Serverzertifikatbereitstellung – Übersicht
Dieses Thema enthält folgende Abschnitte:
Serverzertifikat-Bereitstellungskomponenten
Sie können diesen Leitfaden verwenden, um Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) als Unternehmensstammzertifizierungsstelle (Root Certification Authority, CA) zu installieren und Serverzertifikate auf Servern zu registrieren, auf denen ein Netzwerkrichtlinienserver (NPS), der Routing- und RAS-Dienst (RRAS) oder NPS und RRAS ausgeführt werden.
Wenn Sie SDN mit zertifikatbasierter Authentifizierung bereitstellen, müssen Server ein Serverzertifikat verwenden, um anderen Servern ihre Identitäten nachzuweisen, damit sichere Kommunikation stattfindet.
Die folgende Abbildung zeigt die Komponenten, die zum Bereitstellen von Serverzertifikaten auf Servern in Ihrer SDN-Infrastruktur erforderlich sind.
Hinweis
In der Abbildung oben werden mehrere Server dargestellt: DC1, CA1, WEB1 und viele SDN-Server. Dieser Leitfaden enthält Anweisungen zum Bereitstellen und Konfigurieren von CA1 und WEB1 sowie zum Konfigurieren von DC1. In diesem Leitfaden wird davon ausgegangen, dass sie bereits in Ihrem Netzwerk installiert wurden. Wenn Sie Ihre Active Directory-Domäne noch nicht installiert haben, können Sie dies mithilfe des Core Network Guide für Windows Server 2016 durchführen.
Weitere Informationen zu jedem Element, das in der Abbildung oben dargestellt wird, finden Sie in den folgenden Themen:
CA1 mit der AD CS-Serverrolle
In diesem Szenario ist die Stammzertifizierungsstelle (Certification Authority, CA) des Unternehmens auch eine ausstellende Zertifizierungsstelle. Die Zertifizierungsstelle stellt Zertifikate für Servercomputer aus, die über die richtigen Sicherheitsberechtigungen zum Registrieren eines Zertifikats verfügen. Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) sind auf CA1 installiert.
Bei größeren Netzwerken oder bei Sicherheitsbedenken können Sie die Rollen der Stammzertifizierungsstelle und der ausstellenden Zertifizierungsstelle trennen und untergeordnete Zertifizierungsstellen bereitstellen, die Zertifizierungsstellen ausstellen.
In den sichersten Bereitstellungen wird die Stammzertifizierungsstelle des Unternehmens offline geschaltet und physisch gesichert.
„CAPolicy.inf“
Bevor Sie AD CS installieren, konfigurieren Sie die Datei „CAPolicy.inf“ mit bestimmten Einstellungen für Ihre Bereitstellung.
Kopie der Zertifikatvorlage für RAS- und IAS-Server
Wenn Sie Serverzertifikate bereitstellen, erstellen Sie eine Kopie der Zertifikatvorlage für RAS- und IAS-Server und konfigurieren die Vorlage dann gemäß Ihren Anforderungen und den Anleitungen in diesem Handbuch.
Sie verwenden eine Kopie der Vorlage anstelle der ursprünglichen Vorlage, damit die Konfiguration der ursprünglichen Vorlage für zukünftige Verwendung erhalten bleibt. Sie konfigurieren die Kopie der Vorlage für RAS- und IAS-Server, damit die Zertifizierungsstelle Serverzertifikate erstellen kann, die sie für die Gruppen in Active Directory-Benutzer und -Computer ausgibt, die Sie angeben.
Zusätzliche CA1-Konfiguration
Die Zertifizierungsstelle veröffentlicht eine Zertifikatsperrliste (Certificate Revocation List, CRL), die Computer überprüfen müssen, um sicherzustellen, dass Zertifikate, die als Identitätsnachweis vorgelegt werden, gültige Zertifikate sind und nicht widerrufen wurden. Sie müssen Ihre Zertifizierungsstelle mit dem richtigen Speicherort der Zertifikatsperrliste konfigurieren, damit Computer während des Authentifizierungsprozesses wissen, wo nach der Zertifikatsperrliste gesucht werden soll.
WEB1, der die Webdienste-Serverrolle (IIS) ausführt
Auf dem Computer (WEB1), auf dem die Webserver-Serverrolle (IIS) ausgeführt wird, müssen Sie einen Ordner im Windows-Explorer erstellen, der als Speicherort für die Zertifikatssperrliste und den Zugriff auf Zertifizierungsstelleninfos verwendet wird.
Virtuelles Verzeichnis für die Zertifikatssperrliste und den Zugriff auf Zertifizierungsstelleninfos
Nachdem Sie einen Ordner in Windows-Explorer erstellt haben, müssen Sie den Ordner im Internetinformationsdienste-Manager (IIS) als virtuelles Verzeichnis sowie die Zugriffssteuerungsliste für das virtuelle Verzeichnis konfigurieren, damit Computer auf den Zugriff auf Zertifizierungsstelleninfos und die Zertifikatssperrliste zugreifen können, nachdem sie dort veröffentlicht wurden.
DC1 mit den AD DS- und DNS-Serverrollen
DC1 ist der Domänencontroller und DNS-Server in Ihrem Netzwerk.
Standarddomänenrichtlinie in der Gruppenrichtlinie
Nachdem Sie die Zertifikatvorlage für die Zertifizierungsstelle konfiguriert haben, können Sie die Standarddomänenrichtlinie in der Gruppenrichtlinie konfigurieren, sodass Zertifikate automatisch bei NPS- und RAS-Servern registriert werden. Die Gruppenrichtlinie wird in AD DS auf dem Server DC1 konfiguriert.
Ressourceneintrag für DNS-Alias (CNAME)
Sie müssen einen Aliasressourceneintrag (CNAME) für den Webserver erstellen, um sicherzustellen, dass andere Computer den Server sowie den auf dem Server gespeicherten AIA und die CRL finden können. Darüber hinaus bietet die Verwendung eines Alias-CNAME-Ressourceneintrags Flexibilität, sodass Sie den Webserver für andere Zwecke wie das Hosten von Web- und FTP-Sites verwenden können.
NPS1 mit dem Netzwerkrichtlinienserver-Rollendienst der Netzwerkrichtlinien- und Zugriffsdienste-Serverrolle
Der NPS wird installiert, wenn Sie die Aufgaben im Windows Server 2016 Core Network Guide ausführen. Bevor Sie also die Aufgaben in diesem Leitfaden ausführen, sollten Sie bereits mindestens einen NPS in Ihrem Netzwerk installiert haben.
Gruppenrichtlinie angewendet und für Server registriertes Zertifikat
Nachdem Sie die Zertifikatvorlage und automatische Registrierung konfiguriert haben, können Sie die Gruppenrichtlinie auf allen Zielservern aktualisieren. Zu diesem Zeitpunkt registrieren die Server das Serverzertifikat von CA1.
Prozess der Serverzertifikatbereitstellung: Übersicht
Hinweis
Ausführliche Informationen zum Ausführen dieser Schritte finden Sie im Abschnitt Bereitstellung von Serverzertifikaten.
Der Prozess der Konfiguration der Serverzertifikatregistrierung erfolgt in den folgenden Phasen:
Installieren der Rolle „Webserver (IIS)“ auf WEB1.
Erstellen eines Aliaseintrags (CNAME) für Ihren Webserver WEB1 auf DC1.
Konfigurieren Sie Ihren Webserver so, dass die Zertifikatsperrliste von der Zertifizierungsstelle gehostet wird, veröffentlichen Sie dann die Zertifikatsperrliste, und kopieren Sie das Zertifikat der Stammzertifizierungsstelle Ihres Unternehmens in das neue virtuelle Verzeichnis.
Weisen Sie auf dem Computer, auf dem Sie AD CS installieren möchten, dem Computer eine statische IP-Adresse zu, benennen Sie den Computer um, binden Sie den Computer in die Domäne ein, und melden Sie sich dann beim Computer mit einem Benutzerkonto an, das Mitglied der Gruppen „Domänenadministratoren“ und „Unternehmensadministratoren“ ist.
Konfigurieren Sie auf dem Computer, auf dem Sie AD CS installieren möchten, die Datei „CAPolicy.inf“ mit Einstellungen, die für Ihre Bereitstellung spezifisch sind.
Installieren Sie die AD CS-Serverrolle, und führen Sie zusätzliche Konfiguration der Zertifizierungsstelle aus.
Kopieren Sie die Zertifikatsperrliste und das Zertifizierungsstellenzertifikat von CA1 in die Dateifreigabe auf dem Webserver WEB1.
Konfigurieren Sie in der Zertifizierungsstelle eine Kopie der Zertifikatvorlage für RAS- und IAS-Server. Die Zertifizierungsstelle stellt Zertifikate basierend auf einer Zertifikatvorlage aus, sodass Sie die Vorlage für das Serverzertifikat konfigurieren müssen, bevor die Zertifizierungsstelle ein Zertifikat ausstellen kann.
Konfigurieren der automatischen Registrierung von Serverzertifikaten in der Gruppenrichtlinie Wenn Sie automatische Registrierung konfigurieren, erhalten alle Server, die Sie mit Active Directory-Gruppenmitgliedschaften angegeben haben, automatisch ein Serverzertifikat, wenn die Gruppenrichtlinie auf jedem Server aktualisiert wird. Wenn Sie später weitere Server hinzufügen, erhalten diese automatisch ebenfalls ein Serverzertifikat.
Aktualisieren Sie die Gruppenrichtlinie auf den Servern. Wenn die Gruppenrichtlinie aktualisiert wird, erhalten die Server das Serverzertifikat, das auf der Vorlage basiert, die Sie im vorherigen Schritt konfiguriert haben. Dieses Zertifikat wird vom Server verwendet, um seine Identität gegenüber Clientcomputern und anderen Servern während des Authentifizierungsprozesses nachzuweisen.
Hinweis
Alle Domänenmitgliedscomputer erhalten automatisch das Zertifikat der Stammzertifizierungsstelle des Unternehmens, ohne dass automatische Registrierung konfiguriert wird. Dieses Zertifikat unterscheidet sich von dem Serverzertifikat, das Sie mithilfe von automatischer Registrierung konfigurieren und verteilen. Das Zertifikat der Zertifizierungsstelle wird automatisch im Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen für alle Domänenmitgliedscomputer installiert, damit sie den von dieser Zertifizierungsstelle ausgestellten Zertifikaten vertrauen.
Stellen Sie sicher, dass alle Server ein gültiges Serverzertifikat registriert haben.