Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Active Directory Certificate Services (AD CS) ist eine Windows Server-Rolle für das Ausstellen und Verwalten von PKI-Zertifikaten (Public Key Infrastructure), die in sicheren Kommunikations- und Authentifizierungsprotokollen verwendet werden.
Ausstellen und Verwalten von Zertifikaten
Digitale Zertifikate können verwendet werden, um elektronische Dokumente und Nachrichten zu verschlüsseln und digital zu signieren sowie für die Authentifizierung von Computer-, Benutzer- oder Gerätekonten in einem Netzwerk. Beispielsweise stellen digitale Zertifikate Folgendes bereit:
- Vertraulichkeit durch Verschlüsselung.
- Integrität durch digitale Signaturen.
- Authentifizierung durch Zuordnen von Zertifikatschlüsseln zu Computer-, Benutzer- oder Gerätekonten in einem Computernetzwerk.
Wichtigste Funktionen
AD CS bietet die folgenden wichtigen Features:
Zertifizierungsstellen: Stamm- und untergeordnete Zertifizierungsstellen (Certificate Authorities, CAs) werden verwendet, um Zertifikate für Benutzer, Computer und Dienste auszustellen und die Gültigkeit von Zertifikaten zu verwalten.
Webregistrierung: Mit der Webregistrierung können Benutzer eine Verbindung mit einer Zertifizierungsstelle mit einem Webbrowser herstellen, um Zertifikate anzufordern und Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) abzurufen.
Online-Responder: Der Online responder-Dienst decodiert Sperrstatusanforderungen für bestimmte Zertifikate, wertet den Status dieser Zertifikate aus und sendet eine signierte Antwort zurück, die die angeforderten Zertifikatstatusinformationen enthält.
Netzwerkgeräteregistrierungsdienst: Der Netzwerkgeräteregistrierungsdienst ermöglicht Routern und anderen Netzwerkgeräten, die nicht über Domänenkonten verfügen, Zertifikate abzurufen.
TPM-Schlüsselnachweis: Ermöglicht der Zertifizierungsstelle zu überprüfen, ob der private Schlüssel durch ein hardwarebasiertes TPM geschützt ist und dass das TPM einer ist, dem die Zertifizierungsstelle vertraut. Der TPM-Schlüsselnachweis verhindert, dass das Zertifikat auf ein nicht autorisiertes Gerät exportiert wird und die Benutzeridentität an das Gerät gebunden werden kann.
Webdienst für Zertifikatregistrierungsrichtlinien: Der Webdienst für Zertifikatregistrierungsrichtlinien ermöglicht Benutzern und Computern das Abrufen von Zertifikatregistrierungsrichtlinieninformationen.
Zertifikatregistrierungswebdienst: Der Zertifikatregistrierungswebdienst ermöglicht Benutzern und Computern die Durchführung der Zertifikatregistrierung über einen Webdienst. Zusammen mit dem Zertifikatregistrierungsrichtlinien-Webdienst wird dadurch eine richtlinienbasierte Zertifikatregistrierung ermöglicht, wenn der Clientcomputer nicht Mitglied einer Domäne ist oder wenn für ein Domänenmitglied keine Verbindung mit der Domäne besteht.
Vorteile
Sie können AD CS verwenden, um die Sicherheit zu verbessern, indem Sie die Identität einer Person, eines Computers oder eines Diensts an einen entsprechenden privaten Schlüssel binden. AD CS bietet eine kostengünstige, effiziente und sichere Möglichkeit, die Verteilung und Verwendung von Zertifikaten zu verwalten. Neben der Bindung von Identitäten und privaten Schlüsseln umfasst AD CS auch Features, mit denen Sie die Zertifikatregistrierung und -sperrung verwalten können.
Vorhandene Endpunktidentitätsinformationen in Active Directory werden zum Registrieren von Zertifikaten verwendet, sodass Informationen automatisch in Zertifikate eingefügt werden können. Active Directory-Gruppenrichtlinien können auch verwendet werden, um festzulegen, welche Benutzer und Computer welche Arten von Zertifikaten zulässig sind. Die Gruppenrichtlinienkonfiguration ermöglicht die rollenbasierte oder attributbasierte Zugriffssteuerung.
Von AD CS unterstützte Anwendungen umfassen Secure/Multipurpose Internet Mail Extensions (S/MIME), sichere drahtlose Netzwerke, virtuelles privates Netzwerk (VPN), Internet Protocol Security (IPsec), Encrypting File System (EFS), Smartcardanmeldung, Secure Socket Layer/Transport Layer Security (SSL/TLS) und digitale Signaturen.
Nächste Schritte
- Was ist der Rollendienst der Zertifizierungsstelle?
- Implementieren und Verwalten von Active Directory-Zertifikatdiensten
- Alle AD CS-Rollendienste werden auf einer beliebigen Version ausgeführt
- Alle AD CS-Rollendienste können auf Server Core ausgeführt werden.
- Windows PowerShell-Referenz für Zertifikatdienste