Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Webdienst für Zertifikatregistrierungsrichtlinien ermöglicht Benutzern und Computern das Abrufen von Zertifikatregistrierungsrichtlinieninformationen, auch wenn der Computer kein Mitglied einer Domäne ist oder wenn der Computer einer Domäne beigetreten ist, aber vorübergehend außerhalb des sicheren Unternehmensnetzwerks. Der Webdienst für Zertifikatregistrierungsrichtlinien arbeitet mit dem Zertifikatregistrierungswebdienst zusammen, um richtlinienbasierte automatische Zertifikatregistrierung für diese Benutzer und Computer bereitzustellen. Der Webdienst für zertifikatregistrierungsrichtlinien verwendet ein Registrierungsprotokoll basierend auf WS-Trust Jump. WS-Trust Jump ermöglicht das Abrufen von Zertifikatrichtlinien, die Zertifikatregistrierung und die Zertifikaterneuerung mithilfe des Hypertext-Übertragungsprotokolls (HTTP) über eine sichere Sockelschicht oder Transportschichtsicherheit (SSL/TLS) Verschlüsselung (HTTPS).
Der Webdienst für die Zertifikatregistrierungsrichtlinie kommuniziert mit Active Directory Domain Services (AD DS) mit standardmäßigen LDAP-Ports (Lightweight Directory Access Protocol) und den sicheren LDAP(LDAPS)-Ports, TCP 389 und TCP 636. Der Zertifikatregistrierungsrichtlinien-Webdienst verwendet standardmäßig die Anmeldeinformationen des DefaultAppPool (ApplicationPoolIdentity) der Internetinformationsdienste (IIS). Sie können das Konto während der Rolleninstallation nicht konfigurieren, aber Sie können es nach der Installation mithilfe des IIS-Managers ändern.
In diesem Artikel werden die Authentifizierungstypen beschrieben, die Sie beim Konfigurieren des Webdiensts für zertifikatregistrierungsrichtlinien im Server-Manager verwenden können. In diesem Artikel werden auch die Authentifizierungsoptionen beschrieben, die Ihnen vom Server-Manager zur Installation des Webdiensts für die Zertifikatregistrierungsrichtlinie angezeigt werden.
Authentifizierungstypen
Clients, die mit dem Zertifikatregistrierungsrichtlinienwebdienst kommunizieren, müssen einen der folgenden Authentifizierungstypen verwenden:
Integrierte Windows-Authentifizierung
Clientzertifikatsauthentifizierung
Benutzername und Kennwortauthentifizierung
Hinweis
Wenn Sie die schlüsselbasierte Verlängerung konfigurieren möchten, müssen Sie die Benutzernamen- und Kennwortauthentifizierung oder die Clientzertifikatauthentifizierung aktivieren. Der Webdienst für zertifikatregistrierungsrichtlinien unterstützt keine anonyme Authentifizierung.
Schlüsselbasierte Verlängerung
Der schlüsselbasierte Verlängerungsmodus ermöglicht es einem vorhandenen gültigen Zertifikat, eine Zertifikatverlängerungsanforderung zu authentifizieren. Mit diesem Feature können Computer, die nicht direkt mit dem internen Netzwerk verbunden sind, ein vorhandenes Zertifikat automatisch erneuern.
Hinweis
Wenn Sie den schlüsselbasierten Verlängerungsmodus für den Webdienst für die Zertifikatregistrierungsrichtlinie aktivieren, akzeptiert der Dienst keine Anforderungen für neue Zertifikate. Sie können mehrere Instanzen des Zertifikatregistrierungsrichtlinienwebdiensts auf Windows Server installieren, aber Sie müssen das Install-AdcsEnrollmentPolicyWebService PowerShell-Cmdlet verwenden, um neue Instanzen zu installieren und zu konfigurieren.
Serverzertifikat
Der Zertifikatregistrierungswebdienst und der Webdienst für die Zertifikatregistrierungsrichtlinie müssen SSL (Secure Sockets Layer) für die Kommunikation mit Clients verwenden, die sie mithilfe von HTTPS erreichen können. Jeder Dienst muss über ein gültiges Zertifikat mit einer EKU-Richtlinie (Enhanced Key Usage) der Serverauthentifizierung im zertifikatspeicher des lokalen Computers verfügen.
Hinweis
Wenn Sie noch kein SSL-Zertifikat für den Server bereitgestellt haben, auf dem der Webdienst für die Zertifikatregistrierung gehostet wird, befolgen Sie die Anweisungen in Konfigurieren von SSL/TLS auf einer Website in der Domäne mit einer Enterprise-Zertifizierungsstelle.