Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Führen Sie die folgenden Schritte aus, um Active Directory-Zertifikatdienste (AD CS) einzurichten. Auf diese Weise können Sie Serverzertifikate für Server ausstellen, auf denen der Netzwerkrichtlinienserver (Network Policy Server, NPS), der Routing- und RAS-Dienst (Routing and Remote Access Service, RRAS) oder beide betrieben werden.
Voraussetzungen
Die Mitgliedschaft in den Unternehmensadministratoren und der Gruppe "Domänenadministratoren " der Stammdomäne ist die Mindestanforderung, um dieses Verfahren abzuschließen.
Bevor Sie Active Directory-Zertifikatdienste installieren, müssen Sie den Computer benennen, den Computer mit einer statischen IP-Adresse konfigurieren und dem Computer zur Domäne beitreten.
- Weitere Informationen zum Ausführen dieser Aufgaben finden Sie in den Komponenten des Windows Server Core-Netzwerks.
- Zum Ausführen dieses Verfahrens muss der Computer, auf dem Sie AD CS installieren, einer Domäne beigetreten sein, in der Active Directory Domain Services (AD DS) installiert ist.
Installieren von Active Directory-Zertifikatdiensten mit PowerShell
Führen Sie die folgenden Schritte aus, um Windows PowerShell zum Installieren von Active Directory-Zertifikatdiensten zu verwenden.
Öffnen Sie Windows PowerShell, und geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementToolsGeben Sie nach der Installation von AD CS den folgenden Befehl ein, und drücken Sie die EINGABETASTE.
Install-AdcsCertificationAuthority -CAType EnterpriseRootCA
Weitere Informationen zu diesem Cmdlet und den verfügbaren Parametern finden Sie unter Install-AdcsCertificationAuthority.
Installieren von Active Directory-Zertifikatdiensten mithilfe des Server-Managers
Führen Sie die folgenden Schritte aus, um den Server-Manager zum Installieren von Active Directory-Zertifikatdiensten zu verwenden.
Melden Sie sich als Mitglied der Gruppe Unternehmens-Admins und der Gruppe Domänen-Admins der Stammdomäne an.
Wählen Sie im Server-Manager "Verwalten" und dann " Rollen und Features hinzufügen" aus , um den Assistenten zum Hinzufügen von Rollen und Features zu öffnen.
Wählen Sie "Weiter" in "Bevor Sie beginnen" aus.
Hinweis
Die Seite "Vor Beginn " des Assistenten zum Hinzufügen von Rollen und Features wird nicht angezeigt, wenn Sie diese Seite zuvor standardmäßig überspringen ausgewählt haben.
Stellen Sie unter "Installationstyp auswählen" sicher, dass Role-Based oder featurebasierte Installation ausgewählt ist, und wählen Sie dann "Weiter" aus.
Stellen Sie sicher, dass unter Zielserver auswählen die Option Einen Server aus dem Serverpool auswählen aktiviert ist. Wählen Sie unter Serverpool den lokalen Computer aus. Wählen Sie Weiteraus.
Wählen Sie auf der Seite Serverrollen auswählen unter Rollen die Option Active Directory-Zertifikatsdienste aus. Wenn Sie aufgefordert werden, erforderliche Features hinzuzufügen, wählen Sie "Features hinzufügen" und dann "Weiter" aus.
Wählen Sie in "Features auswählen" die Option "Weiter" aus.
Lesen Sie in den Active Directory-Zertifikatdiensten die bereitgestellten Informationen, und wählen Sie dann "Weiter" aus.
Klicken Sie unter Installationsauswahl bestätigen auf Installieren. Schließen Sie den Assistenten während des Installationsvorgangs nicht. Wenn die Installation abgeschlossen ist, wählen Sie "Active Directory-Zertifikatdienste konfigurieren" auf dem Zielserver aus. Der Konfigurations-Assistent für AD CS wird geöffnet. Lesen Sie die Anmeldeinformationen, und geben Sie bei Bedarf die Anmeldeinformationen für ein Konto an, das Mitglied der Unternehmensadministratorgruppe ist. Wählen Sie Weiteraus.
Wählen Sie in Rollendienstendie Zertifizierungsstelle und dann "Weiter" aus.
Überprüfen Sie auf der Seite "Setuptyp ", ob die Enterprise-Zertifizierungsstelle ausgewählt ist, und wählen Sie dann "Weiter" aus.
Überprüfen Sie auf der Seite "Specify the type of the CA", ob Stamm-CA ausgewählt ist, und wählen Sie dann Weiter aus.
Überprüfen Sie auf der Seite " Angeben des Typs des privaten Schlüssels ", ob " Neuen privaten Schlüssel erstellen " ausgewählt ist, und wählen Sie dann "Weiter" aus.
Übernehmen Sie auf der Seite Kryptografie für Zertifizierungsstelle die Standardeinstellungen für CSP (RSA#Microsoft Software Key Storage Provider) und Hashalgorithmus (SHA2), und legen Sie die beste Schlüsselzeichenlänge für die Bereitstellung fest. Große Schlüsselzeichenlängen bieten optimale Sicherheit, können jedoch die Serverleistung beeinträchtigen und sind möglicherweise nicht mit Legacyanwendungen kompatibel. Es wird empfohlen, die Standardeinstellung 2048 beizubehalten. Wählen Sie Weiteraus.
Behalten Sie auf der Seite ZS-Name den vorgeschlagenen allgemeinen Namen für die ZS bei, oder ändern Sie den Namen entsprechend Ihren Anforderungen. Stellen Sie sicher, dass der Name der Zertifizierungsstelle mit Ihren Benennungskonventionen und -zwecken kompatibel ist, da Sie den Zertifizierungsstellennamen nach der Installation von AD CS nicht ändern können. Wählen Sie Weiteraus.
Geben Sie auf der Seite Gültigkeitsdauer unter Geben Sie die Gültigkeitsdauer an die Zahl ein, und wählen Sie einen Zeitwert aus (Jahre, Monate, Wochen oder Tage). Die Standardeinstellung von fünf Jahren wird empfohlen. Wählen Sie Weiteraus.
Geben Sie auf der Seite Zertifizierungsstellendatenbank unter Geben Sie die Orte der Datenbank an den Ordnerspeicherort für die Zertifikatdatenbank und das Zertifikatdatenbankprotokoll an. Wenn Sie andere Speicherorte als die Standardspeicherorte angeben, stellen Sie sicher, dass die Ordner mit Zugriffssteuerungslisten (ACLs) gesichert werden, die verhindern, dass nicht autorisierte Benutzer oder Computer auf die ZS-Datenbank und Protokolldateien zugreifen. Wählen Sie Weiteraus.
Wählen Sie in "Bestätigung" die Option "Konfigurieren" aus, um Ihre Auswahl anzuwenden, und wählen Sie dann "Schließen" aus.