausstellende Zertifizierungsstelle und die Berechtigungen für die automatische Registrierung zulassen .

Abschnittsüberprüfung und nächste Schritte

Bevor Sie mit dem nächsten Abschnitt fortfahren, stellen Sie sicher, dass die folgenden Schritte abgeschlossen sind:

  • Konfigurieren von Domänencontrollerzertifikaten
  • Vorhandene Domänencontrollerzertifikate ablösen
  • Aufheben der Veröffentlichung abgelöster Zertifikatvorlagen
  • Konfigurieren einer Zertifikatvorlage für den Registrierungs-Agent
  • Konfigurieren einer Authentifizierungszertifikatvorlage
  • Veröffentlichen der Zertifikatvorlagen für die Zertifizierungsstelle
  • Bereitstellen von Zertifikaten auf den Domänencontrollern
  • Überprüfen der Konfiguration der Domänencontroller