Bereitstellen von Serverzertifikaten für drahtgebundene und drahtlose 802.1X-Bereitstellungen

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Mit dieser Anleitung können Sie Serverzertifikate auf Ihren Remotezugriffs- und NPS-Infrastrukturservern (Network Policy Server, Netzwerkrichtlinienserver) bereitstellen.

Dieses Handbuch enthält die folgenden Abschnitte:

• Voraussetzung für die Verwendung dieses Handbuchs

• Nicht in diesem Handbuch enthaltene Informationen

• Technologieübersicht

• Serverzertifikatbereitstellung: Übersicht

• Serverzertifikatbereitstellung: Planung

• Bereitstellung von Serverzertifikaten

Digitale Serverzertifikate

Diese Anleitung enthält Anweisungen zum Verwenden von Active Directory Certificate Services (AD CS), um Zertifikate bei Remotezugriffs- und NPS-Infrastrukturservern automatisch zu registrieren. AD CS ermöglichen es Ihnen, eine Public Key Infrastructure (PKI) zu erstellen und Verschlüsselung für öffentliche Schlüssel, digitale Zertifikate und Funktionen für digitale Signaturen in Ihrer Organisation bereitzustellen.

Wenn Sie digitale Serverzertifikate für die Authentifizierung zwischen Computern in Ihrem Netzwerk verwenden, bieten die Zertifikate Folgendes:

1. Vertraulichkeit durch Verschlüsselung.
2. Integrität durch digitale Signaturen.
3. Authentifizierung durch Zuordnung von Zertifikatschlüsseln zu Computer-, Benutzer- oder Gerätekonten in einem Computernetzwerk

Servertypen

Mithilfe dieser Anleitung können Sie Serverzertifikate für die folgenden Servertypen bereitstellen.

• Server, auf denen der Remotezugriffsdienst ausgeführt wird, also DirectAccess- oder Standard-VPN-Server und Mitglieder der RAS- und IAS-Servergruppe
• Server, auf denen der NPS-Dienst (Netzwerkrichtlinienserver) ausgeführt wird und Mitglieder der RAS- und IAS-Servergruppe

Vorteile der automatischen Registrierung von Zertifikaten

Die automatische Registrierung von Serverzertifikaten (auch als „autoenrollment“ bezeichnet) bietet die folgenden Vorteile.

• Die AD CS-Zertifizierungsstelle (ZS) registriert ein Serverzertifikat automatisch für alle NPS- und Remotezugriffsserver.
• Alle Computer in der Domäne erhalten automatisch Ihr Zertifizierungsstellenzertifikat, das im Speicher der vertrauenswürdigen Stammzertifizierungsstellen auf jedem Computer der Domänenmitglieder installiert ist. Aus diesem Gründen vertrauen alle Computer in der Domäne den Zertifikaten, die von Ihrer Zertifizierungsstelle ausgestellt werden. Diese Vertrauensstellung ermöglicht es Ihren Authentifizierungsservern, sich gegenseitig ihre Identität nachzuweisen und sicher zu kommunizieren.
• Außer beim Aktualisieren von Gruppenrichtlinie ist die manuelle Neukonfiguration aller Server nicht erforderlich.
• Jedes Serverzertifikat umfasst sowohl den Zweck der Serverauthentifizierung als auch den Zweck der Clientauthentifizierung in Erweiterungen für die erweiterte Schlüsselverwendung (EKU).
• Skalierbarkeit. Nachdem Sie Ihre Stammzertifizierungsstelle im Unternehmen mithilfe dieser Anleitung bereitgestellt haben, können Sie Ihre Public Key-Infrastruktur (PKI) erweitern, indem Sie untergeordnete Unternehmenszertifizierungsstellen hinzufügen.
• Verwaltbarkeit. Sie können Sie AD CS mithilfe der AD CS-Konsole oder mithilfe von Windows PowerShell-Befehlen und Skripts verwalten.
• Einfachheit. Sie geben die Server an, auf denen Serverzertifikate mithilfe von Active Directory-Gruppenkonten und Gruppenmitgliedschaften registriert werden.
• Wenn Sie Serverzertifikate bereitstellen, basieren die Zertifikate auf einer Vorlage, die Sie gemäß den Anweisungen in dieser Anleitung konfigurieren. Dies bedeutet, dass Sie verschiedene Zertifikatvorlagen für bestimmte Servertypen anpassen können, oder Sie können dieselbe Vorlage für alle Serverzertifikate verwenden, die Sie ausgeben möchten.

Voraussetzung für die Verwendung dieses Handbuchs

Diese Anleitung enthält Anweisungen zum Bereitstellen von Serverzertifikaten mithilfe von AD CS und der IIS-Serverrolle in Windows Server 2016. Zur Durchführung der Verfahren in dieser Anleitung müssen die folgenden Voraussetzungen erfüllt sein.

• Sie müssen ein Hauptnetzwerk mithilfe des Leitfadens zum Hauptnetzwerk für Windows Server 2016 bereitstellen, oder die im Leitfaden zum Hauptnetzwerk beschriebenen Technologien müssen bereits in Ihrem Netzwerk installiert sein und ordnungsgemäß funktionieren. Zu diesen Technologien zählen TCP/IP-v4, DHCP, Active Directory Domain Services (AD DS), DNS und NPS.

  Hinweis

  Der Leitfaden zum Hauptnetzwerk für Windows Server 2016 ist in der technischen Bibliothek für Windows Server 2016 verfügbar. Weitere Informationen finden Sie unter Leitfaden zum Hauptnetzwerk.

• Sie müssen den Planungsabschnitt dieses Leitfadens lesen, um sicherzustellen, dass Sie auf diese Bereitstellung vorbereitet sind, bevor Sie sie durchführen.

• Sie müssen die Schritte in dieser Anleitung in der vorgesehenen Reihenfolge ausführen. Überspringen Sie die Schritte zur Bereitstellung des Servers nicht, und stellen Sie Ihre Zertifizierungsstelle bereit, sonst schlägt die Bereitstellung fehl.

• Sie müssen in der Lage sein, zwei neue Server in Ihrem Netzwerk einzurichten: einen Server, auf dem Sie AD CS als Stammzertifizierungsstelle im Unternehmen installieren und einen Server, auf dem Sie Webserver (IIS) installieren, damit Ihre Zertifizierungsstelle die Zertifikatsperrliste (CRL) auf dem Webserver veröffentlichen kann.

Hinweis

Sie können den Web- und AD CS-Servern, die Sie mithilfe dieser Anleitung bereitstellen, eine statische IP-Adresse zuzuweisen, sowie die Computer entsprechend den Namenskonventionen Ihrer Organisation benennen. Darüber hinaus müssen Sie die Computer Ihrer Domäne hinzufügen.

Nicht in diesem Handbuch enthaltene Informationen

Diese Anleitung bietet keine umfassende Informationen zum Entwerfen und Bereitstellen einer Public Key-Infrastruktur (PKI) mithilfe von AD CS. Es wird empfohlen, die AD CS-Dokumentation und die PKI-Entwurfsdokumentation zu lesen, bevor Sie die in dieser Anleitung beschriebenen Technologien einsetzen.

Technologieübersicht

Nachfolgend sind die Technologien für AD CS und Webserver (IIS) aufgeführt.

Active Directory-Zertifikatdienste

AD CS in Windows Server 2016 bietet anpassbare Dienste zum Erstellen und Verwalten von X.509-Zertifikaten, die in Softwaresicherheitssystemen verwendet werden, die Public Key-Technologien einsetzen. Organisationen können AD CS zum Optimieren der Sicherheit verwenden, indem sie die Identität einer Person, eines Geräts oder Diensts an einen entsprechenden öffentlichen Schlüssel binden. AD CS enthält auch Features, mit denen Sie die Zertifikatregistrierung und -sperrung in einer Vielzahl von skalierbaren Umgebungen verwalten können.

Weitere Informationen finden Sie unter Übersicht über die Active Directory-Zertifikatdienste und Anleitung zum Entwerfen der Public Key-Infrastruktur (PKI).

Webserver (IIS)

Die Rolle „Webserver (IIS)“ in Windows Server 2016 stellt eine sichere, leicht zu verwaltende, modulare und erweiterbare Plattform für das zuverlässige Hosting von Websites, Diensten und Anwendungen bereit. Mit IIS können Sie Informationen gemeinsamen mit Benutzern im Internet, in einem Intranet oder in einem Extranet verwenden. IIS ist eine einheitliche Webplattform, mit der IIS, ASP.NET, FTP-Dienste, PHP und Windows Communication Foundation (WCF) integriert sind.

Weitere Informationen finden Sie unter Übersicht über Webserver (IIS).