Konfiguration der Unternehmens-Stammzertifizierungsstelle auf DC1

Bei der Installation des Windows Servers 2016 Essentials wird schon eine Unternehmens-Stammzertifizierungsstelle installiert und die ersten Zertifikate werden auch schon ausgestellt. Der gemeine Administrator bekommt von alledem reichlich wenig mit. Der komplette Vorgang geschieht im Hintergrund bei der Einrichtung völlig automatisch. In dieser Anleitung werden wir diese Stammzertifizierungsstelle etwas an unser Test Lab anpassen um später auf dem Anwendungsserver APP1 einen webbasierten CRL-Verteilungspunkt zu erstellen (CRL = Zertifikatssperrliste).

Konfiguration der Zertifikatssperrlisten-Verteilungseinstellungen

Wir melden uns an unserem Windows Server 2016 Essentials DC1 an, öffnen den Server-Manager und klicken im Admin-Menü auf Tools und dann auf Zertifizierungsstelle.

Im Detailbereich klicken wir mit der rechten Maustaste auf CONTOSO-DC1-CA und dann auf Eigenschaften.

Im Dialogfenster Eigenschaften von CONTOSO-DC1-CA klicken wir auf den Reiter Erweiterungen. Im Reiter Erweiterungen klicken wir dann auf den Button Hinzufügen.

Im Dialogfenster Ort hinzufügen geben wir im Feld Ort http://crl.corp.contoso.local/crld/ ein. Im Auswahlfeld Variable wählen wir <CaName> und klicken auf Einfügen.

Im Auswahlfeld Variable wählen wir jetzt <CRLNameSuffix> aus und klicken auf Einfügen.

Und zum letzten Mal wählen wir im Auswahlfeld Variable <DeltaCRLAllowed> aus und klicken auf Einfügen.

Im Feld Ort fügen wir am Ende des Strings noch .crl an und klicken auf OK.

Jetzt wählen wir die Optionen

  • In Sperrlisten einbeziehen. Wird z. Suche von Dateisperrlisten verwendet
  • in CDP-Erweiterung des ausgestellten Zertifikats einbeziehen.

aus. und klicken auf Übernehmen.

Im Dialogfenster Zertifizierungsstelle, in dem wir aufgefordert werden die Active Directoy Zertifizierungsdienste neu zu starten, klicken wir auf Nein.

Wir klicken erneut auf Hinzufügen.

In das Feld Ort tragen wir \\APP1\crldist$\ ein. Im Auswahlfeld Variable wählen wir <CaName> und klicken auf Einfügen.

Im Auswahlfeld Variable wählen wir <CRLNameSuffix> aus und klicken auf Einfügen.

Und letztendlich wählen wir im Auswahlfeld Variable <DeltaCRLAllowed> und klicken auf Einfügen.

m Feld Ort fügen wir am Ende des Strings noch .crl an und klicken auf OK.

Wir wählen die Optionen

  • Sperrlisten an diesem Ort veröffentlichen
  • Deltasperrlisten an diesem Ort veröffentlichen

aus und klicken auf Übernehmen.

Im Dialogfenster Zertifizierungsstelle, in dem wir aufgefordert werden die Active Directoy Zertifizierungsdienste neu zu starten, klicken wir auf Ja.

Jetzt können wir die Zertifizierungsstelle schließen.

Erstellen eines DNS-Datensatz für crl.corp.contoso.local

Im Server-Manager klicken wir im Admin-Menü auf Tools und dann auf DNS.

Im DNS-Manager erweitern wir DC1, dann den Eintrag Forward-Lookupzonen.

Mit der rechten Maustaste klicken wir auf contoso.local und wählen im im Kontextmenü Neuer Host (A oder AAAA)… aus.

Im Dialogfenster Neuer Host geben wir im Feld Name (bei Nichtangabe wird übergeordneter Domänenname verwendet) CRL ein. Im Feld IP-Adresse geben wir die IP-Adresse von APP1 hier die 192.168.56.20 ein. Anschließend klicken wir auf Host hinzufügen.

Das Dialogfenster DNS können wir mit OK bestätigen.

Jetzt können wir den DNS-Manger wieder schließen.

Konfigurieren der automatischen Registrierung eines Computerzertifikats

Im letzten Schritt legen wir noch eine Group-Policy an, mit deren Hilfe Computerzertifikate automatisch registriert und erstellt werden. Dafür öffnen wir im Server-Manager über Tools die Gruppenrichtlinienverwaltung.

Öffnen Sie in der Konsolenstruktur Forest: corp.contoso.com \ Domains \ corp.contoso.com.

In der Konsolenstruktur öffnen wir Gesamtstruktur: CONTOSO.local, dann Domänen und schließlich CONTOSO.local. Mit der rechten Maustaste klicken wir in der Konsolenstruktur auf den Eintrag Default Domain Policy und wählen im Kontextmenü Bearbeiten aus.

Im Gruppenrichtlinienverwaltungs-Editor erweitern wir Computerkonfiguration, dann Windows-Einstellungen und klicken hier auf Sicherheitseinstellungen. Im Detailbereich öffnen wir mit einem Doppelklick den Eintrag Richtlinien für öffentliche Schlüssel.

Wir klicken in den Richtlinien für öffentliche Schlüssel mit der Rechten Maustaste auf den Eintrag Einstellungen der automatischen Zertifikatsanforderung und wählen im Kontextmenü Neu -> Automatische Zertifikatsanforderung aus.

Im Assistent für automatische Zertifikatsanforderung klicken wir auf Weiter.

Im Schritt Zertifikatvorlage wählen wir Computer aus und klicken auf Weiter.

Wir schließen den Vorgang mit einem Klick auf Fertig stellen ab.

Im Gruppenrichtlinienverwaltungs-Editor wählen wir im Konsolenstamm Computerkonfiguration / Windowseinstellungen / Sicherheitseinstellungen / Lokale Richtlinie und öffnen die Sicherheitsoptionen mit einem Doppelklick.

In den Sicherheitseinstellungen öffnen wir die Richtlinie Domänenmitgliedschaft: Maximalalter von Computerkennwörtern mit einem Doppelklick.

Im Dialogfenster für die Eigenschaften von Domänenmitglied: Maximalalter von Computerkennwörtern aktivieren wir die Option Diese Richtlinieneinstellung definieren und setzen den Wert auf 999 Tage.

Anschließend können wir die Gruppenrichlinienverwaltungs-Editor und die Gruppenrichlinienverwaltung schließen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.