Windows Server 2003 Zertifikatsdienste

Vorwort
Mithilfe einer PKI kann die Sicherheit eines Unternehmensnetzwerkes erheblich verbessert werden. Windows Server
2003 umfasst Zertifikatsdienste, um das Implementieren einer PKI für Organisationen einfacher zu gestalten. Sie
können Zertifikatsdienste verwendne, um eine einzige Zertifizierungsstelle oder eine ganze Hierarchie von Zertifizier-
ungsstellen zu erstellen. Windows Server 2003 umfasst auch mehrere Tools zum Verwlaten von Zertifizierungsstellen,
Zertifikaten und Zertifikatsvorlagen.

Sie können eine PKI zwar auch mithilfe anderer Softwareprogramme implementieren, die Verwendung von Windows
Server 2003 bietet jedoch deutliche Vorteile:
Es entsehen keine zusätzlichen Kosten, und darüber hinaus ist eine enge Integration von Active Directory gegeben.
Sie können Gruppenrichtlinienobjekte verwenden, um zu steuern, welche Benutzer und Computer über die entsprech-
ende Rechte zum Ausstellen und Verwalten von Zertifikaten verfügen. Sie können Standardautorisierungslisten verwen-
den, um die Rechte von Benutzern und Computern zum Anfordern von Zertifikaten zu steuern. Sie können sogar die
von der PKI ausgestellten Zertifikate verwenden, um Benutzer, Computer und Domänencontroller zu authentifizieren,
wenn sie auf Ressorucen in Active Directory zugreifen.

Wichtig!
Unter Windows Server 2003, gibt es Zertifikatsvorlagen der Version 1, und der Version 2.
Version 1, sind jene, die Sie bereits von Windows 2000 Server kennen. Diese können nicht angepasst werden, sondern
können nur so verwendet werden, wie diese existieren. Version 2 Vorlagen, sind jene, welche seit Windows Server
2003 neu eingeführt wurden. Diese Vorlagen können Sie bearbeiten. Wenn Sie zB. eine Vorlage in den Zertifikatdien-
sten bearbeiten, so wird eigentlich im Hintergrund eine Version 2 Vorlage der ursprünglichen möglichen Version 1 Vor-
lage erstellt, sollte die Ausgangs-Vorlage eine Version 1 gewesen sein, bzw. wird eine bestehende Version 2 Vorlage
direkt verändert. Merken Sie sich, dass nur Vorlagen der Version 2 bearbeitet werden können.
Vorlagen der Version 1 können von Windows Server 2003 Standard Edition verteilt werden, Vorlagen der Version 2 hin-
gegen, können von Windows Server 2003 Standard Edition zwar bearbeitet bzw. erstellt, aber nicht verteilt werden.
Vorlagen der Version 2 können nur von Windows Server 2003 Enterprise Edition verteilt werden. Sollten Sie Windows
Server 2003 Standard Edition verwenden, Zertifikatvorlagen verteilen wollen, und die Verteilung der Vorlagen funktioniert
trotz richtigen Einstellungen in Ihrer Testumgebung nicht, so versuchen Sie höchstwahrscheinliche eine Vorlage zu ver-
teilen, die Sie mit dieser Edition von Windows Server 2003 nicht können. Sie könnten zB. http://search.live.com oder
http://www.google.de/microsoft verwenden um nach Ihrer gewünschten Vorlage zu Suchen und "Version 1, Version 2"
oder dergleichen an Ihre Suche anhängen. Weitere Suchquellen wären die Microsoft Knowledgebase oder Microsoft
Technet.

Stammzertifizierungsstellen
Der erste Schritt beim Bereitstellen einer PKI besteht darin, eine Zertifizierungsstelle zu installieren, und bei der er-
sten in der Organisation installierten Zertifizierungsstelle muss es sich um eine Stammzertifizierungsstelle handeln.
Sie können zwei Typen von Stammzertifizierungsstellen erstellen:
Unternehmensstammzertifizierungsstellen
Eigenständige Stammzertifizierungsstellen
Kurz gesagt erfordern Unternehmenszertifizierungsstellen Active Directory. Da Unternehmenszertifizierungsstellen auf
Active Directory basieren, um Daten zu speichern und zu replizieren, müssen alle Unternehmenszertifizierungsstellen
auch Domänencontroller sein. Unternehmenszertifizierungsstellen können Zertifikate nur für Computer und Benutzer
in der Active Directory Gesamtstruktur ausstellen. Eigenständige Zertifizierungsstellen können zwar in einer Active
Directory Umgebung betrierben werden, erfordern dies aber nicht.

Obwohl Unternehmenszertifizierungsstellen mehreren Anforderungen und Einschränkungen unterliegne, bieten sie je-
doch auch einige Vorteile. Sie können die automatische Registrierung bei einer Unternehmenszertifizierungsstelle
verwenden, um den mit dem Verwalten von Zertifikaten verbundenen Aufwand erheblich zu reduzieren. Benutzer, die
eine Zertifikatsregistrierung mit einer eigenständigen Zertifizierungsstelle durchführen, müssen die Webre-
gistrierung verwenden, während Unternehmenszertifizierungsstellen mehrere andere Optionen zur Ver-
fügung stellen.

Zertifizierungsstellenhierarchien
Zertifizierungsstellen können hierarchisch strukturiert sein, genauso wie Active Directory Gesamtstrukturen in einer
Hierarchie angeordnet sein können. In einer hierarchischen Zertifizierungsstellenstruktur werden mindestens zwei
Zertifizierungsstellen in einer Struktur mit einer Stammzertifizierungsstelle und einer oder mehreren untergeordneten
Zertifizierungsstellen verwaltet. Die Stammzertifizierungsstelle stellt ein Zertifikat für die untergeordneten Zertifizier-
ungsstellen bereit, die wiederum zertifikate für wietere untergeordnete Zertifizierungsstellen oder für Endbenutzer er-
stellen können. In Active Directory werden automatisch Vertrauensstellungen zwischen den Domänen in einer Hier-
archie erstellt. In einer Zertifizierungsstellenhierarchie ist es dank der Verkettung von Vertrauensstellungen möglich,
dassdie von untergeordneten Zertifizierungsstellen ausgestellten Zertifikate von Clients als vertrauenswürdig angese-
hen werden, die der Stammzertifizierungsstelle vertrauen.

In der Zertifikathierarchie einer Organisation kann es sich bei enigen untergeordneten Zertifizierungsstellen um Zwi-
schenzertifizierungsstellen handeln. Mit anderen Worten: Diese stellen keine Zertifikate für Endbenutzer oder Com-
puter, sondern nur für andere untergeordnete Zertifizierungsstellen aus, die in der Zertifizierungshierarchie unter
ihnen sind. Zwischenzertifizierungsstellen sind nicht erforderlich. Wenn Sie jedoch eine Zwischenzertifizierungsstelle
verwenden, haben Sie die Möglichkeit, die Stammzertifizierungstelle offline zu schalten, wodurch die Sicherheit der
Stammzertifizierungsstelle erheblich verberssert wird. Schließlich ist die Stammzertifizierungsstelle im Offlinebetrieb
nicht für Netzwerkangriffe anfällig.

Untergeordnete Zertifizierungsstellen, die Zertifikate für Endbenutzer ausstellen, werden als ausstellende Zertifizie-
rungsstellen bezeichnet. Natürlich könnten auch Stamm- und Zwischenzertifizierungsstellen Zertifikate für Endbe-
nutzer ausstellen.

BILD, Seite 407

Beim Hinzufügen einer untergeordneten Zertifizierungsstelle zu einer Zertifizierungsstellenhierarchie gehen Sie ge-
nauso vor wie beim Erstellen einer Stammzertifizierungsstelle. Sie müssen jedoch angeben, ob es sich bei dem
Computer um eine Unternehmens-; eigenständige, oder untergeordnete Zertifizierungsstelle handelt. Anschließend
müssen Sie die übergeordnete Zertifizierungsstelle angeben und Anmeldeinformationen für die Stammzertifizie-
rungsstelle bereitstellen. Wenn Sie ine untergeordnete Unternehmenszertifizierungsstelle erstellen, müssen Sie
den Benutzernamen und das Kennwort für ein Konto in der Gruppe "Domänen-Admins" bereitstellen. Der gesamte
Vorgang des Hinzufügens einer untergeordneten Zertifizierungsstelle kann in wenigen Minuten durchgeführt werden.

Erstellen einer untergeordneten Zertifizierungsstelle

Wenn Sie eine Offlinezertifizierungsstelle verwenden, müssen Sie ein paar weitere Minuten einplanen, weil Sie auch
noch eine Offlinezertifikatsanforderung vornehmen müssen. Wählen Sie im Rahmen der Installation der untergeor-
dneten Zertifizierungsstelle auf der Seite Anforderung eines Zertifizierungsstellenzertifikats die Option Anfor-
derung in einer Datei speichern anstelle von Anforderung direkt an eie im Netzwerk vorhandene Zertifi-
zierungsstelle senden. Nachdem Sie die Installtion der untergeordneten Zertifizierungsstelle abgeschlossen ha-
ben, müssen Sie die Zertifikatsanforderung an die übergeordnete Zertifizierungsstelle senden. Verwenden Sie bei
der übereordneten Zertifizierungsstelle die Webregistrierung, um eine erweiterte Zertifikatsanforderung auszuführen,
und wählen Sie die Option Reichen Sie eine Zertifikatsanforderung ein, die eine Base64-codierte CMD-
oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Da-
tei verwenden, ein aus. Anschließend müssen Sie die Konsole der Zertifizierungsstelle verwenden, um das Zer-
tifikat auszustellen, bevor es wieder an die zu installierende untergeordnete Zertifizierungsstelle gesendet wird.

Mithilfe der qualifizierten Unterordnung können Sie sehr gut steuern, welche Aufgaben untergeordnete Zertifizier-
ungsstellen übernehmen dürfen. Sie können eine untergeordnete Zertifizierungsstelel beispielsweise so konfigu-
rieren, dass sie nur Zertifikate für einen bestimmten Namespace (zb. partners.datasystems.at) ausstellt. Außer-
dem können Sie Einschränkungen festlegen, sodass eine untergeordnete Zertifizierungsstelle erstellen, die nur
Smartcard-Zertifikate ausstellt. Das Konfigurieren dieser Optionen ist jedoch kompliziert und wird hier nicht er-
läutert, da dies den Rahmen sprengen würde.

Notfallwiederherstellung
wie jeder wichtige Dienst müssen auch die Zertifikatsdienste gesichert werden, damit sie im Falle eines Hardware-
fehlers oder eines anderen kritischen Ereignisses wiederhergestellt werden werden können. Sie können die Zer-
tifikatsdienste mithilfe des Zertifizierungsstellen-Snap-Ins, des Sicherungsprogramms oder mithilfe anderer Soft-
ware sichern.

Zum manuellen, Sichern der Zertifikatsdienste gehen Sie folgendermaßen vor:
Öffnen Sie die Konsole Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf den Namen Ihres Com-
puters, klicken Sie auf Alle Tasks, und klicken Sie dann auf Zertifizierungsstelle sichern. Der Sicherungs-Assis-
tent der Zertifizierungsstelle wird angezeigt und führt Sie durch die Schritte des Sicherungsprozesses. Wie aus
der untenstehenden Abbildung hervorgeht, können Sie auswählen, ob der private Schlüssel und das Zertifizier-
ungsstellenzertifikat, die Zertifikatdatenbank oder beide Elemente gesichert werden sollen. Sie werden auf-
gefordert, ein Kennwort anzugeben, das zum Verschlüsseln der Sicherungsdatei verwendet wird. Sie benötigen
dieses Kennwort zum Wiederherstellen der Sicherungskopie.

Sichern einer Zertifizierungsstelle

(Rechtsklick auf Zertifizierungsserver =>, Alle Tasks => Zertifizierungsstelle sichern)

Zum Wiederherstellen der Zertifikatsdienste gehen Sie folgendermaßen vor: Öffnen Sie die Konsole der Zertifi-
zierungsstelle, klicken Sie mit der rechten Maustaste auf den Namen Ihres Computers, klicken Sie auf Alle
Tasks, und klicken Sie dann auf Zertifizierungsstelle wiederherstellen. Sie werden zum Beenden der Zertifi-
katdienste aufgefordert. Dann wird der Wiederherstellungs-Assistent der Zertifizierungsstelle angezeigt und führt
Sie durch die Schritte des Wiederholungsprozesses. Während des Wiederholungsprozesses werden Sie dazu
aufgefordert, das Kennwort anzugeben, das Sie beim Erstellen der Sicherungskopie verwendet haben. Nach der
erfolgreichen Wiederherstellung der Zertifierungsstelle werden Sie dazu aufgefordert, die Zertifikatdienste neu zu
starten.

Wenn Sie das Sicherungsprogramm verwenden, werden die Zertifikatdienste automatisch mit dem Systemstatus
gesichert. Wenn Sie Sicherungssoftware eines Drittanbieters verwenden (und das ist sicher der Fall, wenn Ihre
Organisation über mehrere Computer verfügt), wenden Sie sich an den entsprechenden Softwarehersteller, um
sicherzustellen, dass die Zertifikatdienste darüber gesichert werden. Am besten führen Sie erst eine Testsicher-
ung und -wiederherstellung des Servers durch.

Überwachung
Wie die meisten Komponenten von Windows Server 2003 können und sollten Sie auch Ereignisse in Zertifikat-
diensten überwachen, die Aufschluss über mögliche Angriffe bieten können. Zum Überwachen von Ereignissen
in Zertifikatdiensten müssen Sie zunächst die Gruppenrichtlinieneinstellung Objektzugriffsversucher über-
wachen für die Zertifizierungsstelle aktivieren. Öffnen Sie anschließend die Konsole der Zertifizierungsstelle,
klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften,
Klicken Sie auf die Registerkarte Überwachung, und wählen Sie dann die zu überwachenden Ereignisse aus.
Dabei stehen folgende selbsterklärende Ereignisse zur Auswahl:
Datenbank der Zertifizierungsstelle sichern/wiederherstellen
Zertifizierungsstellenkonfiguration ändern
Sicherheitseinstellungen der Zertifizierungsstelle ändern
Zertifikatanforderungen verwalten und ausstellen
Zertifikate sperren und Sperrlisten veröffentlichen
Archivierte Schlüssel sichern und abrufen
Zertifikatdienste starten/beenden

Praktische Übung: Konfigurieren einer Zertifizierungsstellenhierarchie

In dieser Übung konfigurieren Sie Computer 1 als Stammzertifizierungsstelle und Computer 2 als unterge-
ordnete Zertifizierungsstelle. Damit Sie diese Übungen vollständig durcharbeiten können, müssen Com-
puter 1 und Computer 2 als Domänencontroller in derselben Domäne eingerichtet sein. Dieser Vorgang
wurde bereits in diesem Kapitel im Abschnitt "Bevor Sie beginnen" beschrieben.

Übung 1: Erstellen einer Stammzertifizierungsstelle

In dieser Übung installieren Sie die Zertifikatdienste auf Computer 1 und konfigurieren Computer 2 als
Stammzertifizierungsstelle des Unternehmens.

1. Melden Sie sich mit dem Administratorkonto an Computer 1 bei der Domäne cohowinery.com an.
   
   
2. Öffnen Sie in der Systemsteuerung die Option Software.
   
   
3. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
   
   
4. Aktivieren Sie im Dialogfeld Assistent für Windows-Komponenten das Kontrollkästchen Zertifikat-
   dienste. Klicken Sie bei entsprechender Aufforderung auf Ja.
   
   
5. Klicken Sie auf Weiter.
   
   
6. Klicken Sie im Dialogfeld Zertifizierungsstellentyp auf Stammzertifizierungsstelle des Unterne-
   hmens, und klicken Sie dann auf Weiter.
   
   
7. Geben Sie im Feld Allgemeiner Name dieser Zertifizierungsstelle Folgendes ein:
   Computer 1. Klicken Sie auf Weiter.
   
   Beachten Sie, dass die Gültigkeitsdauer standardmäßig 5 Jahre beträgt.
   
   Angeben des allgemeinen Namens einer Zertifizierungsstelle
   
   
8. Übernehmen Sie auf der Seite Einstellungen der Zertifikatdatenbank die Standardeinstellungen,
   indem Sie auf Weiter klicken. Wenn Sie zum Beenden von Internetinformationsdienste (IIS) aufgeforder
   werden, klicken Sie auf Ja.
   
   
9. Klicken Sie nach der Installation der Zertifikatdienste auf Fertig stellen. Schließen Sie alle geöffneten
   Fenster.

Übung 2: Erstellen einer untergeordneten Zertifizierungsstelle

In dieser Übung installieren Sie die Zertifikatdienste auf Computer2 und konfigurieren Computer2 als
untergeordnete Zertifizierungsstelle der Stammzertifizierungsstelle des Unternehmens (Computer1).

1. Melden Sie sich mit dem Administratorkonto an Computer2 bei der Domäne cohowinery.com an.
   
   
2. Öffnen Sie in der Systemsteuerung die Option Software.
   
   
3. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
   
   
4. Aktivieren Sie im Dialogfeld Assistent für Windows-Komponenten das Kontrollkästchen Zertifikat-
   dienste. Klicken Sie bei entsprechender Aufforderung auf Ja.
   
   
5. Klicken Sie auf Weiter.
   
   
6. Klicken Sie im Dialogfeld Zertifizierungsstellentyp auf Stammzertifizierungsstelle des Unterneh-
   mens, und klicken Sie dann auf Weiter.
   
   
7. Geben Sie im Feld Allgemeiner Name dieser Zertifizierungsstelle Folgendes ein:
   Computer2. Klicken Sie dann auf Weiter.
   
   
8. Übernehmen Sie auf der Seite Einstellungen der Zertifikatdatenbank die Standardeinstellungen,
   indem Sie auf Weiter klicken.
   
   
9. Klicken Sie auf der Seite Anforderung eines Zertifizierungsstellenzertifikates auf Anforderung
   in einer Datei speichern. Klicken Sie auf Weiter.
   
   
10. Wenn Sie zum Beenden von IIS aufgefordert werden, klicken Sie auf Ja.
    
    
11. Wenn eine Meldung angezeigt wird, dass die Installation der Zertifikatdienste nicht abgeschlossen
    ist, klicken Sie auf OK.
    
    
12. Klicken Sie nach der Installation der Zertifikatdienst auf Fertig stellen. Schließen Sie alle geöffneten
    Fenster.
    
    Inzwischen sind zwar die Zertifikatdienste auf Computer2 installiert, eine Zertifizierungsstelle ist jedoch
    noch nicht vorhanden. Im Folgenden werden Sie die Zertifikatanforderung an Computer1 senden, der ein
    untergeordnetes Zertifizierungsstellenzertifikat erstell, das Sie auf Computer2 installieren.
    
    
13. Starten Sie Microsoft Internet Explorer.
    
    In dieser Übung wird erläutert, wie Sie eine Offlinezertifikatanforderung einreichen. Zur Vereinfachung der
    Übung senden Sie die Anforderung über das Netzwerk an Computer1. Dies wäre nicht möglich, wenn
    Computer1 im Offlinebetrieb ausgeführt würde. In einer Produktionsumgebung müssten Sie die Zertifikat-
    anforderungsdatei erst auf einem Wechselmedium speichern und an die Stammzertifizierungsstelle
    senden. Dann müssten Sie die Anforderung über die Stammzertifizierungsstelle einreichen.
    
    
14. Geben Sie in die Adressleiste von Internet Explorer Folgendes ein http://computer1/certsrv. Klicken
    Sie auf Go.
    
    
15. Wenn Sie nicht automatisch authentifiziert werden, geben Sie bei entsprechender Aufforderung Ihren
    Benutzernamen und Ihr Kennwort ein, und klicken Sie dann auf OK. Wenn eine Meldung angezeigt
    wird, dass der Inhalt der Website blockiert wird, fügen Sie Computer1 zur Liste der vertrauenswürdigen
    Computer hinzu.
    
    
16. Klicken Sie auf Zertifikat anfordern.
    
    
17. Klicken Sie auf Erweiterte Zertifikatanforderung.
    
    
18. Klicken Sie auf Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder
    PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-
    Datei verwendet, ein.
    
    
19. Öffnen Sie die in Schritt 9 erstellte Zertifikatanforderung. Klicken Sie hierzu auf Start, klicken Sie
    auf Ausführen, und geben Sie Folgendes ein: Notepad C:\computer2.cohowinery.com_computer2.
    req. Klicken Sie dann auf OK.
    
    
20. Drücken Sie STRG+A um den gesamten Inhalt der Datei zu markieren, und drücken Sie dann STRG-C,
    um den Inhalt in die Zwischenablage zu kopieren.
    
    
21. Wechseln Sie wieder zurück zu Internet Explorer. Klicken Sie in das Feld Gespeicherte Anforderung,
    und drücken Sie dann STRG+V, um die Zertifikatanforderung in das Formular einzufügen (siehe Ab-
    bildung 7.5).
    
    
22. Klicken Sie auf das Feld Zertifikatvorlage, und klicken Sie dann auf Untergeordnete Zertifizierungsstelle.
    Klicken Sie abschließend auf Einsenden.
    
    
23. Klicken Sie auf der Seite Zertifikat wurde ausgestellt auf Download des Zertifikates. Klicken Sie bei
    entsprechender Aufforderung auf Speichern, und speicher Sie die Datei auf dem Desktop. Klicken Sie auf
    Schließen.
    
    
24. Starten Sie die Konsole der Zertifizierungsstelle.
    
    Beachten Sie, dass die Zertifikatdienste nicht gestartet werden, weil das untergeordnete Zertifizierungs-
    stellenzertifikat noch nicht installiert ist.
    
    
25. Klicken Sie mit der rechten Maustaste auf Computer2, klicken Sie auf Alle Tasks, und klicken Sie dann
    auf Zertifizierungsstellenzertifikat installieren. Wechseln Sie zum Desktop. Wählen Sie im Feld Datei-
    typ den Eintrag X.509-Zertifikat aus. Klicken Sie auf das neue Zertifikat, und klicken Sie dann auf Öffnen.
    
    Anfordern eines untergeordneten Zertifizierungsstellenzertifikats
    
    
    
26. Klicken Sie mit der rechten Maustaste auf Computer2, klicken Sie auf Alle Tasks, und klicken Sie dann
    auf Dienst starten.
    
    Computer2 wird erfolgreich gestartet. In dieser Übung wurde der Prozess des Konfigurierens einer unter-
    geordneten Zertifizierungsstelle für eine Offlinestammzertifizierungsstelle veranschaulicht. Im Falle des
    Onlinebetriebs der Stammzertifizierungsstelle hätten Sie die untergeordnete Zertifizierungsstelle komplett
    über den Assistenten für Windows-Komponenten konfigurieren können.
    
    

Erstellt von: Haßlinger Stefan
Im: Jahr 2006