MCSA 70-412 (Teil 6) Windows Server 2012 R2-Identitäts- und Zugriffslösungen konfigurieren

Verteilungspunkte für Zertifikatsperrlisten konfigurieren

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Bevor Zertifikate ausgestellt werden, müssen zwingend die Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) geprüft und eventuell erweitert werden. Wie Sie dazu am besten vorgehen, erfahren Sie in diesem Video.
10:00

Transkript

Bevor Zertifikate ausgestellt werden, muss unbedingt die Zertifikatsperrliste, Certificate Revocation List, CRL, geprüft, und wenn notwendig, erweitert werden. Wir haben Zertifikate, die wir ausstellen können. In meiner Konsole der Zertifizierungsstelle CASRV01 sehe ich ausgestellte Zertifikate. Hier wurde für den client01 ein Zertifikat ausgestellt. Was aber nun, wenn dieses System gestohlen wird? Es ist ein gültiges Zertifikat auf diesem System installiert. Wir haben aber keine Kontrolle mehr über dieses Computersystem. Wir müssen das Zertifikat sperren. Die Sperrung ist ein Prozess, mit dem die Gültigkeit von einem oder mehreren Zertifikaten deaktiviert wird. Durch das Initiieren des Sperrvorgangs veröffentlichen Sie in der entsprechenden Zertifikatsperrliste einen Zertifikatfingerabdruck. Schauen wir uns dieses Client-Zertifikat etwas genauer an. Mit einem Doppelklick auf das Zertifikat navigiere ich zu Details. Und ich wähle ein wenig weiter unten die Sperrlisten-Verteilungspunkte aus. Und Sie sehen, hier sind Wege hinterlegt, die es dem Zertifikat ermöglichen, diese Sperrliste abzufragen. Wir haben zum Beispiel hier sehr schön einen Weg in das Active Directory. Wenn ich nun den ADSI-Editor starte und die Konfigurationspartition verbinde, dann unter Services, unter Public Key Services sehe ich den Eintrag CDP, und dann der entsprechende Wert. Wenn ich auf diesen Wert einen Rechtsklick ausführe, wähle ich Eigenschaften. Und dann sehe ich die certificateRevocationList, wenn ich das ein wenig öffne, und die deltaRevocationList. Diese beiden Wege zeigen zur Zertifikatsperrliste. Diese Wege sind also bei allen Zertifikaten direkt implementiert, wenn ein Zertifikat ausgestellt wird. Wir können diese Wege entsprechend anschauen, indem wir das Kontextmenü des Zertifizierungsservice öffnen und dann Eigenschaften auswählen, und unter dem Register Erweiterungen. Hier sehen wir sehr schön, dass diese Wege führen zu dieser Zertifikatsperrliste. Wie können wir einen solchen Weg implementieren? Dazu wählen wir Hinzufügen. Ich möchte zum Beispiel eine neue Sperrliste lokal auf meinem Server ablegen. Zuerst navigiere ich zum lokalen Datenträger und ich wähle einen neuen Ordner aus, zum Beispiel crl. Diesen Ordner braucht es, um die Zertifikatsperrliste abzulegen. Und ich muss die Sicherheitsberechtigungen anpassen. Ich wähle Eigenschaften und dann navigiere ich zum Register Sicherheit. Und ich möchte meinem Computersystem das Recht zuweisen Ändern. Ich wähle also Hinzufügen. Ich suche mein Computersystem. Die Objekttypen anpassen. Wähle Computer. OK. Namen prüfen. Mein Computersystem. Und ich möchte meinem Computer das Recht Ändern zuweisen. Das ist nun so weit vorbereitet. Nun kann ich einen entsprechenden Pfad hinterlegen. Sie sehen, auch hier ist bereits ein lokaler Pfad hinterlegt. C:\Windows\system32\CertSrv\CertEnroll. Navigieren wir kurz zu diesem Pfad. Wir sehen hier CertEnroll. Und da sind diese Zertifikatsperrlisten hinterlegt. Die eigentliche Sperrliste und die Delta-Sperrliste. Ich möchte also genau eine solche Ablage neu erstellen. Nun kann ich den eigentlichen Pfad hinzufügen. Ich wähle hier Hinzufügen. Ich muss nun den entsprechenden Ort hinterlegen. Das ist c:. Dann ist das \. und es ist crl. Und nun muss ich entsprechende Variablen hinterlegen. Und Sie sehen hier einen Beispielpfad, wie Sie diese Variablen bestimmen müssen. Wir haben also hier die entsprechende Variable CaName, CRLNameSuffix, und DeltaCRLAllowed. Und die entsprechende Erweiterung am Schluss. Vervollständigen wir nun also diesen Pfad. c:\crl. Dann nochmal einen \. Anschließend CaName-Variable ebenfalls Einfügen. Dann, die nächste Variable ist CRLNameSuffix. Ebenfalls Einfügen. Dann die DeltaCRLAllowed. Ebenfalls Einfügen. Mit der Endung .crl am Schluss. Ich wähle OK. Und ich möchte diese Sperrlisten an diesem Ort veröffentlichen. Ebenfalls die Delta-Sperrliste. Ich wähle Übernehmen. Und nun wird der Zertifikatdienst neu gestartet. Nach dem Neustart kann ich nun diese entsprechende Liste veröffentlichen. Bevor ich diese Liste neu veröffentliche, möchte ich dieses Zertifikat sperren, damit wir eine aktuelle Sperrliste erhalten. Mit einem Rechtsklick wähle ich Alle Aufgaben. Und ich möchte das Zertifikat sperren. Ich kann einen Grund angeben, zum Beispiel Schlüsselkompromittierung. Und wähle Ja. Das ist nun gesperrt. Und wir sehen hier eine Liste von drei gesperrten Zertifikaten. Nun möchte ich meinen neuen Weg zu dieser Sperrliste veröffentlichen. Mit einem Rechtsklick wähle ich Alle Aufgaben. Und wähle Veröffentlichen aus. Diese neue Sperrliste möchte ich ausstellen, veröffentlichen. Und dazu wähle ich nun OK. Nun navigiere ich zum Windows Explorer und schaue in den lokalen Datenträger auf meinen Ordner crl. Und in der Tat, wir haben eine neue Zertifikatsperrliste. Ich öffne diese Sperrliste. Und wir sehen, hier sind diese drei Zertifikate hinterlegt. Genau das ist das Ziel dieser Sperrlisten. Jedes Zertifikat muss einen Weg hinterlegt haben, um die Gültigkeit entsprechend variieren zu können. Nun ist es vielleicht so, dass nicht jedes System auf diesen lokalen Pfad zugreifen kann. Da besteht selbstverständlich auch die Möglichkeit, dass Sie einen Weg implementieren über den Webdienst. Sie sehen hier zum Beispiel den Weg http und dann die entsprechenden Informationen. Wie würden Sie dabei vorgehen? Öffnen Sie den Internetinformationsdienste-Manager. Sie sehen das hier bereits. Erstellen Sie einen Ordner. Zum Beispiel MeineCRL. Ich lösche das Verzeichnis, wähle einen anderen Namen. Also auf Default Web Site Rechtsklick, Virtuelles Verzeichnis hinzufügen. Sie bestimmen entsprechend einen Alias, zum Beispiel crl. Navigieren zum physischen Pfad, den Sie vorher erstellt haben, crl. Wählen OK. Dann Verbinden als. Entsprechend hinterlegen Anwendungsbenutzer (Pass-Through-Authentifizierung). OK. Und dann ebenfalls OK. Das ist die erste Vorbereitung. Anschließend wählen Sie wiederum die Zertifizierungsstelle aus, navigieren dann wieder zum Server. Mit dem Rechtsklick wählen Sie Eigenschaften. Und nun haben Sie die Möglichkeit, hier wieder einen neuen Pfad zu hinterlegen. Das könnte zum Beispiel dann in etwa so aussehen. Ich zeige Ihnen das andeutungsweise. http://. Und dann der DNS-Name des Servers, ServerDNSName. Einfügen. Dann zeigen Sie auf Ihr virtuelles Verzeichnis, das Sie eben erstellt haben. Und dann auch wieder die entsprechenden Informationen. Den CaName, den CRLNameSuffix, dann DeltaCRLAllowed. Schlussendlich dann noch die Erweiterung .crl. Dann wiederum auf OK klicken und die entsprechenden Markierungen setzen, zum Beispiel hier In Sperrlisten einbeziehen, In CDP-Erweiterung einbeziehen, und dann ebenfalls In die IDP-Erweiterung einbeziehen. Und wenn Sie das gemacht haben, wählen Sie OK. Dann empfiehlt es sich ebenfalls wieder, diesen Pfad zu veröffentlichen. Wählen Sie Rechtsklick, Und Ihren neuen Sperrlistenweg zu dieser Sperrliste ebenfalls wieder veröffentlichen. Und dann mit OK. Es ist ganz wichtig, dass Sie bevor Sie Zertifikate ausstellen, sich Gedanken machen: Welche Pfade muss ich hinterlegen, damit die Zertifikate die Sperrliste abfragen können? Immer wenn ein Zertifikat ausgestellt wird, wird diese Liste mit Angaben zu der Sperrliste in das Zertifikat eingebunden. Darum ist es wirklich sehr, sehr wichtig: Machen Sie sich Gedanken, welche Pfade zu den Sperrlisten angepasst werden müssen oder eben erweitert werden müssen, bevor Sie die Zertifikate ausstellen. Wenn Sie im Nachhinein diese Anpassungen auf dem Server durchführen in dem Register Erweiterungen, wenn Sie diese Anpassungen nachträglich machen und Sie haben bereits Zertifikate ausgestellt, dann müssen Sie diese Zertifikate neu ausstellen, damit diese Informationen im Zertifikat enthalten sind.

MCSA 70-412 (Teil 6) Windows Server 2012 R2-Identitäts- und Zugriffslösungen konfigurieren

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-412 vor und erlernen Sie umfassende Kenntnisse zu Windows Server 2012.

3 Std. 0 min (29 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!