Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zertifikatvorlagen können die Aufgabe der Verwaltung einer Active Directory-Zertifizierungsstelle (AD CS) erheblich vereinfachen, indem ein Administrator Zertifikate ausstellen kann, die für ausgewählte Aufgaben vorkonfiguriert sind. Mit dem Snap-In "Zertifikatvorlagen" kann ein Administrator die folgenden Aufgaben ausführen:
- Eigenschaften für jede Zertifikatvorlage anzeigen.
- Kopieren und Ändern von Zertifikatvorlagen
- Steuern, welche Benutzer und Computer Vorlagen lesen und für Zertifikate registrieren können.
- Führen Sie andere administrative Aufgaben im Zusammenhang mit Zertifikatvorlagen aus.
Zertifikatsvorlagen sind die Gruppen von Regeln und Einstellungen, die auf einer Zertifizierungsstelle zur Anwendung auf eingehende Zertifikatanforderungen konfiguriert werden. Zertifikatvorlagen geben dem Client außerdem Anweisungen zum Erstellen und Übermitteln einer gültigen Zertifikatanforderung.
Nur eine Unternehmenszertifizierungsstelle kann Zertifikate basierend auf einer Zertifikatvorlage ausstellen. Die Vorlagen werden in Active Directory Domain Services (AD DS) für die Verwendung durch jede Zertifizierungsstelle im Wald gespeichert. Dadurch kann die Zertifizierungsstelle immer Zugriff auf die aktuelle Standardvorlage haben und stellt eine konsistente Anwendung der Zertifikatrichtlinie in der Gesamtstruktur sicher.
Zertifikatvorlageneigenschaft
Zertifikatvorlagenversionen bestimmen, welche Features in einer Zertifikatvorlage verfügbar sind. Active Directory Certificate Services (AD CS) stellt drei Versionen von Zertifikatvorlagen bereit, die für Zertifizierungsstellen für Unternehmen verfügbar sind.
- Zertifikatvorlagen der Version 1 unterstützen allgemeine Zertifikatanforderungen und sind ab Windows 2000 mit allen Versionen von AD CS kompatibel. Vorlagen der Version 1 werden während der Einrichtung der Zertifizierungsstelle standardmäßig installiert und können nicht gelöscht werden. Die einzige Eigenschaft, die in einer Version 1-Vorlage geändert werden kann, ist die Gruppe der zugewiesenen Berechtigungen, die den Zugriff auf die Vorlage steuert. Die automatische Registrierung wird nur für benutzerdefinierte Skripts und über Gruppenrichtlinien unterstützt, wenn Computerzertifikate verwendet werden.
- Zertifikatvorlagen der Version 2 wurden mit Windows Server 2003 eingeführt. Ein Administrator kann Vorlagen für Version 2 konfigurieren, um zu steuern, wie Zertifikate angefordert, ausgestellt und verwendet werden. Version 2-Vorlagen bieten Unterstützung für die automatische Registrierung von Zertifikaten.
- Zertifikatvorlagen der Version 3 unterstützen alle Vorlagenfeatures der Version 2, bieten aber auch Unterstützung für Kryptografiealgorithmen von Suite B. Suite B wurde von der U.S. National Security Agency erstellt, um kryptografische Algorithmen anzugeben, die von US-Behörden verwendet werden müssen, um vertrauliche Informationen zu schützen. Zertifikatvorlagen der Version 3 sind über AD CS auf allen unterstützten Versionen von Windows Server verfügbar.
Standardzertifikatvorlagen
Eine Reihe von vorkonfigurierten Zertifikatvorlagen, die für die Anforderungen der meisten Organisationen konzipiert sind, sind in AD CS-Zertifizierungsstellen (CAs) enthalten. Neue Zertifikatvorlagen können durch Ändern einer Kopie einer vorhandenen vorkonfigurierten Vorlage erstellt werden. Die Standardzertifikatvorlagen werden in der folgenden Tabelle beschrieben:
| Name | BESCHREIBUNG | Schlüsselverwendung | Betrefftyp | In Active Directory Domain Services (AD DS) veröffentlicht? | Vorlagenversion |
|---|---|---|---|---|---|
| Administrator | Ermöglicht das Signieren von Vertrauenslisten und die Benutzerauthentifizierung. | Signatur und Verschlüsselung | Benutzer | Ja | 1 |
| Authentifizierte Sitzung | Ermöglicht es dem Antragsteller, sich bei einem Webserver zu authentifizieren. | Unterschrift | Benutzer | Nein | 1 |
| Basis-EFS | Wird vom Encrypting File System (EFS) zur Verschlüsselung von Daten verwendet. | Verschlüsselung | Benutzer | Ja | 1 |
| Zertifizierungsstellenaustausch | Wird verwendet, um Schlüssel zu speichern, die für die Archivierung privater Schlüssel konfiguriert sind. | Verschlüsselung | Rechner | Nein | 2 |
| CEP-Verschlüsselung | Ermöglicht es dem Zertifikatinhaber, als Registrierungsstelle für SCEP-Anforderungen (Simple Certificate Enrollment Protocol) zu fungieren. | Verschlüsselung | Rechner | Nein | 1 |
| Code-Signierung | Wird verwendet, um Software digital zu signieren. | Unterschrift | Benutzer | Nein | 1 |
| Rechner | Ermöglicht es einem Computer, sich selbst im Netzwerk zu authentifizieren. | Signatur und Verschlüsselung | Rechner | Nein | 1 |
| Kreuzzertifizierungsstelle | Wird für zertifizierungsübergreifende und qualifizierte Unterordnung verwendet. | Unterschrift | Kreuzzertifizierte Zertifizierungsstelle | Ja | 2 |
| E-Mail-Replikation für Verzeichnisse | Wird verwendet, um E-Mails innerhalb von AD DS zu replizieren. | Signatur und Verschlüsselung | Rechner | Ja | 2 |
| Domänencontroller | Wird von Domänencontrollern als allzweckbezogene Zertifikate verwendet. | Signatur und Verschlüsselung | Rechner | Ja | 1 |
| Domänencontrollerauthentifizierung | Wird zum Authentifizieren von Active Directory-Computern und -Benutzern verwendet. | Signatur und Verschlüsselung | Rechner | Nein | 2 |
| EFS-Wiederherstellungs-Agent | Ermöglicht dem Benutzer, Dateien zu entschlüsseln, die zuvor mit EFS verschlüsselt wurden. | Verschlüsselung | Benutzer | Nein | 1 |
| Registrierungs-Agent | Wird verwendet, um Zertifikate im Auftrag eines anderen Antragstellers anzufordern. | Unterschrift | Benutzer | Nein | 1 |
| Registrierungs-Agent (Computer) | Wird zum Anfordern von Zertifikaten im Namen eines anderen Computerantragstellers verwendet. | Unterschrift | Rechner | Nein | 1 |
| Exchange-Registrierungs-Agent (Offlineanforderung) | Wird verwendet, um Zertifikate im Namen eines anderen Antragstellers anzufordern und den Antragstellernamen in der Anforderung anzugeben. | Unterschrift | Benutzer | Nein | 1 |
| Nur Exchange-Signatur | Wird vom Microsoft Exchange-Schlüsselverwaltungsdienst verwendet, um Zertifikate an Exchange-Benutzer auszustellen, um E-Mails digital zu signieren. | Unterschrift | Benutzer | Nein | 1 |
| Exchange-Benutzer | Wird vom Microsoft Exchange-Schlüsselverwaltungsdienst zum Ausstellen von Zertifikaten für Exchange-Benutzer zum Verschlüsseln von E-Mails verwendet. | Verschlüsselung | Benutzer | Ja | 1 |
| IPSEC (IPSEC) | Wird von internet protocol security (IPsec) verwendet, um die Netzwerkkommunikation digital zu signieren, zu verschlüsseln und zu entschlüsseln. | Signatur und Verschlüsselung | Rechner | Nein | 1 |
| IPSEC (Offlineanforderung) | Wird von IPsec verwendet, um die Netzwerkkommunikation digital zu signieren, zu verschlüsseln und zu entschlüsseln, wenn der Antragstellername in der Anforderung angegeben wird. | Signatur und Verschlüsselung | Rechner | Nein | 1 |
| Kerberos-Authentifizierung | Wird zum Authentifizieren von Active Directory-Computern und -Benutzern verwendet. | Signatur und Verschlüsselung | Rechner | Nein | 2 |
| Schlüsselwiederherstellungs-Agent | Stellt private Schlüssel wieder her, die auf der Zertifizierungsstelle (CA) archiviert sind. | Verschlüsselung | Schlüsselwiederherstellungs-Agent | Nein | 2 |
| OCSP-Antwortsignatur | Wird von einem Onlineantworter verwendet, um Antworten auf Zertifikatstatusanforderungen zu signieren. | Unterschrift | Rechner | Nein | 3 |
| RAS- und IAS-Server | Ermöglicht Remotezugriffsservern und IAS-Servern (Internet Authentication Service), ihre Identität auf anderen Computern zu authentifizieren. | Signatur und Verschlüsselung | Rechner | Nein | 2 |
| Stammzertifizierungsstelle | Wird verwendet, um die Identität der Stammzertifizierungsstelle nachzuweisen. | Unterschrift | CA | Nein | 1 |
| Router (Offline-Anfrage) | Wird von einem Router verwendet, wenn eine Anforderung an ihn durch eine SCEP-Anfrage von einer Zertifizierungsstelle gestellt wird, die ein CEP-Verschlüsselungszertifikat besitzt. | Signatur und Verschlüsselung | Rechner | Nein | 1 |
| Smartcard-Anmeldung | Ermöglicht es dem Inhaber, sich mithilfe einer Smartcard zu authentifizieren. | Signatur und Verschlüsselung | Benutzer | Nein | 1 |
| Smartcardbenutzer | Ermöglicht es dem Inhaber, E-Mails mithilfe einer Smartcard zu authentifizieren und zu schützen. | Signatur und Verschlüsselung | Benutzer | Ja | 1 |
| Untergeordnete Zertifizierungsstelle | Wird verwendet, um die Identität der Stammzertifizierungsstelle nachzuweisen. Wird von der übergeordneten Zertifizierungsstelle oder der Stammzertifizierungsstelle ausgestellt. | Unterschrift | CA | Nein | 1 |
| Unterzeichnung der Vertrauensliste | Ermöglicht es dem Inhaber, eine Vertrauensliste digital zu signieren. | Unterschrift | Benutzer | Nein | 1 |
| Benutzer | Wird von Benutzern für die E-Mail-, EFS- und Clientauthentifizierung verwendet. | Signatur und Verschlüsselung | Benutzer | Ja | 1 |
| Nur Benutzersignatur | Ermöglicht Benutzern das digitale Signieren von Daten. | Unterschrift | Benutzer | Nein | 1 |
| Webserver | Beweist die Identität eines Webservers. | Signatur und Verschlüsselung | Rechner | Nein | 1 |
| Arbeitsstationsauthentifizierung | Ermöglicht Clientcomputern die Authentifizierung ihrer Identität auf Servern. | Signatur und Verschlüsselung | Rechner | Nein | 2 |