Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

MCSA 70-412 (Teil 6) Windows Server 2012 R2-Identitäts- und Zugriffslösungen konfigurieren

Unternehmenszertifizierungsstelle installieren und konfigurieren

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Lassen Sie sich von Tom Wechsler erklären, wie Sie Ihre eigene Unternehmenszertifizierungsstelle (Certificate Authority, CA) installieren und konfigurieren.
09:08

Transkript

Die Konfiguration der Unternehmenszertifizierungsstelle ist das Thema in diesem Video. Ich befinde mich auf dem Server casrv01. Und hier möchte ich meine Unternehmenszertifizierungsstelle konfigurieren. Der [unverständlich] besteht darin, dass wir im Server-Manager unter Verwalten Rollen und Features hinzufügen, die entsprechende Rolle installieren. Es ist eine rollenbasierte, featurebasierte Installation. Ich wähle den Zielserver aus. Und ich navigiere zu Active Directory-Zertifikatdienste. Ich wähle diese Markierung aus. Zusätzliche Features sollen ebenfalls installiert werden. Ich wähle Features hinzufügen und klicke auf Weiter. Dann nochmal auf Weiter. Eine Übersicht zu Active Directory-Zertifikatdienste. Dann Weiter. Nun habe ich die Möglichkeit, verschiedene Rollendienste noch zu bestimmen. Ich möchte zum Beispiel in einem nächsten Schritt einen Online-Responder ebenfalls konfigurieren. Darum wähle ich noch diesen Rollendienst aus. Es werden zusätzliche Features benötigt. Auch hier wähle ich die Schaltfläche Features hinzufügen, damit diese Features installiert werden. Ich klicke auf Weiter. Nochmal eine Übersicht zu den Web-Informationen, zum Webserver. Diese sind so weit okay. Weiter. Brauche hier keine zusätzlichen Rollendienste zu bestimmen. Das ist so weit okay. Und ich wähle Zielserver bei Bedarf automatisch neu starten. Und führe nun die Installation aus. Die Installation wurde erfolgreich abgeschlossen. Ich kann nun diesen Assistenten schließen und dann über dieses Symbol die Nachkonfiguration starten. Oder ich kann direkt auf diesen Link klicken, Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren. Genau das möchte ich. Darum verwende ich direkt diesen Link. Nun startet der Active-Directory-Certificate-Service- Konfigurationsassistent. Wir erhalten hier eine Übersicht zu den verschiedenen Konfigurationen, zu den Rollendiensten, die wir entsprechend ausführen können. Eine wichtige Anmerkung hier. Ich muss genügend Rechte haben, um diese Installation auszuführen. Der Domänenadministrator ist da die richtige Wahl in meinem Beispiel. Sie können selbstverständlich auch einen spezifischen Benutzer anlegen und dann die entsprechenden Berechtigungen zuweisen. Für meine Testumgebung ist der Domänenadministrator absolut okay. Ich wähle Weiter. Und nun möchte ich die Nachkonfiguration durchführen für die Zertifizierungsstelle. Der Online-Responder, der kommt dann zu einem späteren Zeitpunkt an die Reihe. Ich markiere also Zertifizierungsstelle und kann nun die entsprechende Nachkonfiguration starten. Ich wähle Weiter. Ich kann nun entscheiden, möchte ich eine Unternehmenszertifizierungsstelle oder eine Eigenständige Zertifizierungsstelle. Die eigenständige Zertifizierungsstelle ist zum Beispiel dann sinnvoll, wenn Sie für Ihre Implementation eine mehrstufige Zertifikatsumgebung einsetzen möchten. Dann ist dieser Server zum Beispiel nicht Mitglied der Domäne, braucht theoretisch keine Netzwerkverbindung. Das System ist also, wenn die Konfiguration abgeschlossen ist, anschließend offline. In meinem Fall, ich möchte eine Unternehmenszertifizierungsstelle, welche auch Mitglied der Domäne ist, damit dieser Server Zertifikate für mein Active Directory entsprechend ausstellen kann. Ich wähle also Unternehmenszertifizierungsstelle und klicke auf Weiter. Nun habe ich die Möglichkeit zu bestimmen, was möchte ich für eine Zertifizierungsstelle denn erstellen. Sie sehen: "Geben Sie den Typ der Zertifizierungsstelle an". Möchten Sie eine Stammzertifizierungsstelle oder eine Untergeordnete Zertifizierungsstelle? In meinem Fall habe ich ja noch keine Server im Einsatz, keine Zertifikat-Server, also muss ich eine neue Stammzertifizierungsstelle generieren. Darum wähle ich die erste Option. Nun muss ich den Typ des privaten Schlüssels hinterlegen. Ich brauche dazu den Neuen privaten Schlüssel, also diese Option, weil ich habe noch keinen vorhandenen privaten Schlüssel. Also kann ich auch diese Option nicht auswählen, weil ich müsste dann einen privaten Schlüssel importieren. Das geht nicht, da ich eine komplett neue Umgebung aufbauen möchte. Darum wähle ich Neuen privaten Schlüssel erstellen. Nun habe ich die Möglichkeit, die verschiedenen kryptografischen Optionen spezifisch zu definieren. Sie sehen, hier ist Microsoft Software Key Storage Provider hinterlegt. Mit einer Schlüssellänge von 2048. Mit einem Hashalgorithmus von SHA1. Ich belasse diese Einstellungen so wie sie sind. Sollten Sie Compliance-Anforderungen erhalten haben, dann müssen Sie entsprechend diese Auswahl nach Ihren Bedürfnissen umsetzen. Also dann zum Beispiel vielleicht einen anderen kryptografischen Anbieter auswählen. Sie müssen vielleicht die Schlüssellänge entsprechend anpassen und auch den Hashalgorithmus neu definieren. In meinem Fall ist das, so wie es ist, absolut okay. Ich werde auch diese Markierung nicht aktivieren. Hier steht "Administratorinteraktion bei jedem Zertifizierungsstellenzugriff auf den privaten Schlüssel zulassen". Das bedeutet, wenn eine Anforderung durchgeführt wird, müsste jedes Mal der Administrator im Prinzip das "Ja" dazu geben, damit diese Aktion durchgeführt werden kann. Das möchte ich nicht, das lasse ich so sein. Nun sehe ich den Namen der Zertifizierungsstelle. Das ist allgemein aufgebaut zuerst mit der Domäne, anschließend mit dem Computernamen. Und am Schluss immer noch das -CA für Certificate Authority. Ist eine Standardnamensgebung, welche so umgesetzt wird. Dann das Suffix und den expliziten Distinguished Name für diese Zertifizierungsstelle. Das ist so weit absolut bestens. Nun kann ich bestimmen, wie lang die Gültigkeitsdauer eines Zertifikats ist, welches von dieser Zertifizierungsstelle ausgestellt wurde. Der Standardwert, sehen Sie hier, ist 5 Jahre. Das bedeutet also, dass in diesem Jahr, 2021, diese Zertifizierungsstelle neu generiert werden muss. Also es muss nach 5 Jahren ein neuer Zertifikat-Server implementiert werden, der dann wieder die Möglichkeit hat, Zertifikate auszustellen. Sie können also in Zukunft kein Zertifikat erstellen, welches dann eine Gültigkeit hätte von 10 Jahren. Das ist nicht möglich, wenn Sie hier 5 Jahre definieren. Wie Sie nun diese Gültigkeitsdauer hinterlegen, das ist Ihnen überlassen. Da müssen Sie mit Ihren Systemadministratoren, mit den Netzwerkadmins, mit der Geschäftsleitung eine entsprechende Definition auswählen. Es gibt Unternehmen, die wählen 10 Jahre. Es gibt Unternehmen, die wähle nur 3 Jahre. Ich belasse den Standardwert bei diesen 5 Jahren. Und wähle Weiter. Nun erhalte ich einen Überblick über die Datenbankablage. Sie sehen hier C:\Windows\system32\CertLog. Und ebenfalls dann die Datenbankprotokolldateien, werden ebenfalls in diesem Verzeichnis abgelegt. Dann Weiter. Ich erhalte eine Bestätigung zu meiner Konfiguration und wähle nun Konfigurieren aus. Diese Konfiguration, sehen Sie, ist bereits erfolgreich abgeschlossen. Wir haben hier diese weiße Checkmark in einem grünen Kreis. Das ist immer schön. Wenn wir einen grünen Kreis sehen, dann können wir davon ausgehen, dass die Konfiguration auch tatsächlich funktioniert hat. Ich schließe zunächst den Assistenten für die Konfiguration der Active Directory Zertifikatsdienste. Möchte zur Zeit keine weiteren Rollendienste konfigurieren. Darum wähle ich Nein. Und ich schließe den Installationsassistenten ebenfalls. Eine Kontrolle, hat es tatsächlich funktioniert? Verwenden Sie den Server-Manager. Starten Sie Tools. Navigieren Sie ganz nach unten zum Punkt Zertifizierungsstelle. Wir schauen, ob diese Konsole startet. Und in der Tat, die Konsole Zertifizierungsstelle (Lokal) hat gestartet. Wir sehen auch hier die Bestätigung, dass diese Zertifizierungsstelle nun im Einsatz ist. In diesem Video habe ich Ihnen gezeigt, wie Sie eine Unternehmenszertifizierungsstelle installieren und konfigurieren können.

MCSA 70-412 (Teil 6) Windows Server 2012 R2-Identitäts- und Zugriffslösungen konfigurieren

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-412 vor und erlernen Sie umfassende Kenntnisse zu Windows Server 2012.

3 Std. 0 min (29 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!