Zertifikate in Windows Server 2012 R2

Zertifikate von Stammzertifizierungsstellen verwalten

| Autor: Thomas Joos

Tom's Admin Blog
Tom's Admin Blog (Bild: Tom Joos)

Damit das Zertifikat fehlerfrei funktioniert, muss das Zertifikat der Zertifizierungsstelle von der Sie das Zertifikat haben, bei den vertrauenswürdigen Stammzertifizierungsstellen auf dem Server hinterlegt sein, sowie auf den Clients die auf den Server zugreifen.

Veröffentlichen Sie den Server über TMG/UAG 2010 im Internet, muss auch auf diesem Server das Zertifikat vorhanden sein. Fügen Sie das Snap-In Zertifikate zu einer MMC hinzu (certlm.msc) und stellen Sie sicher, dass das Zertifikat der Zertifizierungsstelle für das lokale Computerkonto des Servers im Knoten Vertrauenswürdige Stammzertifizierungsstellen angezeigt wird. Das Zertifikat der Stammzertifizierungsstelle muss hinterlegt sein, damit der Server den Zertifikaten dieser Zertifizierungsstelle vertraut. Haben Sie die Active Directory-Zertifikatdienste installiert, können Sie den Import des Zertifikats auf Clients und dem Server beschleunigen, wenn Sie auf dem Server über gpupdate /force die Gruppenrichtlinien erneut abrufen.

Die Installation der Zertifikate von internen Zertifizierungsstellen findet über die Gruppenrichtlinie in Active Directory statt. Arbeiten Sie mit einer Zertifizierungsstelle eines Drittanbieters, müssen Sie das Zertifikat der Zertifizierungsstelle in die vertrauenswürdigen Stammzertifizierungsstellen importieren. Zertifikate überprüfen Sie auf folgendem Weg:

  1. Geben Sie msc auf der Startseite ein.
  2. Erweitern Sie in der Konsole Zertifikate/Vertrauenswürdige Stammzertifizierungsstellen/Zertifikate.
  3. Überprüfen Sie an dieser Stelle ob das Zertifikat der Zertifizierungsstelle hinterlegt ist. Finden Sie das Zertifikat nicht, dann geben Sie in einer Eingabeaufforderung gpupdate /force ein, um per Gruppenrichtlinie das Zertifikat abzurufen. Erscheint auch dann das Zertifikat nicht, exportieren Sie dieses auf dem Zertifikatserver selbst und importieren es auf dem Server.

Sofern die Zertifizierungsstelle in der gleichen Active Directory-Domäne installiert wurde, in der auch der Server installiert ist, für den Sie ein Zertifikat nutzen wollen, sollte dies automatisch stattfinden. Dies ist anders, sofern die Zertifizierungsstelle nicht in Active Directory integriert ist. In diesem Fall können Sie das Zertifikat leicht auf dem Server mit der Zertifizierungsstelle exportieren.

Die vertrauenswürdigen Zertifizierungsstellen finden Sie auch über den Internet Explorer. Rufen Sie nach dem Start über Extras/Internetoptionen die Registerkarte Inhalte und dann per Klick auf die Schaltfläche Zertifikate und Auswahl der Registerkarte Vertrauenswürdige Stammzertifizierungsstellen die Auflistung der Zertifizierungsstellen auf dem Server auf, der über das Zertifikat bereits verfügt.

Hier sollte das Zertifikat der Zertifizierungsstelle hinterlegt sein. Markieren Sie diese Zertifizierungsstelle und klicken Sie auf die Schaltfläche Exportieren. Unter Umständen tauchen an dieser Stelle mehrere Zertifikate Ihrer Stammzertifizierungsstelle auf, wählen Sie im Zweifel das mit dem höchsten Ablaufdatum aus. Erscheint beim Exportieren eine Abfrage des privaten Schlüssels des Zertifikats, haben Sie das falsche erwischt. Verwenden Sie dann einfach das andere Zertifikat. Exportieren Sie auf dem Server das Zertifikat in eine .cer-Datei.

Klicken Sie doppelt auf das Zertifikat, wird es auf dem Server angezeigt und Sie können es installieren. Klicken Sie auf die Schaltfläche Zertifikat installieren, damit das Zertifikat auf dem Server installiert wird. Lassen Sie das Stammzertifikat in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen importieren. Überprüfen Sie anschließend, ob das Zertifikat erfolgreich importiert ist.

Auf allen beteiligten Servern und Arbeitsstationen muss der Zertifizierungsstelle des Unternehmens auf dieser Registerkarte vertraut werden. Eine weitere Möglichkeit, das Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle zu ex- und importieren, ist das Snap-In zur Verwaltung von Zertifikaten.