Bereitstellung planen

Die Active Directory-Zertifikatsdienste können, aber sollten nicht unbedingt, auf einem Domänencontroller installiert werden. Der Idealfall ist sicherlich ein eigener Server, der lediglich für die Zertifizierungsstelle zuständig ist. Ich habe dafür virtuell (Hyper-V Gen 2) einen Windows Server 2019 Core (ohne Desktopdarstellung) mit einer 50 GB großen Systempartition installiert und die üblichen ersten Schritte (Netzwerkkonfiguration, Domänenbeitritt, Windows Updates installieren…) durchgeführt. Mehr zum Thema Installation und Verwaltung eines Core Servers, gibt es in meinem Blogbeitrag „Windows Server 2019 als Core Server installieren„. Für Installation und soweit möglich Administration, verwende ich den Server-Manager und entsprechende MMC-SnapIns bzw. MSC-Dateien auf einem anderen Server.

Active Directory-Zertifikatsdienste installieren


  • Im Server-Manager “Rollen und Features hinzufügen” auswählen


  • Weiter klicken


  • Rollenbasierte oder featurebasierte Installation auswählen


  • Bei Zielserver die Standardeinstellung belassen


  • Bei Serverrolle muss Active Directory-Zertifikatsdienste gewählt werden


  • Die Remoteserver-Verwaltungstools sollten mitinstalliert werden


  • Es sind keine weiteren Features nötig. Weiter klicken


  • Ein wichtiger Hinweis: Der Name des Computers kann nach der Installation nicht mehr geändert werden


  • Bei Rollendienste muss die Rolle Zertifizierungsstelle gewählt werden


  • Alles überprüfen und auf Installieren klicken


  • Die Installation ist abgeschlossen


Zertifizierungsstelle (CA) installieren

  • Nach dem Abschluss der Installation der Serverrolle muss die CA konfiguriert werden. Dafür klickt man auf den Link im Server-Manager


  • Jetzt muss sichergestellt sein, dass die Rechte ausreichen, um eine CA in Betrieb zu nehmen. Der Benutzer muss Mitglied der Gruppe Organisations-Admins (Enterprise-Admins) sein


  • Danach wählt man Zertifizierungsstelle


  • Wie anfangs beschreiben wird eine Active Directory integrierte CA installiert. Daher muss hier Unternehmenszertifizierungsstelle gewählt werden


  • Da es keine andere CA gibt, wählt man Stammzertifzierungsstelle


  • Wir benötigen für eine Root-CA einen neuen privaten Schlüssel


  • SHA1 wird nicht empfohlen. SHA256 sollte ausreichen. Das wird auch vorgeschlagen


  • Hier wählt man einen Namen für die CA - in diesem Fall CA-PAGR


  • Die Gültigkeitsdauer kann erhöht werden - sollte die Gültigkeit ablaufen muss das Zertifikat neu erstellt werden


  • Den Speicherort der Datenbank bestätigen


  • Wichtig: Bevor man auf Konfigurieren klickt sollte man sich alle Eingaben noch einmal genau durchlesen, vor allem den Hashalgorithmus und den Namen der CA


  • Ein grünes Häkchen ist ein gutes Zeichen



  • Fertig.



Erste Schritte


  • Im Server-Manger unter Tools – Zertifizierungsstelle kann man das Snap-In zur Verwaltung der CA öffnen. Oder man gibt in Ausführen certsrv.msc ein


  • Und schon erscheint die neue CA. Es sind auch bereits einige Zertifikatsvorlagen vorkonfiguriert


  • Öffnet man auf einem Domain-Controller der Domäne adsiedit.msc dann kann man in der Konfigurationspartition des Forest die CA unter “CN=Konfiguration,CN=Services,CN=Public Key Services,CN=Certification Authorities” finden


Überprüfung der Client-Computer


  • Auf den Client-Computern der Domäne sollte – spätestens nach einem Neustart – das Zertifikat der neuen CA in den Vertrauenswürdigen Stammzertifizierungsstellen auftauchen. Um das zu überprüfen gibt man am Client oder auf einem Member-Server in Ausführen certmgr.msc ein


  • Unter Vertrauenswürdige Stammzertifizierungsstellen – Zertifikate befindet sich der Public Key der neu installierten CA. Das Root Zertifikat wird per GPO an alle Client-Computer verteilt

  • Damit ist sichergestellt, dass alle Active Directory Computer der CA vertrauen
  • schoolroam/adcacert.txt
  • Zuletzt geändert: 20.10.2023 19:40
  • von adminfiit