MCSA 70-412 (Teil 6) Windows Server 2012 R2-Identitäts- und Zugriffslösungen konfigurieren

Zertifikatvorlagen verwalten

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Windows Server 2012 R2 bietet standardmäßig eine Reihe von Zertifikatvorlagen, die Sie an die Anforderungen innerhalb Ihres Unternehmens anpassen können. Wie Sie dazu vorgehen, zeigt Ihnen dieser Film.
11:51

Transkript

Zertifikatvorlagen können bestimmten Bedürfnissen angepasst werden. Wie das genau funktioniert, erkläre ich in diesem Video. Ich befinde mich hier auf meinem Server CASRV01 und ich habe die Zertifizierungsstelle geöffnet. Ich habe Zertifikatvorlagen markiert und ich sehe, welche Zertifikate sind verfügbar, welche können direkt eingesetzt werden. Ich möchte nun aber ein Zertifikat erstellen, welches für meine Bedürfnisse implementiert und vorbereitet wurde. Dazu muss ich allerdings eine weitere Konsole starten. Mit einem Rechtsklick auf Zertifikatvorlagen wähle ich Verwalten. Und ich bin nun in der Zertifikatvorlagenkonsole. Hier habe ich die Möglichkeit, ein Zertifikat, also eine Vorlage zu duplizieren und dann für meine Bedürfnisse zu konfigurieren, zum Beispiel da die Smartcard-Anmeldung, Smartcard-Benutzer, Webserver et cetera. Ich möchte für meine Netzwerkumgebung ein Zertifikat vorbereiten, welches erlaubt, PowerShell-Skripte zu signieren. Dazu dupliziere ich das folgende Zertifikat, die Codesignatur. Mit einem Rechtsklick wähle ich Vorlage duplizieren aus. Ich möchte zuerst im Register Allgemein einen neuen Anzeigenamen bestimmen. Dazu wähle ich zum Beispiel Codesignatur aus, und mit dem Zusatz - Powershell. Mit diesem Namen kann ich später genau verifizieren, in der Tat, das ist das Zertifikat für die Signatur von PowerShell-Skripten. Die Gültigkeit möchte ich auf 3 Jahre festlegen und den Erneuerungszeitraum auf 6 Wochen. Sollte dieses Zertifikat in die falschen Hände geraten, dann ist es 6 Wochen gültig. Anschließend wird das Zertifikat erneuert. Und jene Person, welche das Zertifikat eben fälschlicherweise erhalten hat, kann dann mit diesem Zertifikat nicht mehr weiterarbeiten. Ich möchte das Zertifikat in Active Directory veröffentlichen und ebenfalls Nicht automatisch neu registrieren, wenn ein identisches Zertifikat bereits in Active Directory vorhanden ist. Dieses Kontrollkästchen möchte ich ebenfalls aktivieren. Ich wähle nun das Register Kompatibilität aus. Und ich möchte hier die Kompatibilitätseinstellungen auf das Maximum setzen. Das bedeutet also für Windows Server 2012 R2. Und ebenfalls für den Empfänger auf Windows 8.1 und Windows Server 2012 R2. Somit habe ich die neusten Funktionen im Zertifikat implementiert. Haben Sie ältere Betriebssysteme im Einsatz, dann müssen Sie hier die entsprechenden Kompatibilitätseinstellungen ebenfalls Ihren Bedürfnissen anpassen. Die nächste Konfiguration, die ich umsetzen möchte, das ist auf dem Register Anforderungsverarbeitung. Hier sehen wir als Erstes einmal den Zweck dieses Zertifikats. Es dient zum Signieren. Sie sehen hier Signatur. Ich möchte nicht Verschlüsselung auswählen, ich möchte nicht Signatur und Verschlüsselung. Dieses Zertifikat ist wirklich darauf ausgelegt, um das PowerShell-Skript oder verschiedene PowerShell-Skripte eben zu signieren. Darum wähle ich als Zweck Signatur aus. Ich kann hier die Option setzen Exportieren von privatem Schlüssel zulassen. Habe ich die Situation, dass ich zum Beispiel eine demilitarisierte Zone einsetze mit Systemen, welche nicht zur Domäne gehören, ich möchte aber dort auf diesen Systemen trotzdem meine vordefinierten PowerShell-Skripte ausführen, dann habe ich die Möglichkeit, den privaten Schlüssel zu exportieren, damit auch auf diesen Systemen die Zertifikate implementiert werden können und anschließend auch die PowerShell-Skripte ohne Fehler gestartet werden können. Eine weitere Option steht mir zur Verfügung, Mit dem gleichen Schlüssel erneuern. Wir haben die Konfiguration umgesetzt, alle 6 Wochen soll dieses Zertifikat erneuert werden. Möchte ich es mit dem gleichen Schlüssel erneuern? Nein, das möchte ich nicht. Dadurch erhalte ich mehr Sicherheit. Ich habe weitere Optionen, zum Beispiel unter folgendem Punkt, Antragsteller Das ist eine Standardmarkierung, die ich so belasse. Ich möchte nicht, dass jedes Mal, wenn der Benutzer das Zertifikat einsetzen möchte, dass er dann eine Aufforderung erhält für die Registrierung, oder dann Benutzer zur Eingabe während der Registrierung auffordern und Benutzereingabe beim Verwenden eines privaten Schlüssels anfordern. Dann wird er jedes Mal benachrichtigt, wenn er den privaten Schlüssel einsetzt oder eben anfordert. Das möchte ich nicht. Das ist in meinem Fall so weit okay. Ich habe das Register Kryptografie. Hier kann ich verschiedene Informationen bestimmen, zum Beispiel Anbieterkategorie, die minimale Schlüsselgröße. In diesem Fall werden Sie wahrscheinlich Änderungen nur dann vornehmen, wenn Sie Compliance-Anforderungen haben, dass Sie zum Beispiel einen größeren Schlüssel bestimmen müssen oder eben vielleicht einen anderen Kryptografiedienstanbieter umsetzen müssen. Wie gesagt, da werden Sie wahrscheinlich eher selten eine Konfiguration durchführen müssen. Ich habe die Ausstellungsvoraussetzungen. Hier kann ich zum Beispiel die Markierung setzen Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle. Ich kann Diese Anzahl an autorisierten Signaturen entsprechend hinterlegen. Auch da muss ich in meinem Fall keine Konfiguration durchführen. Ich habe keine abgelösten Vorlagen, also ältere Vorlagen, die ersetzt werden sollen durch diese Vorlagen. Das habe ich ebenfalls nicht. Unter dem Register Erweiterungen sehe ich nun, was das Zertifikat für einen Einsatzzweck hat. Wir sehen hier die Anwendungsrichtlinien und die Beschreibung, es dient zur Codesignatur. Ich könnte hier auf Bearbeiten klicken und dann weitere Anwendungsrichtlinien hinzufügen. Übrigens, diese Anwendungsrichtlinien, der Name hier wurde neu definiert. Früher hieß es im Englischen EKU, Enhanced Key Usage. Das war früher der Name für diese Anwendungsrichtlinien. Falls Sie einmal die Abkürzung EKU antreffen, dann wissen Sie nun, es handelt sich dabei um diese Anwendungsrichtlinien. Ich könnte hier Hinzufügen und weitere Anwendungsrichtlinien implementieren. Das möchte ich aber nicht, weil diese Anwendungsrichtlinien für mich so weit okay sind. Ich wähle auch da wieder Abbrechen. Und ich sehe zum Beispiel noch unter Zertifikatvorlageninformationen, dass es sich hierbei um ein Benutzerzertifikat handelt. Wir haben hier keinen Computer hinterlegt. Also dieses Zertifikat muss ich dann entsprechend implementieren im lokalen Speicher des Benutzers. Nun kommt ein wichtiges Register. Das ist das Sicherheit-Register. Wie kann ich das Zertifikat verteilen? Ich kann es manuell anfordern. Ich kann aber auch eine Funktion implementieren, dass das Zertifikat automatisch verteilt werden kann. Zuerst einmal, wer soll dieses Zertifikat erhalten? Wir haben hier Authentifizierte Benutzer. Die haben das Recht zu lesen. Wenn authentifizierte Benutzer dieses Zertifikat installieren möchten, manuell, dann müssen sie das Recht Registrieren haben. Wenn Sie über die Gruppenrichtlinien dieses Zertifikat an die Domäne verteilen wollen, dann müssen Sie die Markierung setzen Automatisch registrieren, damit Sie das Zertifikat über die Gruppenrichtlinie verteilen können. Normalerweise markieren Sie hier nicht beide Optionen. Sie wählen entweder Registrieren aus oder Automatisch registrieren. Ich wähle in meinem Fall beide Optionen, damit ich Ihnen zeigen kann, dass ich manuell dieses Zertifikat erwerben kann. Oder in einem späteren Zeitpunkt, wenn wir mit der Gruppenrichtlinienkonsole arbeiten, um die Zertifikate zu verteilen, dann haben wir ebenfalls die Möglichkeit, dieses Zertifikat über eine Gruppenrichtlinie zu verteilen. Ich zeige Ihnen noch die letzten Register. Wir haben hier das Register Server. Da brauchen Sie normalerweise keine Markierung zu setzen. Das ist eben selten der Fall, dass Sie hier eine Konfiguration durchführen müssen. Ich navigiere zum nächsten Register. Das ist der Antragstellername. Hier sehen wir die Möglichkeit Informationen werden in der Anforderung angegeben, die wir markieren können. Was bedeutet das? Wenn Sie ein Zertifikat manuell anfordern, dann haben Sie die Möglichkeit, wenn Sie hier dieses Markierung setzen, bei der Anforderung des Zertifikats zusätzliche Informationen zu hinterlegen. Sie können zum Beispiel einen Servernamen oder einen FQDN entsprechend festlegen. Und weitere Informationen können Sie da hinterlegen. Und Sie sehen auch, hier erhalten Sie eine Meldung, eine Warnung. Also da empfiehlt es sich, diese Option nicht unbedingt direkt für dieses Zertifikat auszustellen. Es gibt Situationen, da müssen Sie vielleicht diese Konfiguration setzen, damit der Antragsteller spezifisch seine Informationen hinterlegen kann. Normalerweise möchte ich die Informationen aus dem Active Directory beziehen. Da kann ich zum Beispiel verifizieren, dass der Antragsteller auch wirklich im Active Directory vorhanden ist. Sie sehen hier Vollständiger definierter Name. Da muss also der Name des Antragstellers im Active Directory hinterlegt sein, damit er überhaupt dieses Zertifikat anfordern kann. Und als alternativen Antragstellernamen muss zum Beispiel noch der Benutzerprinzipalname, das UPN hinterlegt sein. Das sind Konfigurationen, die Sie in diesem Register tätigen können. Wir haben noch den Schlüsselnachweis. Da sehen Sie, sind sämtliche Informationen grau hinterlegt. Wir können hier keine Konfiguration durchführen. Ich habe sämtliche Informationen für meine Vorlage angegeben. Ich wähle Übernehmen und OK. Der nächste Schritt besteht nun darin, dass ich dieses Zertifikat als Vorlage vorbereiten muss. Ich schließe die Zertifikatvorlagenkonsole. Und ich führe nun auf Zertifikatvorlagen einen Rechtsklick aus, wähle Neu und Auszustellende Zertifikatvorlage. Und wir sehen nun hier unser spezifisches Zertifikat, welches wir einsetzen für das Signieren von PowerShell-Skripten. Das möchte ich nun entsprechend vorbereiten und aktivieren. Sie sehen hier Zertifikatvorlagen aktivieren. Jawohl, das möchte ich. Und nun steht dieses Zertifikat für die Benutzer zur Verfügung. Sie können es in Ihren lokalen Speicher implementieren. Oder aber später können wir mit er Gruppenrichtlinienverwaltung dieses Zertifikat in die Domäne verteilen. Ich habe Ihnen in diesem Video gezeigt, wie Sie Zertifikatvorlagen Ihren Bedürfnissen entsprechend anpassen können.

MCSA 70-412 (Teil 6) Windows Server 2012 R2-Identitäts- und Zugriffslösungen konfigurieren

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-412 vor und erlernen Sie umfassende Kenntnisse zu Windows Server 2012.

3 Std. 0 min (29 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!