Windows Server 2008 R2 Active Directory Zertifikatdienste 3/3 - Webregistrierung

Webregistrierung ist ein schöner Kompromiss zwischen der manuellen und der automatischen Registrierung. Es ist deutlich komfortabler für einen Client, ein Zertifikat über eine Webseite zu beantragen als die Schritte über die Microsoft Management Konsole auszuführen, aber es passiert auch nicht vollautomatisch wie über Gruppenrichtlinien.

  1. Öffne den Server Manager und unter Rollen die Active Directory Zertifikatdienste. Hier kannst du jetzt weitere Rollendiesten hinzufügen.
  2. Wähle die Zertifizierungsstellen-Webregistrierung aus. Die dazugehörigen IIS Dienste musst du ebenfalls wie vorgeschlagen installieren.
  3. Ist die Installation fertiggestellt, musst du SSL im IIS aktivieren. Öffne dazu die IIS Konsole über Start -> Verwaltung -> Internetinformationsdienste (IIS)-Manager.
  4. Wenn du diesen bis zur Default Website aufblätterst siehst du, dass eine Seite namens CertSrv installiert wurde. Wenn du jetzt versuchst für diese Webseite SSL zu aktivieren, wird das nicht gehen, weil für die Default Website keine entsprechende Bindung eingerichtet wurde. Um aber eine Bindung einzurichten, benötigst du ein Zertifikat. Der erste Schritt muss also sein, ein Zertifikat zu erstellen.
  5. Wir können dafür in der IIS Konsole bleiben, müssen aber wieder auf die höchste Ebene gehen und dort den Server auswählen. Dort ist nämlich ein Menüpunkt zu finden der sich Serverzertifikate nennt.
  6. Hier gibt es die Möglichkeit sowohl ein selbstsigniertes Zertifikat als auch ein Domänenzertifikat zu erstellen. Uns interessiert natürlich das Domänenzertifikat.
  7. Hier müssen einige Daten angegeben werden, die man sich im einem Testfall natürlich noch ausdenken kann.
  8. Als Online Zertifizierungsstelle wählen wir über "Auswählen" unseren Zertifizierungsserver, also denselben auf dem wir uns gerade befinden
  9. und als Anzeigename können wir etwas einprägsames oder verständliches nehmen, z.B. den FQDN (Fully Qualified Domain Name).
  10. Jetzt kann eine Bindung unter Default Website -> Bindungen erstellt werden.
  11. Wähle als Typ https, lass die IP-Adresse nicht zugewiesen, belass den Port auf 443 und wähle das erstellte SSL-Zertifikat aus.
  12. Bestätige mit OK und schließ dann den Bindungsdialog.
  13. Mit einer eingerichteten Bindung kannst du jetzt die CertSrv Seite anklicken und dort unter SSL Einstellungen die Verschlüsselung aktivieren.
  14. Setz einen Haken bei SSL erforderlich und belasse den Radiobutton bei Clientzertifikate auf Ignorieren.
  15. Klick rechts auf Übernehmen und schon sind die Grundeinstellungen erledigt.

Jetzt können wir das ganze testen.

  1. Dazu loggen wir uns auf einem Client ein und öffnen die Seite mit https://[deinzertifizierungsserver]/certsrv. Vermutlich wird eine Warnung angezeigt und du musst die (nicht empfohlene) Aktion Laden fortsetzen anklicken um die Seite angezeigt zu bekommen.
  2. Der Rest geht so ziemlich automatisch. Klicke auf Ein Zertifikat anfordern -> Benutzerzertifikat -> Einsenden -> Dieses Zertifikat installieren. Die zwischenzeitlich auftauchenden Sicherheitsnachfragen kannst du natürlich alle bejahen.

Der Client hat jetzt ein Zertifikat bezogen.

<-- Zurück | Weiter -->