Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zertifikatsvorlagen werden über das Snap-In Zertifikatsvorlagen Microsoft Management Console (MMC) verwaltet. Mit diesem Snap-In können Sie Active Directory Certificate Services (AD CS) sowohl lokal als auch remote verwalten.
Vorlagen verwalten
Sie müssen Mitglied von Domain Admins sein, um auf Zertifikatsvorlagen für eine Domain zugreifen und diese verwalten zu können. Um dieses Snap-In hinzuzufügen, installieren Sie die AD CS-Verwaltungstools auf dem Verwaltungscomputer. Die AD CS-Verwaltungstools sind Teil der Remote Server Administration Tools (RSAT). Sie können die Verwaltungstools auf einem Windows Server-Computer installieren, indem Sie den folgenden PowerShell-Befehl in einer erweiterten PowerShell-Sitzung ausführen:
Install-WindowsFeature RSAT-ADCS
So konfigurieren Sie eine MMC für die Verwendung des Snap-Ins „Zertifikatsvorlagen“:
- Klicken Sie mit der rechten Maustaste auf Start, klicken Sie auf Ausführen, und geben Sie mmc ein.
- Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
- Doppelklicken Sie im Dialogfeld Snap-Ins hinzufügen und entfernen auf das Snap-In Zertifikatsvorlagen, um es der Liste hinzuzufügen. Klicken Sie auf OK.
Erstellen Sie eine neue Zertifikatsvorlage
Sie können eine neue Zertifikatsvorlage erstellen, indem Sie eine vorhandene Vorlage duplizieren und die Eigenschaften der vorhandenen Vorlage als Standard für die neue Vorlage verwenden. Prüfen Sie die Liste der Standardzertifikatsvorlagen und untersuchen Sie deren Eigenschaften, um die vorhandene Zertifikatsvorlage zu ermitteln, die Ihren Anforderungen am ehesten entspricht. Zum Durchführen dieses Verfahrens ist mindestens die Mitgliedschaft in Domänen-Admins oder eine entsprechende Berechtigung erforderlich.
So erstellen Sie eine neue Zertifikatsvorlage:
- Öffnen Sie das Snap-In Zertifikatsvorlagen und stellen Sie eine Verbindung zum AC CS Enterprise-Root- oder untergeordneten Server her.
- Klicken Sie mit der rechten Maustaste auf die Vorlage, von der Sie kopieren möchten, und klicken Sie dann auf Vorlage duplizieren.
- Wählen Sie die minimale Betriebssystemversion der AD CS-Zertifizierungsstelle (CA), die Sie unterstützen möchten. Die aktuellste Version von Windows Server, die Sie auswählen können, ist Windows Server 2016. Sie können auch das minimale Empfängerbetriebssystem für die Zertifikatsvorlage auswählen, wobei die neueste Version Windows 10/Windows Server 2016 ist.
- Geben Sie einen Namen für die Zertifikatsvorlage an und konfigurieren Sie die Vorlageneinstellungen.
Löschen einer Zertifikatsvorlage
Sie können eine Zertifikatsvorlage löschen, wenn sie nicht mehr zur Verfügung stehen soll. Wenn Sie eine Zertifikatsvorlage löschen, können keine Zertifikate mehr ausgestellt werden, die auf dieser Vorlage basieren. Das Löschen von Vorlagen betrifft alle CAs in einem Forest. Einmal gelöschte Zertifikatsvorlagen können nicht wiederhergestellt werden. Zum Löschen einer Zertifikatsvorlage ist die Mitgliedschaft bei Domain Admins oder Enterprise Admins oder eine gleichwertige Mitgliedschaft erforderlich.
Führen Sie zum Löschen einer Zertifikatsvorlage die folgenden Schritte aus:
- Öffnen Sie eine MMC mit dem Snap-In Zertifikatsvorlagen.
- Klicken Sie mit der rechten Maustaste auf die Vorlage, die Sie löschen möchten, und dann auf Löschen.
- Klicken Sie auf Ja, um zu bestätigen, dass Sie die Vorlage löschen möchten.
Umbenennen einer Zertifikatsvorlage
Die Namen der Standard-Zertifikatsvorlagen können nicht geändert werden. Administratoren können die Namen von benutzerdefinierten Zertifikatsvorlagen ändern. Der Vorlagenname ist das Common Name-Attribut des Zertifikatvorlagenobjekts in Active Directory Domain Services (AD DS). Nur dieses Vorlagenobjekt wird aktualisiert, wenn der Vorlagenname geändert wird. Wurde die geänderte Vorlage zuvor bei den ausstellenden Zertifizierungsstellen (CAs) veröffentlicht oder zu einer Liste der überholten Vorlagen hinzugefügt, müssen diese Vorgänge wiederholt werden, um die Konsistenz der PKI-Umgebung (Public Key Infrastructure) zu wahren.
So ändern Sie den Namen einer Zertifikatsvorlage:
- Öffnen Sie das Snap-In „Zertifikatsvorlagen“ und verbinden Sie sich mit der AD CS CA.
- Wählen Sie die Zertifikatsvorlage aus, die Sie ändern möchten. Klicken Sie im Menü Aktion auf Namen ändern.
- Geben Sie einen neuen Namen in das Feld Vorlagenname oder in das Feld Anzeigename der Vorlage oder in beide ein.
- Klicken Sie auf OK, um die Änderungen zu speichern.
Wenn die geänderte Vorlage bereits an ausstellende CAs veröffentlicht wurde, entfernen Sie die Vorlage aus den Zertifikatsvorlagen dieser ausstellenden CAs, starten Sie die Computer dieser ausstellenden CAs neu und fügen Sie die umbenannte Vorlage zu den ausstellenden CAs hinzu. Wenn eine andere Vorlage die geänderte Vorlage ersetzt, dann aktualisieren Sie die ersetzende Vorlage, indem Sie die geänderte Vorlage zur Liste der ersetzten Vorlagen hinzufügen.
Bereitstellen von Zertifikatsvorlagen für eine CA
Wenn Sie eine Unternehmenszertifizierungsstelle (CA) erstellen, werden Zertifikatsvorlagen in Active Directory Domain Services (AD DS) gespeichert und können allen Unternehmens-CAs in der Gesamtstruktur zur Verfügung gestellt werden. Alle neu erstellten Zertifikatsvorlagen werden automatisch auf alle Domänencontroller im Unternehmen repliziert.
Um eine CA so zu konfigurieren, dass sie Zertifikate auf der Grundlage einer Zertifikatsvorlage ausstellt, führen Sie die folgenden Schritte aus:
- Öffnen Sie das Snap-In Zertifizierungsstelle und doppelklicken Sie auf den Namen der Zertifizierungsstelle.
- Klicken Sie mit der rechten Maustaste auf Zertifikatsvorlagen, klicken Sie auf Neu und dann auf Zertifikatsvorlage zum Ausstellen.
- Wählen Sie die Zertifikatsvorlage aus, und klicken Sie auf OK.
Entfernen einer Zertifikatsvorlage aus einer CA
Es kann notwendig sein, eine Zertifikatsvorlage von einer Zertifizierungsstelle (CA) zu entfernen. Zum Beispiel, wenn Sie Verwechslungen vermeiden wollen, wenn Sie eine neuere Version der Zertifikatsvorlage hinzufügen wollen.
So entfernen Sie eine Zertifikatsvorlage aus einer CA:
- Öffnen Sie das Snap-In "Zertifizierungsstelle".
- Klicken Sie in der Konsolenstruktur auf Zertifikatsvorlagen.
- Klicken Sie in der Detailansicht mit der rechten Maustaste auf die Zertifikatsvorlage, die Sie löschen möchten, und klicken Sie dann auf Löschen.
Sie können die eingebauten Zertifikatsvorlagen nicht entfernen.