Active Directory-Zertifikatsdienste bereitstellen

Windows Server 2019
Microsoft Windows Server 2019

Active Directory-Zertifikatsdienste (AD CS) als Unternehmenszertifizierungsstelle (CA) auf Windows Server 2019 Core installieren und konfigurieren.

 

Bereitstellung planen

Die Active Directory-Zertifikatsdienste können, aber sollten nicht unbedingt, auf einem Domänencontroller installiert werden. Der Idealfall ist sicherlich ein eigener Server, der lediglich für die Zertifizierungsstelle zuständig ist. Ich habe dafür virtuell (Hyper-V Gen 2) einen Windows Server 2019 Core (ohne Desktopdarstellung) mit einer 50 GB großen Systempartition installiert und die üblichen ersten Schritte (Netzwerkkonfiguration, Domänenbeitritt, Windows Updates installieren…) durchgeführt. Mehr zum Thema Installation und Verwaltung eines Core Servers, gibt es in meinem Blogbeitrag “Windows Server 2019 als Core Server installieren“. Für Installation und soweit möglich Administration, verwende ich den Server-Manager und entsprechende MMC-SnapIns bzw. MSC-Dateien auf einem anderen Server.

 

Active Directory-Zertifikatsdienste installieren

  • Windows Server-Manager öffnen und “Rollen und Features hinzufügen” aufrufen:
  • Vorbereitung – Weiter:
  • “Rollenbasierte oder featurebasierte Installation” vorausgewählt – Weiter:
  • Zielserver auswählen – Weiter:
  • “Active Directory-Zertifikatsdienste” auswählen – Weiter:
  • Keine weiteren Features notwendig – Weiter:
  • Weiter:
  • “Zertifizierungsstelle” und “Zertifizierungsstellen-Webregistrierung” auswählen – Weiter:
  • Vorgeschlagene Features mit “Features hinzufügen” übernehmen:
  • Weiter:
  • Keine weiteren Rollendienste notwendig – Weiter:
  • Installieren:
  • “Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren” öffnen:

 

Active Directory-Zertifikatsdienste konfigurieren

  • Anmeldeinformationen ändern und Weiter:
  • “Zertifizierungsstelle” und “Zertifizierungsstellen-Webregistrierung” auswählen und Weiter:
  • “Unternehmenszertifzierungsstelle” auswählen und Weiter:
  • “Stammzertifizierungsstelle” auswählen und Weiter:
  • “Neuen privaten Schlüssel erstellen” oder ggf. “Vorhandenen privaten Schlüssel verwenden” und Weiter:
  • Vorgeschlagene Kryptografie-Konfiguration ggf. anpassen oder mit Weiter bestätigen:
  • Name für Zertifizierungsstelle vergeben (z.B. FIRMA-CA) – Weiter:
  • Gültigkeitsdauer des Zertifizierungsstellen-Zertifikats beträgt standardmäßig 5 Jahre und sollte aus meiner Sicht erhöht werden, danach Weiter:
  • Datenbankorte ggf. anpassen – Weiter:
  • “Konfigurieren”:
  • Ergebnisse der hoffentlich erfolgreichen Konfiguration – Schließen:
  • “Assistent zum Hinzufügen von Rollen und Features” schließen:

 

Zertifzierungsstelle einsehen

  • certsrv.msc öffnen:
  • “Zertifizierungsstelle auswählen…”:
  • Standardmäßig wird die lokale Zertifizierungsstelle geöffnet. “Anderen Computer” auswählen verbindet ein Remotesystem:
  • Der Inhalt der neu installierten Zertifizierungsstelle:

 

Installierte Zertifikate auf Servern/Clients

Das Zertifikat der Stammzertifizierungsstelle verteilt sich automatisch via Active Directory. Die installierten Zertifikate können wie folgt auf einem Server/Client angezeigt werden:

  • Zertifikate bzw. certmgr.msc öffnen:
  • Unter “Vertrauenswürdige Stammzertifzierungsstellen” im Ordner “Zertifikate” sollte das vorhin erzeugte Zertifikat der neuen Stammzertifzierungsstelle erscheinen:

 

Zertifizierungsstellen-Webregistrierung

Unter http://servernamezertifzierungsstelle/certsrv kann die zuvor installierte Webregistrierung geöffnet werden. In dieser können neue Zertifikate angefordert, der Status ausstehender Zertifikate angezeigt und ein Download des Zertifzierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste durchgeführt werden. Standardmäßig ist diese nur über HTTP aufrufbar. Aus Sicherheitsgründen sollte natürlich HTTPs aktiviert werden. Die Vorgehensweise beschreibe ich im Beitrag “AD-CS-Webregistrierung: HTTPS einrichten“.

 

Zertifizierungsstelle sichern

Neben einer vollständigen Serversicherung, empfiehlt sich auch gelegentlich eine Sicherung der Zertifizierungsstellen-Daten. Am einfachsten gelingt dies über das Powershell-Cmdlet Backup-CARoleService: