Active Directory-Zertifikatsdienste in Windows Server 2016/2019

Die Zertifizierungsstellentypen und -Aufgaben verstehen

| Autor: Thomas Joos

Sicherheit in Windows Server 2016
Sicherheit in Windows Server 2016 (Sicherheit in Windows Server 2016)

Der Einsatz einer internen Zertifizierungsstelle ist in Active Directory nahezu unerlässlich. Viele aktuelle Serversysteme von Microsoft oder auch Drittanbietern benötigen Zertifikate für den Zugriff. Beispiel dafür ist Exchange Server 2013/2016/2019, die Remotedesktopdienste oder auch SharePoint. Auch SQL Server benötigt ein Zertifikat, wenn Sie Verbindungen verschlüsseln wollen.

Bei der Installation der Active Directory-Zertifikatdienste wählen Sie aus, ob der Typ Unternehmen oder Eigenständig installiert werden soll. Wählen Sie Unternehmen aus, integriert Windows die Zertifikatdienste in Active Directory. Außerdem verteilt eine Zertifizierungsstelle (Certificate Authority, CA) das Zertifikat für die vertrauenswürdigen Stammzertifizierungsstellen auf den Computern automatisch über eine Gruppenrichtlinie. 

Alle Mitgliedcomputer einer Domäne vertrauen einer internen Stammzertifizierungsstelle mit dem Typ Unternehmen automatisch. Das Zertifikat dieser Zertifizierungsstelle wird dazu auf den Clientcomputern und Mitgliedsservern in den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen integriert.

Damit der Server fehlerfrei Zertifikate ausstellen kann, muss er Mitglied der Gruppe Zertifikateherausgeber sein. Diese Gruppe befindet sich in der OU Users.

Innerhalb einer Unternehmenszertifizierungsstelle werden die Zertifikate auf Basis von Zertifikatvorlagen ausgestellt. Sie können in der Verwaltungskonsole certsrv.msc und certtmpl.msc jederzeit weitere Vorlagen erstellen.

Die Zertifikatvorlagen verwalten Sie aber hauptsächlich mit dem Snap-In Zertifikatvorlagen. Dieses startet, wenn im Kontextmenü Zertifikatvorlagen in der Verwaltungskonsole Zertifizierungsstelle auf den Menüpunkt Verwalten klicken. Direkt starten Sie die Verwaltung durch die Eingabe von certtmpl.msc im Startmenü. Neben den Standardvorlagen, gibt es noch zahlreiche weitere, die über die Verwaltungskonsole konfiguriert und aktiviert werden können.

Jede Zertifikatvorlage verfügt über eine eigene Sicherheitsverwaltung, die Sie über das Kontextmenü in den Eigenschaften auf der Registerkarte Sicherheit aufrufen. Erstellen Sie Zertifikate auf Basis der Zertifikatvorlagen, können die Zertifikatdienste die Daten und den Namen des Antragstellers automatisch aus Active Directory auslesen.