Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Webregistrierung von Zertifizierungsstelle (CA) in Active Directory Certificate Services (AD CS) vereinfacht die Zertifikatverwaltung, indem eine browserbasierte Schnittstelle zum Anfordern und Erneuern von Zertifikaten bereitgestellt wird, Zertifikatsperrlisten (Certificate Revocations Lists, CRLs) abgerufen und für Smartcardzertifikate registriert werden. Dieser Rollendienst ist nützlich für Organisationen, die eine flexible und interaktive Methode für die Zertifikatregistrierung benötigen, ohne dass bestimmte Clientkonfigurationen erforderlich sind. In diesem Artikel erfahren Sie mehr über die Features, Funktionen und Konfigurationsoptionen der Zertifizierungsstelle Webregistrierung und wie sie mit dem Rollendienst für die Zertifikatregistrierungswebdienst verglichen wird.
Funktionen und allgemeine Aufgaben
Die Webregistrierung von Zertifizierungsstellen ermöglicht Benutzern das interaktive Senden PKCS #10 von Anforderungen an die Zertifizierungsstelle über einen Webbrowser und eine IIS-Website (Internet Information Services). Die Webregistrierung der Zertifizierungsstelle unterscheidet sich vom zugehörigen Rollendienst für die Zertifikatregistrierung . Obwohl sowohl die Zertifizierungsstelle-Webregistrierung als auch der Zertifikatregistrierungswebdienst HTTPS verwenden, sind sie grundsätzlich unterschiedliche Technologien.
Die Webregistrierung der CA ist nützlich, wenn Sie mit einer eigenständigen Zertifizierungsstelle interagieren, da das Snap-In der Microsoft Management Console (MMC) für Zertifikate nicht für die Interaktion mit einer eigenständigen Zertifizierungsstelle verwendet werden kann. Unternehmens-ZS können Zertifikatanforderungen über das Zertifikat-Snap-In oder die ZS-Webregistrierungs-Seiten empfangen.
Der ZS-Webregistrierungs-Rollendienst enthält aktualisierte Beispielwebseiten für webbasierte Zertifikatregistrierungsvorgänge. Diese Webseiten arbeiten mit der CertEnroll Komponente zusammen. Weitere Informationen CertEnrollfinden Sie unter Zertifikatregistrierungs-API.
In der folgenden Tabelle sind die wichtigsten Unterschiede zwischen der Zertifizierungsstelle-Webregistrierung und dem Zertifikatregistrierungswebdienst zusammengefasst:
| Feature/Funktion | Zertifizierungsstelle-Webregistrierung | Zertifikatregistrierungs-Webdienst |
|---|---|---|
| Anforderungsmethode | Interaktive, manuell erstellte Zertifikatanforderungen durch den Anforderer, hochgeladen über die Website. | Automatisierte Registrierung und Erneuerung, geeignet für umfangreiche Bereitstellungen. |
| Zertifikatbereitstellung | Browserbasierte interaktive Methode für einzelne Zertifikate. | Automatisierte Bereitstellung für zusätzliche Zertifikate. |
| Clientanforderungen | Es sind keine spezifischen Clientkomponenten oder -konfigurationen erforderlich. | Integrierter Client mit Windows und Windows Server. |
| Gesamtstrukturkonsolidierung | Nicht unterstützt. | Abgestützt; ermöglicht die PKI-Konsolidierung über mehrere Gesamtstrukturen hinweg, indem bereitstellungen pro Gesamtstruktur-Zertifizierungsstelle eliminiert werden. |
| Umkreisnetzwerkregistrierung | Nicht unterstützt. | Abgestützt; ermöglicht die Zertifikatregistrierung von außerhalb des Unternehmensnetzwerks. |
Weitere Informationen zur Gesamtstrukturkonsolidierung und verwendung von Umkreisnetzwerken finden Sie unter Zertifikatregistrierungswebdienst in Active Directory-Zertifikatdiensten.
Bereitstellungstopologie
Sie können die ZS-Webregistrierung auf einem Server installieren, der keine ZS ist, um den Web-Datenverkehr von der ZS zu trennen. Bei der Installation der ZS-Webregistrierung wird der Computer als Registrierungsstelle konfiguriert. Sie müssen eine ZS auswählen, die zusammen mit den ZS-Webregistrierungs-Seiten verwendet werden soll. Die Zertifizierungsstelle, die die Webregistrierung der Zertifizierungsstelle verwendet, ist die Zielzertifizierungsstelle auf der Benutzeroberfläche. Sie können die Zielzertifizierungsstelle auswählen, die Sie verwenden möchten, indem Sie entweder den Ca-Namen oder den Computernamen verwenden, der der Zertifizierungsstelle zugeordnet ist.
Wenn Sie die Webregistrierungsseiten der Zertifizierungsstelle auf einem Computer installieren, auf dem es sich nicht um die Zielzertifizierungsstelle handelt, muss das Computerkonto, auf dem Sie die Webregistrierungsseiten der Zertifizierungsstelle installiert haben, für die Delegierung vertrauenswürdig sein. Weitere Informationen finden Sie unter Install Web Enrollment Support on Another Computer (Optional) and How to configure the Windows Server 2008 CA Web Enrollment Proxy.
Hinweis
Wenn die Webregistrierungsseiten der Zertifizierungsstelle nicht erfolgreich auf einer migrierten Zertifizierungsstelle installiert werden, ist es möglich, dass der Setupstatus in der Registrierung nicht ordnungsgemäß konfiguriert ist. Weitere Informationen finden Sie unter Konfiguration der Zertifizierungsstelle für die Webregistrierung fehlgeschlagen 0x80070057 (WIN32: 87).
Die ZS-Webregistrierungs-Seiten müssen mit Secure Sockets Layer (SSL) / Transport Layer Security (TLS) gesichert werden. Wenn dies nicht der Grund ist, wird die folgende Fehlermeldung angezeigt: Um die Zertifikatregistrierung abzuschließen, muss die Website für die Zertifizierungsstelle so konfiguriert sein, dass die HTTPS-Authentifizierung verwendet wird. Weitere Informationen zum Konfigurieren der HTTPS-Authentifizierung finden Sie unter Active Directory-Zertifikatdienste (AD CS): Fehler: "Um die Zertifikatregistrierung abzuschließen, muss die Website für die Zertifizierungsstelle für die Verwendung der HTTPS-Authentifizierung konfiguriert werden.
Verwenden der Webregistrierungsseiten der Zertifizierungsstelle
Wenn Ihnen Zugriffsberechtigungen gewährt werden, können Sie die folgenden Aufgaben auf den Webregistrierungsseiten der Zertifizierungsstelle ausführen:
Fordern Sie ein Basiszertifikat an.
Fordern Sie ein Zertifikat mit erweiterten Optionen an. Das Anfordern mit erweiterten Optionen bietet Ihnen eine bessere Kontrolle über die Zertifikatanforderung. Zu den verfügbaren Optionen in einer erweiterten Zertifikatanforderung gehören:
In den Optionen für kryptografische Dienstanbieter (CSP) können Sie den Namen des kryptografischen Dienstanbieters, die Schlüsselgröße (1024, 2048 usw.), den Hashalgorithmus (z. B. SHA/RSA, SHA/DSA, MD2 oder MD5) und die Schlüsselspezifikation (Austausch oder Signatur) konfigurieren.
Mit den Optionen für die Schlüsselgenerierung können Sie einen neuen Schlüsselsatz erstellen oder einen vorhandenen Schlüsselsatz verwenden, die Schlüssel als exportierbar markieren, starken Schlüsselschutz aktivieren und den lokalen Computerspeicher verwenden, um den Schlüssel zu generieren.
Weitere Optionen. Speichern Sie die Anforderung in einer PKCS #10-Datei, oder fügen Sie dem Zertifikat bestimmte Attribute hinzu.
Überprüfen Sie eine ausstehende Zertifikatanforderung. Wenn Sie eine Zertifikatanforderung an eine eigenständige Zertifizierungsstelle übermitteln, müssen Sie den Status der ausstehenden Anforderung überprüfen, um sicherzustellen, dass die Zertifizierungsstelle das Zertifikat ausgestellt hat. Wenn die Zertifizierungsstelle das Zertifikat ausgestellt hat, steht es auf der Webseite zur Verfügung, damit Sie es installieren können.
Rufen Sie das Zertifikat der Zertifizierungsstelle ab, um es in Ihrem vertrauenswürdigen Stammspeicher zu platzieren, oder installieren Sie die gesamte Zertifikatkette in Ihrem Zertifikatspeicher.
Rufen Sie die aktuellen Basis- und Delta-CRLs ab.
Senden Sie eine Zertifikatanforderung mithilfe einer PKCS #10-Datei oder einer PKCS #7-Datei. Im Allgemeinen verwenden Sie eine PKCS #10-Datei, um eine Anforderung für ein neues Zertifikat und eine PKCS #7-Datei zu senden, um eine Anforderung zum Verlängern eines vorhandenen Zertifikats zu senden. Das Übermitteln von Anforderungen mit Dateien ist nützlich, wenn der Zertifikatsanforderungser keine Onlineanforderung an die Zertifizierungsstelle übermitteln kann.
Diese Webseiten befinden sich unter der Adresse https://<servername>/certsrv, wobei <servername> der Name des Servers ist, der die ZS-Webregistrierungs-Seiten hostet. Der certsrv Teil der URL sollte immer in Kleinbuchstaben geschrieben sein. Andernfalls können Benutzer Probleme beim Überprüfen und Abrufen ausstehender Zertifikate haben.
Nächste Schritte
Weitere Informationen zur Webregistrierung und zur Problembehandlung häufiger Probleme finden Sie in den folgenden Artikeln: