Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was ist .NET?
6 Installation
7 Die Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint Foundation und SharePoint Server
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
Stichwort

Buch bestellen
Ihre Meinung?

Spacer
Windows Server 2012 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2012 R2

Windows Server 2012 R2
Rheinwerk Computing
1392 S., 4., aktualisierte Auflage 2014, geb.
59,90 Euro, ISBN 978-3-8362-2013-2
Pfeil 12 Active Directory-Zertifikatdienste
Pfeil 12.1 Einige Anwendungsszenarien
Pfeil 12.1.1 Internet-Authentifizierung und Verschlüsselung
Pfeil 12.1.2 Sichere E-Mail
Pfeil 12.1.3 Codesignatur
Pfeil 12.1.4 IP-Verschlüsselung
Pfeil 12.1.5 Anmeldung mit Smartcard
Pfeil 12.1.6 Wireless Authentification (802.1X)
Pfeil 12.1.7 Fazit
Pfeil 12.2 Zertifikatdienste installieren und Migration (einstufige Architektur)
Pfeil 12.3 Zertifikate aus Sicht des Clients
Pfeil 12.4 Zertifizierungspfad
Pfeil 12.5 Zertifikatvorlagen
Pfeil 12.6 Weboberfläche
Pfeil 12.7 Mehrstufige Architekturen
Pfeil 12.7.1 Rollen
Pfeil 12.7.2 Architekturen
Pfeil 12.8 Autoenrollment und automatische Zertifikatanforderung
Pfeil 12.8.1 Automatische Zertifikatanforderung
Pfeil 12.8.2 Autoenrollment
Pfeil 12.9 Zertifikate für Websites
Pfeil 12.10 Zertifikatsperrlisten
Pfeil 12.10.1 Funktionsweise – ganz grob
Pfeil 12.10.2 Sperrlisteneinträge
Pfeil 12.10.3 Gültigkeit einer Sperrliste
Pfeil 12.10.4 Zertifikatgültigkeit überprüfen
Pfeil 12.10.5 Der Cache
Pfeil 12.10.6 ISA Server zum Veröffentlichen des Speicherortes verwenden
Pfeil 12.11 Das Online Certificate Status Protocol (OCSP)
Pfeil 12.11.1 Konfiguration des Online-Responders
Pfeil 12.11.2 Anpassung der Zertifizierungsstelle
Pfeil 12.11.3 Testen
Pfeil 12.11.4 ISA Server-Veröffentlichung
Pfeil 12.12 Zweistufige Architektur implementieren
Pfeil 12.12.1 Offline-CA installieren und konfigurieren
Pfeil 12.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver und dem Active Directory hinzufügen
Pfeil 12.12.3 Unternehmens-CA installieren
Pfeil 12.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen
Pfeil 12.13 Zertifikate und Windows Mobile
Pfeil 12.13.1 Pocket PC und Pocket PC Phone Edition
Pfeil 12.13.2 Smartphone
Pfeil 12.14 Zertifikate und das iPhone

Galileo Computing - Zum Seitenanfang

12.3 Zertifikate aus Sicht des Clients

Eine Stammzertifizierungsstelle zu haben ist zwar sehr schön, bringt aber nur sehr wenig, wenn Sie keine Zertifikate damit ausstellen. Es gibt viele verschiedene Wege, um ein Zertifikat auf einen Client zu bringen. Ich werde Ihnen in diesem Abschnitt einige vorstellen.

Zunächst beginnen wir aber mit einem Zertifikat, das Sie auf Ihren Clients nicht mehr installieren müssen – weil es schon da ist. Das Zertifikat der im Active Directory als Stammzertifizierungsstelle installierten Zertifizierungsstelle (Enterprise CA) wird, ohne dass Sie etwas daran tun müssen, auf alle Domänenmitglieder (Domänencontroller, Mitgliedsserver, Clients) verteilt. Haben Sie Zweifel? Dann schauen Sie doch im MMC Snap-In Zertifikate nach. In Abbildung 12.23 können Sie erkennen, dass das eigene Zertifikat tatsächlich neben den Stammzertifikaten solch illustrer Unternehmen wie Microsoft und Verisign einsortiert worden ist.

Abbildung

Abbildung 12.23 Das Zertifikat der eigenen Stammzertifizierungsstelle wird automatisch auf allen Computern der Domäne installiert.

Nun wird der Benutzer für einige Anwendungsfälle (z. B. Verschlüsseln und Signieren von E-Mails, EFS-Dateisystemverschlüsselung etc.) ein Benutzerzertifikat benötigen. Auch dies lässt sich auf verschiedene Weisen realisieren. Beispielsweise kann jeder Benutzer über das MMC-Snap-In Zertifikate ein Benutzerzertifikat anfordern, das dann im selben Arbeitsgang auch gleich installiert wird. Wie das gemacht wird, können Sie in Abbildung 12.24 sehen.

Wie üblich startet ein Assistent, mit dem zunächst der Typ des Zertifikats gewählt werden kann (Abbildung 12.25). Angezeigt werden hier nur die Zertifikate, zu denen der Benutzer berechtigt ist – mehr dazu folgt in Abschnitt 12.5, »Zertifikatvorlagen«.

Auf diese Weise lassen sich übrigens nicht nur Benutzerzertifikate, sondern auch solche für Computer anfordern.

Abbildung

Abbildung 12.24 Ein Benutzer kann mit dem Snap-In ein neues Zertifikat anfordern.

Abbildung

Abbildung 12.25 Zunächst muss der Typ des Zertifikats ausgewählt werden.

Das Snap-In ermittelt zunächst im Active Directory, wo sich eine Zertifizierungsstelle befindet. Anschließend wird das Zertifikat angefordert. Wenn die Zertifizierungsstelle so konfiguriert ist, dass Zertifikatsanforderungen automatisch verarbeitet werden, ist das Zertifikat wenige Sekunden später ausgestellt und installiert. Es sollte so aussehen wie in Abbildung 12.26.

Abbildung

Abbildung 12.26 Das Anfordern und Installieren des Zertifikats war erfolgreich, wenn diese Meldung angezeigt wird.

Das neu ausgestellte Zertifikat wird sich im Zertifikate-Snap-In unter Eigene Zertifikate · Zertifikate finden. Sie können Details zu dem ausgestellten Zertifikat in dessen Eigenschaftendialog einsehen, beispielsweise (Abbildung 12.27):

  • Das Zertifikat ist für die Verschlüsselung von Dateien, für das Signieren und Verschlüsseln von E-Mails und für die Authentifizierung geeignet.
  • Das Zertifikat ist ein Jahr gültig.
  • Der Benutzer besitzt den privaten Schlüssel für das Zertifikat. Andere Benutzer können und sollen über den öffentlichen Schlüssel verfügen (z. B. um Mails für dessen Besitzer zu verschlüsseln), der private Schlüssel ist aber nur einem Benutzer vorbehalten.

Der öffentliche Teil der Benutzerzertifikate wird nicht nur auf dem Computer, mit dem das Zertifikat angefordert wurde, sondern auch im Active Directory gespeichert. Dies dient folgendem Zweck: Benötigt ein anderer Benutzer den öffentlichen Schlüssel des Zertifikats, kann dies mittels des Active Directory realisiert werden. Dies wird beispielsweise genutzt, wenn ein Outlook-Client eine E-Mail für einen anderen Benutzer verschlüsseln möchte.

In Abbildung 12.28 sehen Sie in ADSI-Editor, dass das Zertifikat im Benutzerobjekt abgelegt ist – und zwar wird das Attribut userCertificate verwendet. Wenn, wie in der Abbildung, mehrere Zertifikate für diesen Benutzer vorhanden sind, werden sie alle in ADSI-Editor angezeigt.

Abbildung

Abbildung 12.27 Das neu erstellte Zertifikat kann im »Zertifikate«-Snap-In eingesehen werden.

Abbildung

Abbildung 12.28 Benutzerzertifikate werden im Active Directory gespeichert – hier gezeigt mit ADSI-Editor.

Sie können das ausgestellte Zertifikat übrigens auch über das Konfigurationswerkzeug der Zertifizierungsstelle sehen. Unterhalb des Knotens Ausgestellte Zertifikate wird es verzeichnet sein (Abbildung 12.29). Im Kontextmenü kann das Zertifikat beispielsweise exportiert und auch gesperrt werden. Das Sperren eines Zertifikats ist beispielsweise dann notwendig, wenn ein Mitarbeiter das Unternehmen verlässt oder das Zertifikat gestohlen worden ist (z. B. gemeinsam mit einem Notebook).

Abbildung

Abbildung 12.29 Ausgestellte Zertifikate werden im Konfigurationswerkzeug für die Zertifizierungsstelle angezeigt.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.

>> Zum Feedback-Formular
<< zurück




Copyright © Rheinwerk Verlag GmbH, Bonn 2014
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de


  Zum Katalog
Zum Katalog: Windows Server 2012 R2






Windows Server 2012 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Office 365






 Office 365


Zum Katalog: Microsoft Hyper-V






 Microsoft Hyper-V


Zum Katalog: Linux-Server






 Linux-Server


Zum Katalog: Vmware vSphere 5






 Vmware vSphere 5


Zum Katalog: Windows 8 für Administratoren






 Windows 8 für
 Administratoren


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo