Freigeben über


Bereitstellungshandbuch für lokale Schlüsselvertrauensstellungen

In diesem Artikel werden die Funktionen oder Szenarien von Windows Hello for Business beschrieben, die für Folgendes gelten:


Anforderungen

Bevor Sie mit der Bereitstellung beginnen, lesen Sie die im Artikel Planen einer Windows Hello for Business-Bereitstellung beschriebenen Anforderungen.

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie beginnen:

Bereitstellungsschritte

Sobald die Voraussetzungen erfüllt sind, umfasst die Bereitstellung von Windows Hello for Business die folgenden Schritte:

Konfigurieren und Überprüfen der Public Key-Infrastruktur

Windows Hello for Business muss über eine Public Key-Infrastruktur (PKI) verfügen, wenn das Schlüsselvertrauens- oder Zertifikatvertrauensmodell verwendet wird. Die Domänencontroller müssen über ein Zertifikat verfügen, das als Vertrauensstamm für Clients dient. Das Zertifikat stellt sicher, dass Clients nicht mit nicht autorisierten Domänencontrollern kommunizieren.

Bereitstellen einer Unternehmenszertifizierungsstelle

In dieser Anleitung wird davon ausgegangen, dass die meisten Unternehmen über eine Public Key-Infrastruktur verfügen. Windows Hello for Business hängt von einer Unternehmens-PKI ab, auf der die Rolle Windows Server Active Directory-Zertifikatdienste ausgeführt wird.
Wenn Sie noch nicht über eine PKI verfügen, lesen Sie die Anleitungen für zertifizierungsstellen , um Ihre Infrastruktur ordnungsgemäß zu entwerfen. Anschließend finden Sie im Test lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy (Testumgebungshandbuch: Bereitstellen einer AD CS-Two-Tier PKI-Hierarchie ) Anweisungen zum Konfigurieren Ihrer PKI mithilfe der Informationen aus Ihrer Entwurfssitzung.

Labbasierte PKI

Die folgenden Anweisungen können verwendet werden, um eine einfache Public Key-Infrastruktur bereitzustellen, die für eine Labumgebung geeignet ist.

Melden Sie sich mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators auf einem Windows Server an, auf dem die Zertifizierungsstelle (Ca) installiert werden soll.

Hinweis

Installieren Sie niemals eine Zertifizierungsstelle auf einem Domänencontroller in einer Produktionsumgebung.

  1. Öffnen einer Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten
  2. Verwenden Sie den folgenden Befehl, um die Active Directory-Zertifikatdiensterolle zu installieren.
    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
    
  3. Verwenden Sie den folgenden Befehl, um die Zertifizierungsstelle mithilfe einer grundlegenden Konfiguration der Zertifizierungsstelle zu konfigurieren.
    Install-AdcsCertificationAuthority
    

Konfigurieren der Unternehmens-PKI

Konfigurieren von Domänencontrollerzertifikaten

Clients müssen den Domänencontrollern vertrauen, und die beste Möglichkeit, die Vertrauensstellung zu aktivieren, besteht darin, sicherzustellen, dass jeder Domänencontroller über ein Kerberos-Authentifizierungszertifikat verfügt. Durch die Installation eines Zertifikats auf den Domänencontrollern kann das Schlüsselverteilungscenter (Key Distribution Center, KDC) seine Identität gegenüber anderen Mitgliedern der Domäne nachweisen. Die Zertifikate stellen Clients einen Vertrauensstamm außerhalb der Domäne bereit, nämlich die Unternehmenszertifizierungsstelle.

Domänencontroller fordern automatisch ein Domänencontrollerzertifikat an (sofern veröffentlicht), wenn sie feststellen, dass eine Unternehmenszertifizierungsstelle zu Active Directory hinzugefügt wird. Die zertifikate, die auf den Zertifikatvorlagen Domänencontroller und Domänencontrollerauthentifizierung basieren, enthalten nicht den KDC Authentication Object Identifier (OID), der später dem Kerberos RFC hinzugefügt wurde. Daher müssen Domänencontroller ein Zertifikat anfordern, das auf der Zertifikatvorlage für die Kerberos-Authentifizierung basiert.

Standardmäßig stellt die Active Directory-Zertifizierungsstelle die Zertifikatvorlage für die Kerberos-Authentifizierung bereit und veröffentlicht sie. Die in der Vorlage enthaltene Kryptografiekonfiguration basiert auf älteren und weniger leistungsfähigen Kryptografie-APIs. Um sicherzustellen, dass Domänencontroller das richtige Zertifikat mit der besten verfügbaren Kryptografie anfordern, verwenden Sie die Zertifikatvorlage kerberos-Authentifizierung als Baseline , um eine aktualisierte Zertifikatvorlage für den Domänencontroller zu erstellen.

Wichtig

Die für die Domänencontroller ausgestellten Zertifikate müssen die folgenden Anforderungen erfüllen:

  • Die Zertifikatsperrlisten-Verteilungspunkterweiterung muss auf eine gültige Zertifikatsperrliste oder eine AIA-Erweiterung (Authority Information Access) verweisen, die auf einen Online Certificate Status Protocol (OCSP)-Antworter verweist.
  • Optional kann der Abschnitt antragsteller des Zertifikats den Verzeichnispfad des Serverobjekts (distinguished name) enthalten.
  • Der Abschnitt "Zertifikatschlüsselverwendung" muss digitale Signatur und Schlüsselverschlüsselung enthalten.
  • Optional sollte der Abschnitt Grundlegende Einschränkungen des Zertifikats Folgendes enthalten: [Subject Type=End Entity, Path Length Constraint=None]
  • Der Abschnitt zur erweiterten Schlüsselverwendung des Zertifikats muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2), Serverauthentifizierung (1.3.6.1.5.5.7.3.1) und KDC-Authentifizierung (1.3.6.1.5.2.3.5) enthalten.
  • Der Abschnitt " Alternativer Antragstellername" des Zertifikats muss den DNS-Namen (Domain Name System) enthalten.
  • Die Zertifikatvorlage muss über eine Erweiterung mit dem Wert DomainControllerverfügen, der als BMPstring codiert ist. Wenn Sie eine Windows Server Enterprise-Zertifizierungsstelle verwenden, ist diese Erweiterung bereits in der Zertifikatvorlage des Domänencontrollers enthalten.
  • Das Domänencontrollerzertifikat muss im Zertifikatspeicher des lokalen Computers installiert sein.

Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.

  1. Öffnen der Verwaltungskonsole der Zertifizierungsstelle

  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen > Verwalten.

  3. Klicken Sie in der Zertifikatvorlagenkonsole im Detailbereich mit der rechten Maustaste auf die Vorlage Kerberos-Authentifizierung, und wählen Sie Vorlage duplizieren aus.

  4. Verwenden Sie die folgende Tabelle, um die Vorlage zu konfigurieren:

    Registerkartenname Konfigurationen
    Kompatibilität
    • Deaktivieren Sie das Kontrollkästchen Resultierende Änderungen anzeigen .
    • Auswählen von Windows Server 2016 aus der Liste der Zertifizierungsstelle
    • Wählen Sie Windows 10/Windows Server 2016 aus der Liste Zertifizierungsempfänger aus.
    Allgemein
    • Geben Sie einen Vorlagenanzeigenamen an, z. B. Domänencontrollerauthentifizierung (Kerberos)
    • Legen Sie den Gültigkeitszeitraum auf den gewünschten Wert fest.
    • Notieren Sie sich den Vorlagennamen für später, der mit dem Anzeigenamen der Vorlage minus Leerzeichen identisch sein sollte.
    Antragstellername
    • Wählen Sie Aus diesen Active Directory-Informationen erstellen aus.
    • Wählen Sie in der Liste Format des Antragstellernamensdie Option Keine aus.
    • Wählen Sie DNS-Name aus der Liste Diese Informationen in alternative Antragsteller einschließen aus.
    • Alle anderen Elemente löschen
    Kryptografie
    • Festlegen der Anbieterkategorie auf Schlüsselspeicheranbieter
    • Festlegen des Algorithmusnamens auf RSA
    • Festlegen der Mindestschlüsselgröße auf 2048
    • Festlegen des Anforderungshashs auf SHA256
  5. Wählen Sie OK aus, um Ihre Änderungen abzuschließen und die neue Vorlage zu erstellen.

  6. Schließen der Konsole

Vorhandene Domänencontrollerzertifikate ablösen

Die Domänencontroller verfügen möglicherweise über ein vorhandenes Domänencontrollerzertifikat. Die Active Directory-Zertifikatdienste stellen eine Standardzertifikatvorlage für Domänencontroller bereit, die als Domänencontrollerzertifikat bezeichnet wird. In späteren Versionen von Windows Server wurde eine neue Zertifikatvorlage mit dem Namen Domänencontroller-Authentifizierungszertifikat bereitgestellt. Diese Zertifikatvorlagen wurden vor der Aktualisierung der Kerberos-Spezifikation bereitgestellt, die besagt, dass Schlüsselverteilungszentren (Key Distribution Centers, KDCs) die Zertifikatauthentifizierung durchführen, die für die KDC-Authentifizierungserweiterung erforderlich sind.

Die Zertifikatvorlage kerberos-Authentifizierung ist die aktuellste Zertifikatvorlage, die für Domänencontroller bestimmt ist, und sollte die Vorlage sein, die Sie auf allen Domänencontrollern bereitstellen.
Mit der Automatischen Registrierung können Sie die Domänencontrollerzertifikate ersetzen. Verwenden Sie die folgende Konfiguration, um ältere Domänencontrollerzertifikate mithilfe der Zertifikatvorlage kerberos-Authentifizierung durch neue zu ersetzen.

Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.

  1. Öffnen der Verwaltungskonsole der Zertifizierungsstelle
  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen > Verwalten.
  3. Klicken Sie in der Zertifikatvorlagenkonsole im Detailbereich mit der rechten Maustaste auf die Vorlage Domänencontrollerauthentifizierung (Kerberos) (oder den Namen der Zertifikatvorlage, die Sie im vorherigen Abschnitt erstellt haben) und wählen Sie Eigenschaften aus.
  4. Wählen Sie die Registerkarte Ersetzte Vorlagen aus. Wählen Sie Hinzufügen aus.
  5. Wählen Sie im Dialogfeld Abgelöste Vorlage hinzufügen die Zertifikatvorlage Domänencontroller und dann OK > Hinzufügen aus.
  6. Wählen Sie im Dialogfeld Abgelöste Vorlage hinzufügen die Zertifikatvorlage Domänencontroller-Authentifizierung aus, und wählen Sie OK aus.
  7. Wählen Sie im Dialogfeld Abgelöste Vorlage hinzufügen die Zertifikatvorlage Kerberos-Authentifizierung und dann OK aus.
  8. Fügen Sie der Registerkarte Abgelöste Vorlagen alle anderen Unternehmenszertifikatvorlagen hinzu, die zuvor für Domänencontroller konfiguriert wurden.
  9. Wählen Sie OK aus, und schließen Sie die Konsole "Zertifikatvorlagen".

Die Zertifikatvorlage ist so konfiguriert, dass sie alle in der Liste abgelösten Vorlagen bereitgestellten Zertifikatvorlagen ersetzt.
Die Zertifikatvorlage und die Ablösung von Zertifikatvorlagen sind jedoch erst aktiv, wenn die Vorlage in einer oder mehreren Zertifizierungsstellen veröffentlicht wurde.

Hinweis

Das Zertifikat des Domänencontrollers muss mit einem Stamm im NTAuth-Speicher verkettet werden. Standardmäßig wird das Stammzertifikat der Active Directory-Zertifizierungsstelle dem NTAuth-Speicher hinzugefügt. Wenn Sie eine Nicht-Microsoft-Zertifizierungsstelle verwenden, ist dies möglicherweise nicht standardmäßig möglich. Wenn das Domänencontrollerzertifikat nicht mit einem Stamm im NTAuth-Speicher verkettet wird, schlägt die Benutzerauthentifizierung fehl. Verwenden Sie den folgenden Befehl, um alle Zertifikate im NTAuth-Speicher anzuzeigen:

Certutil -viewstore -enterprise NTAuth

Konfigurieren einer zertifikatbasierten Vorlage für einen internen Webserver

Windows-Clients kommunizieren mit AD FS über HTTPS. Um diese Anforderung zu erfüllen, muss ein Serverauthentifizierungszertifikat für alle Knoten in der AD FS-Farm ausgestellt werden. Lokale Bereitstellungen können ein Serverauthentifizierungszertifikat verwenden, das von der Unternehmens-PKI ausgestellt wurde. Es muss eine Zertifikatvorlage für die Serverauthentifizierung konfiguriert werden, damit die AD FS-Knoten ein Zertifikat anfordern können.

Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.

  1. Öffnen der Verwaltungskonsole der Zertifizierungsstelle

  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen > Verwalten.

  3. Klicken Sie in der Zertifikatvorlagenkonsole im Detailbereich mit der rechten Maustaste auf die Vorlage Webserver, und wählen Sie Vorlage duplizieren aus.

  4. Verwenden Sie die folgende Tabelle, um die Vorlage zu konfigurieren:

    Registerkartenname Konfigurationen
    Kompatibilität
    • Deaktivieren Sie das Kontrollkästchen Resultierende Änderungen anzeigen .
    • Auswählen von Windows Server 2016 aus der Liste der Zertifizierungsstelle
    • Wählen Sie Windows 10/Windows Server 2016 aus der Liste Zertifizierungsempfänger aus.
    Allgemein
    • Angeben eines Vorlagenanzeigenamens, z. B. interner Webserver
    • Legen Sie den Gültigkeitszeitraum auf den gewünschten Wert fest.
    • Notieren Sie sich den Vorlagennamen für später, der mit dem Anzeigenamen der Vorlage minus Leerzeichen identisch sein sollte.
    Anforderungsverarbeitung Wählen Sie Exportieren des privaten Schlüssels zulassen aus.
    Antragstellername Wählen Sie in der Anforderung Angeben aus.
    Sicherheit Hinzufügen von Domänencomputern mit Registrierungszugriff
    Kryptografie
    • Festlegen der Anbieterkategorie auf Schlüsselspeicheranbieter
    • Festlegen des Algorithmusnamens auf RSA
    • Festlegen der Mindestschlüsselgröße auf 2048
    • Festlegen des Anforderungshashs auf SHA256
  5. Wählen Sie OK aus, um Ihre Änderungen abzuschließen und die neue Vorlage zu erstellen.

  6. Schließen der Konsole

Aufheben der Veröffentlichung abgelöster Zertifikatvorlagen

Die Zertifizierungsstelle stellt Zertifikate nur basierend auf veröffentlichten Zertifikatvorlagen aus. Aus Sicherheitsgründen empfiehlt es sich, die Veröffentlichung von Zertifikatvorlagen aufzuheben, für die die Zertifizierungsstelle nicht konfiguriert ist, einschließlich der vorab veröffentlichten Vorlagen aus der Rolleninstallation und aller abgelösten Vorlagen.

Die neu erstellte Zertifikatvorlage für die Domänencontrollerauthentifizierung ersetzt frühere Domänencontrollerzertifikatvorlagen. Aus diesem Grund müssen Sie die Veröffentlichung dieser Zertifikatvorlagen von allen ausstellenden Zertifizierungsstellen aufheben.

Melden Sie sich bei der Zertifizierungsstelle oder Verwaltungsarbeitsstation mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.

  1. Öffnen der Verwaltungskonsole der Zertifizierungsstelle
  2. Erweitern Des übergeordneten Knotens im Navigationsbereich >Zertifikatvorlagen
  3. Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage für den Domänencontroller , und wählen Sie Löschen aus. Wählen Sie im Fenster Zertifikatvorlagen deaktivieren die Option Ja aus.
  4. Wiederholen Sie Schritt 3 für die Zertifikatvorlagen Domänencontrollerauthentifizierung und Kerberos-Authentifizierung .

Veröffentlichen von Zertifikatvorlagen für die Zertifizierungsstelle

Eine Zertifizierungsstelle kann nur Zertifikate für Zertifikatvorlagen ausstellen, die in ihr veröffentlicht wurden. Wenn Sie über mehrere Zertifizierungsstellen verfügen und möchten, dass mehr Zertifizierungsstellen Zertifikate basierend auf der Zertifikatvorlage ausstellen, müssen Sie die Zertifikatvorlage für diese veröffentlichen.

Melden Sie sich bei der Zertifizierungsstelle oder den Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.

  1. Öffnen der Verwaltungskonsole der Zertifizierungsstelle
  2. Erweitern des übergeordneten Knotens über den Navigationsbereich
  3. Wählen Sie im Navigationsbereich Zertifikatvorlagen aus.
  4. Klicken Sie mit der rechten Maustaste auf den Knoten Zertifikatvorlagen. Auswählen der ausstellenden neuen > Zertifikatvorlage
  5. Wählen Sie im Fenster Zertifikatvorlagen aktivieren die Vorlagen Domänencontrollerauthentifizierung (Kerberos) und Interner Webserver aus, die Sie in den vorherigen Schritten erstellt haben. Wählen Sie OK aus, um die ausgewählten Zertifikatvorlagen bei der Zertifizierungsstelle zu veröffentlichen.
  6. Wenn Sie die Zertifikatvorlage "Domänencontrollerauthentifizierung (Kerberos)" veröffentlicht haben, heben Sie die Veröffentlichung der Zertifikatvorlagen auf, die Sie in die Liste der ersetzten Vorlagen aufgenommen haben.
    • Klicken Sie zum Aufheben der Veröffentlichung einer Zertifikatvorlage mit der rechten Maustaste auf die Zertifikatvorlage, die Sie aufheben möchten, und wählen Sie Löschen aus. Wählen Sie Ja aus, um den Vorgang zu bestätigen.
  7. Schließen der Konsole

Konfigurieren und Bereitstellen von Zertifikaten auf Domänencontrollern

Konfigurieren der automatischen Zertifikatregistrierung für die Domänencontroller

Domänencontroller fordern automatisch ein Zertifikat von der Zertifikatvorlage für den Domänencontroller an. Domänencontroller kennen jedoch keine neueren Zertifikatvorlagen oder abgelösten Konfigurationen in Zertifikatvorlagen. Damit Domänencontroller Zertifikate automatisch registrieren und erneuern können, konfigurieren Sie ein Gruppenrichtlinienobjekt für die automatische Zertifikatregistrierung, und verknüpfen Sie es mit der Organisationseinheit für Domänencontroller .

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
  2. Erweitern Sie die Domäne, und wählen Sie im Navigationsbereich den Knoten Gruppenrichtlinienobjekt aus.
  3. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekt, und wählen Sie Neu aus.
  4. Geben Sie die automatische Zertifikatregistrierung des Domänencontrollers in das Feld "Name" ein, und wählen Sie OK aus.
  5. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Domänencontroller für die automatische Zertifikatregistrierung, und wählen Sie Bearbeiten aus.
  6. Erweitern Sie im Navigationsbereich richtlinien unter Computerkonfiguration.
  7. Erweitern Sie Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel.
  8. Klicken Sie im Detailbereich mit der rechten Maustaste auf Zertifikatdienste-Client – Automatische Registrierung, und wählen Sie Eigenschaften aus.
  9. Wählen Sie in der Liste Konfigurationsmodell die Option Aktiviert aus.
  10. Aktivieren Sie das Kontrollkästchen Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und widerrufene Zertifikate entfernen .
  11. Aktivieren Sie das Kontrollkästchen Zertifikate aktualisieren, die Zertifikatvorlagen verwenden .
  12. Wählen Sie OK aus.
  13. Schließen des Gruppenrichtlinienverwaltungs-Editors

Bereitstellen des GPO für die automatische Zertifikatregistrierung des Domänencontrollers

Melden Sie sich mit den entsprechenden Anmeldeinformationen des Domänenadministrators bei Domänencontrollern oder Verwaltungsarbeitsstationen an.

  1. Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
  2. Erweitern Sie im Navigationsbereich die Domäne, und erweitern Sie den Knoten mit dem Active Directory-Domänennamen. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit Domänencontroller , und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen... aus.
  3. Wählen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen die Option Automatische Zertifikatregistrierung des Domänencontrollers oder den Namen des zuvor erstellten Gruppenrichtlinienobjekts für die Domänencontrollerzertifikatregistrierung aus.
  4. Wählen Sie OK aus.

Überprüfen der Konfiguration

Windows Hello for Business ist ein verteiltes System, das auf den ersten Blick komplex und schwierig erscheint. Der Schlüssel zu einer erfolgreichen Bereitstellung besteht darin, die Arbeitsphasen vor dem Wechsel zur nächsten Phase zu überprüfen.

Vergewissern Sie sich, dass Ihre Domänencontroller die richtigen Zertifikate und keine abgelösten Zertifikatvorlagen registrieren. Überprüfen Sie, ob jeder Domänencontroller die automatische Zertifikatregistrierung abgeschlossen hat.

Verwenden der Ereignisprotokolle

Melden Sie sich mit den entsprechenden Anmeldeinformationen des Domänenadministrators bei Domänencontrollern oder Verwaltungsarbeitsstationen an.

  1. Navigieren Sie mithilfe der Ereignisanzeige zum Ereignisprotokoll Anwendung und Dienste>Microsoft>Windows>CertificateServices-Lifecycles-System .
  2. Suchen Sie nach einem Ereignis, das eine neue Zertifikatregistrierung (automatische Registrierung) angibt:
    • Zu den Details des Ereignisses gehört die Zertifikatvorlage, für die das Zertifikat ausgestellt wurde.
    • Der Name der Zertifikatvorlage, die zum Ausstellen des Zertifikats verwendet wird, sollte mit dem Namen der Zertifikatvorlage übereinstimmen, der im Ereignis enthalten ist.
    • Der Zertifikatfingerabdruck und die EKUs für das Zertifikat sind ebenfalls im Ereignis enthalten.
    • Die für die ordnungsgemäße Windows Hello for Business-Authentifizierung erforderliche EKU ist die Kerberos-Authentifizierung, zusätzlich zu anderen EKUs, die von der Zertifikatvorlage bereitgestellt werden.

Zertifikate, die von Ihrem neuen Domänencontrollerzertifikat abgelöst werden, generieren ein Archivereignis im Ereignisprotokoll. Das Archivierungsereignis enthält den Namen der Zertifikatvorlage und den Fingerabdruck des Zertifikats, das durch das neue Zertifikat abgelöst wurde.

Zertifikat-Manager

Sie können mithilfe der Zertifikat-Manager-Konsole überprüfen, ob der Domänencontroller das Zertifikat ordnungsgemäß basierend auf der korrekten Zertifikatvorlage mit den richtigen EKU registriert hat. Verwenden Sie certlm.msc, um das Zertifikat im Zertifikatspeicher des lokalen Computers anzuzeigen. Erweitern Sie die den Speicher Privat, und zeigen Sie die Zertifikate an, die für den Computer registriert sind. Archivierte Zertifikate werden im Zertifikat-Manager nicht angezeigt.

Certutil.exe

Sie können den Befehl verwenden certutil.exe , um registrierte Zertifikate auf dem lokalen Computer anzuzeigen. Certutil zeigt registrierte und archivierte Zertifikate für den lokalen Computer an. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus:

certutil.exe -q -store my

Verwenden Sie den folgenden Befehl, um detaillierte Informationen zu den einzelnen Zertifikaten im Speicher anzuzeigen und zu überprüfen, ob die automatische Zertifikatregistrierung die richtigen Zertifikate registriert hat:

certutil.exe -q -v -store my

Problembehandlung

Windows Trigger löst die automatische Zertifikatregistrierung für den Computer während des Starts und bei Aktualisierungen der Gruppenrichtlinie aus. Sie können die Gruppenrichtlinie über eine Eingabeaufforderung mit erhöhten Rechten mithilfe von gpupdate.exe /force aktualisieren.

Alternativ können Sie die automatische Zertifikatregistrierung mit certreq.exe -autoenroll -q von einer Eingabeaufforderung mit erhöhten Rechten zwingend auslösen.

Verwenden Sie die Ereignisprotokolle, um die Zertifikatregistrierung und -archivierung zu überwachen. Überprüfen Sie die Konfiguration, z. B. das Veröffentlichen von Zertifikatvorlagen für die ausstellende Zertifizierungsstelle und die Berechtigungen für die automatische Registrierung zulassen .

Abschnittsüberprüfung und nächste Schritte

Bevor Sie mit dem nächsten Abschnitt fortfahren, stellen Sie sicher, dass die folgenden Schritte abgeschlossen sind:

  • Konfigurieren von Zertifikatvorlagen für Domänencontroller und Webserver
  • Vorhandene Domänencontrollerzertifikate ablösen
  • Aufheben der Veröffentlichung abgelöster Zertifikatvorlagen
  • Veröffentlichen der Zertifikatvorlagen für die Zertifizierungsstelle
  • Bereitstellen von Zertifikaten auf den Domänencontrollern
  • Überprüfen der Konfiguration der Domänencontroller