Die Zertifizierungsstellentypen und -Aufgaben verstehen

Bei der Installation der Active Directory-Zertifikatdienste wählen Sie aus, ob der Typ Unternehmen oder Eigenständig installiert werden soll. Wählen Sie Unternehmen aus, integriert Windows die Zertifikatdienste in Active Directory. Außerdem verteilt eine Zertifizierungsstelle (Certificate Authority, CA) das Zertifikat für die vertrauenswürdigen Stammzertifizierungsstellen auf den Computern automatisch über eine Gruppenrichtlinie. 

Alle Mitgliedcomputer einer Domäne vertrauen einer internen Stammzertifizierungsstelle mit dem Typ Unternehmen automatisch. Das Zertifikat dieser Zertifizierungsstelle wird dazu auf den Clientcomputern und Mitgliedsservern in den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen integriert.

Damit der Server fehlerfrei Zertifikate ausstellen kann, muss er Mitglied der Gruppe Zertifikateherausgeber sein. Diese Gruppe befindet sich in der OU Users.

Innerhalb einer Unternehmenszertifizierungsstelle werden die Zertifikate auf Basis von Zertifikatvorlagen ausgestellt. Sie können in der Verwaltungskonsole certsrv.msc und certtmpl.msc jederzeit weitere Vorlagen erstellen.

Die Zertifikatvorlagen verwalten Sie aber hauptsächlich mit dem Snap-In Zertifikatvorlagen. Dieses startet, wenn im Kontextmenü Zertifikatvorlagen in der Verwaltungskonsole Zertifizierungsstelle auf den Menüpunkt Verwalten klicken. Direkt starten Sie die Verwaltung durch die Eingabe von certtmpl.msc im Startmenü. Neben den Standardvorlagen, gibt es noch zahlreiche weitere, die über die Verwaltungskonsole konfiguriert und aktiviert werden können.

Jede Zertifikatvorlage verfügt über eine eigene Sicherheitsverwaltung, die Sie über das Kontextmenü in den Eigenschaften auf der Registerkarte Sicherheit aufrufen. Erstellen Sie Zertifikate auf Basis der Zertifikatvorlagen, können die Zertifikatdienste die Daten und den Namen des Antragstellers automatisch aus Active Directory auslesen.

Zertifikate im IIS-Manager abrufen

Sie können neben der Zertifikateverwaltung auch den IIS-Manager auf einem Server nutzen:

  1. Öffnen Sie den IIS-Manager über das Menü Tools im Server-Manager.
  2. Klicken Sie auf den Servernamen.
  3. Doppelklicken Sie auf das Feature Serverzertifikate im mittleren Bereich der Konsole. Hier sehen Sie alle Serverzertifikate, die Sie verwenden können, damit sich Anwender per SSL verbinden können.
  4. Klicken Sie im Bereich Aktionen auf Zertifikatanforderung erstellen. Alternativ können Sie auch Domänenzertifikat erstellen auswählen, wenn Sie mit den Active Directory-Zertifikatdiensten arbeiten. Die folgenden Fenster sind dabei identisch. 

Geben Sie im neuen Fenster den Namen des Zertifikats ein. Achten Sie darauf, dass der Name, den Sie im Feld Gemeinsamer Name eingeben, dem Servernamen entspricht, mit dem Anwender auf den Server zugreifen. Verwenden Anwender für den Zugriff einen anderen Namen als den gemeinsamen Namen des Zertifikats, erhalten die Anwender eine Zertifikatewarnung, die besagt, dass das Zertifikat für eine andere Seite ausgestellt ist.