Bereitstellungshandbuch für lokale Zertifikatvertrauensstellungen
In diesem Artikel werden die Funktionen oder Szenarien von Windows Hello for Business beschrieben, die für Folgendes gelten:
Anforderungen
Bevor Sie mit der Bereitstellung beginnen, lesen Sie die im Artikel Planen einer Windows Hello for Business-Bereitstellung beschriebenen Anforderungen.
Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie beginnen:
Bereitstellungsschritte
Sobald die Voraussetzungen erfüllt sind, umfasst die Bereitstellung von Windows Hello for Business die folgenden Schritte:
Konfigurieren und Überprüfen der Public Key-Infrastruktur
In diesem Artikel werden die Funktionen oder Szenarien von Windows Hello for Business beschrieben, die für Folgendes gelten:
Windows Hello for Business muss über eine Public Key-Infrastruktur (PKI) verfügen, wenn das Schlüsselvertrauens- oder Zertifikatvertrauensmodell verwendet wird. Die Domänencontroller müssen über ein Zertifikat verfügen, das als Vertrauensstamm für Clients dient. Das Zertifikat stellt sicher, dass Clients nicht mit nicht autorisierten Domänencontrollern kommunizieren. Das Zertifikatvertrauensmodell erweitert die Ausstellung von Zertifikaten auf Clientcomputer. Während der Windows Hello for Business-Bereitstellung erhält der Benutzer ein Anmeldezertifikat.
Bereitstellen einer Unternehmenszertifizierungsstelle
In dieser Anleitung wird davon ausgegangen, dass die meisten Unternehmen über eine Public Key-Infrastruktur verfügen. Windows Hello for Business hängt von einer Unternehmens-PKI ab, auf der die Rolle Windows Server Active Directory-Zertifikatdienste ausgeführt wird.
Wenn Sie noch nicht über eine PKI verfügen, lesen Sie die Anleitungen für zertifizierungsstellen , um Ihre Infrastruktur ordnungsgemäß zu entwerfen. Anschließend finden Sie im Test lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy (Testumgebungshandbuch: Bereitstellen einer AD CS-Two-Tier PKI-Hierarchie ) Anweisungen zum Konfigurieren Ihrer PKI mithilfe der Informationen aus Ihrer Entwurfssitzung.
Labbasierte PKI
Die folgenden Anweisungen können verwendet werden, um eine einfache Public Key-Infrastruktur bereitzustellen, die für eine Labumgebung geeignet ist.
Melden Sie sich mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators auf einem Windows Server an, auf dem die Zertifizierungsstelle (Ca) installiert werden soll.
Hinweis
Installieren Sie niemals eine Zertifizierungsstelle auf einem Domänencontroller in einer Produktionsumgebung.
- Öffnen einer Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten
- Verwenden Sie den folgenden Befehl, um die Active Directory-Zertifikatdiensterolle zu installieren.
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
- Verwenden Sie den folgenden Befehl, um die Zertifizierungsstelle mithilfe einer grundlegenden Konfiguration der Zertifizierungsstelle zu konfigurieren.
Install-AdcsCertificationAuthority
Konfigurieren der Unternehmens-PKI
Konfigurieren von Domänencontrollerzertifikaten
Clients müssen den Domänencontrollern vertrauen, und die beste Möglichkeit, die Vertrauensstellung zu aktivieren, besteht darin, sicherzustellen, dass jeder Domänencontroller über ein Kerberos-Authentifizierungszertifikat verfügt. Durch die Installation eines Zertifikats auf den Domänencontrollern kann das Schlüsselverteilungscenter (Key Distribution Center, KDC) seine Identität gegenüber anderen Mitgliedern der Domäne nachweisen. Die Zertifikate stellen Clients einen Vertrauensstamm außerhalb der Domäne bereit, nämlich die Unternehmenszertifizierungsstelle.
Domänencontroller fordern automatisch ein Domänencontrollerzertifikat an (sofern veröffentlicht), wenn sie feststellen, dass eine Unternehmenszertifizierungsstelle zu Active Directory hinzugefügt wird. Die zertifikate, die auf den Zertifikatvorlagen Domänencontroller und Domänencontrollerauthentifizierung basieren, enthalten nicht den KDC Authentication Object Identifier (OID), der später dem Kerberos RFC hinzugefügt wurde. Daher müssen Domänencontroller ein Zertifikat anfordern, das auf der Zertifikatvorlage für die Kerberos-Authentifizierung basiert.
Standardmäßig stellt die Active Directory-Zertifizierungsstelle die Zertifikatvorlage für die Kerberos-Authentifizierung bereit und veröffentlicht sie. Die in der Vorlage enthaltene Kryptografiekonfiguration basiert auf älteren und weniger leistungsfähigen Kryptografie-APIs. Um sicherzustellen, dass Domänencontroller das richtige Zertifikat mit der besten verfügbaren Kryptografie anfordern, verwenden Sie die Zertifikatvorlage kerberos-Authentifizierung als Baseline , um eine aktualisierte Zertifikatvorlage für den Domänencontroller zu erstellen.
Wichtig
Die für die Domänencontroller ausgestellten Zertifikate müssen die folgenden Anforderungen erfüllen:
- Die Zertifikatsperrlisten-Verteilungspunkterweiterung muss auf eine gültige Zertifikatsperrliste oder eine AIA-Erweiterung (Authority Information Access) verweisen, die auf einen Online Certificate Status Protocol (OCSP)-Antworter verweist.
- Optional kann der Abschnitt antragsteller des Zertifikats den Verzeichnispfad des Serverobjekts (distinguished name) enthalten.
- Der Abschnitt "Zertifikatschlüsselverwendung" muss digitale Signatur und Schlüsselverschlüsselung enthalten.
- Optional sollte der Abschnitt Grundlegende Einschränkungen des Zertifikats Folgendes enthalten:
[Subject Type=End Entity, Path Length Constraint=None]
- Der Abschnitt zur erweiterten Schlüsselverwendung des Zertifikats muss Clientauthentifizierung (
1.3.6.1.5.5.7.3.2
), Serverauthentifizierung (1.3.6.1.5.5.7.3.1
) und KDC-Authentifizierung (1.3.6.1.5.2.3.5
) enthalten. - Der Abschnitt " Alternativer Antragstellername" des Zertifikats muss den DNS-Namen (Domain Name System) enthalten.
- Die Zertifikatvorlage muss über eine Erweiterung mit dem Wert
DomainController
verfügen, der als BMPstring codiert ist. Wenn Sie eine Windows Server Enterprise-Zertifizierungsstelle verwenden, ist diese Erweiterung bereits in der Zertifikatvorlage des Domänencontrollers enthalten. - Das Domänencontrollerzertifikat muss im Zertifikatspeicher des lokalen Computers installiert sein.
Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.
Öffnen der Verwaltungskonsole der Zertifizierungsstelle
Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen > Verwalten.
Klicken Sie in der Zertifikatvorlagenkonsole im Detailbereich mit der rechten Maustaste auf die Vorlage Kerberos-Authentifizierung, und wählen Sie Vorlage duplizieren aus.
Verwenden Sie die folgende Tabelle, um die Vorlage zu konfigurieren:
Registerkartenname Konfigurationen Kompatibilität - Deaktivieren Sie das Kontrollkästchen Resultierende Änderungen anzeigen .
- Auswählen von Windows Server 2016 aus der Liste der Zertifizierungsstelle
- Wählen Sie Windows 10/Windows Server 2016 aus der Liste Zertifizierungsempfänger aus.
Allgemein - Geben Sie einen Vorlagenanzeigenamen an, z. B. Domänencontrollerauthentifizierung (Kerberos)
- Legen Sie den Gültigkeitszeitraum auf den gewünschten Wert fest.
- Notieren Sie sich den Vorlagennamen für später, der mit dem Anzeigenamen der Vorlage minus Leerzeichen identisch sein sollte.
Antragstellername - Wählen Sie Aus diesen Active Directory-Informationen erstellen aus.
- Wählen Sie in der Liste Format des Antragstellernamensdie Option Keine aus.
- Wählen Sie DNS-Name aus der Liste Diese Informationen in alternative Antragsteller einschließen aus.
- Alle anderen Elemente löschen
Kryptografie - Festlegen der Anbieterkategorie auf Schlüsselspeicheranbieter
- Festlegen des Algorithmusnamens auf RSA
- Festlegen der Mindestschlüsselgröße auf 2048
- Festlegen des Anforderungshashs auf SHA256
Wählen Sie OK aus, um Ihre Änderungen abzuschließen und die neue Vorlage zu erstellen.
Schließen der Konsole
Vorhandene Domänencontrollerzertifikate ablösen
Die Domänencontroller verfügen möglicherweise über ein vorhandenes Domänencontrollerzertifikat. Die Active Directory-Zertifikatdienste stellen eine Standardzertifikatvorlage für Domänencontroller bereit, die als Domänencontrollerzertifikat bezeichnet wird. In späteren Versionen von Windows Server wurde eine neue Zertifikatvorlage mit dem Namen Domänencontroller-Authentifizierungszertifikat bereitgestellt. Diese Zertifikatvorlagen wurden vor der Aktualisierung der Kerberos-Spezifikation bereitgestellt, die besagt, dass Schlüsselverteilungszentren (Key Distribution Centers, KDCs) die Zertifikatauthentifizierung durchführen, die für die KDC-Authentifizierungserweiterung erforderlich sind.
Die Zertifikatvorlage kerberos-Authentifizierung ist die aktuellste Zertifikatvorlage, die für Domänencontroller bestimmt ist, und sollte die Vorlage sein, die Sie auf allen Domänencontrollern bereitstellen.
Mit der Automatischen Registrierung können Sie die Domänencontrollerzertifikate ersetzen. Verwenden Sie die folgende Konfiguration, um ältere Domänencontrollerzertifikate mithilfe der Zertifikatvorlage kerberos-Authentifizierung durch neue zu ersetzen.
Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.
- Öffnen der Verwaltungskonsole der Zertifizierungsstelle
- Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen > Verwalten.
- Klicken Sie in der Zertifikatvorlagenkonsole im Detailbereich mit der rechten Maustaste auf die Vorlage Domänencontrollerauthentifizierung (Kerberos) (oder den Namen der Zertifikatvorlage, die Sie im vorherigen Abschnitt erstellt haben) und wählen Sie Eigenschaften aus.
- Wählen Sie die Registerkarte Ersetzte Vorlagen aus. Wählen Sie Hinzufügen aus.
- Wählen Sie im Dialogfeld Abgelöste Vorlage hinzufügen die Zertifikatvorlage Domänencontroller und dann OK > Hinzufügen aus.
- Wählen Sie im Dialogfeld Abgelöste Vorlage hinzufügen die Zertifikatvorlage Domänencontroller-Authentifizierung aus, und wählen Sie OK aus.
- Wählen Sie im Dialogfeld Abgelöste Vorlage hinzufügen die Zertifikatvorlage Kerberos-Authentifizierung und dann OK aus.
- Fügen Sie der Registerkarte Abgelöste Vorlagen alle anderen Unternehmenszertifikatvorlagen hinzu, die zuvor für Domänencontroller konfiguriert wurden.
- Wählen Sie OK aus, und schließen Sie die Konsole "Zertifikatvorlagen".
Die Zertifikatvorlage ist so konfiguriert, dass sie alle in der Liste abgelösten Vorlagen bereitgestellten Zertifikatvorlagen ersetzt.
Die Zertifikatvorlage und die Ablösung von Zertifikatvorlagen sind jedoch erst aktiv, wenn die Vorlage in einer oder mehreren Zertifizierungsstellen veröffentlicht wurde.
Hinweis
Das Zertifikat des Domänencontrollers muss mit einem Stamm im NTAuth-Speicher verkettet werden. Standardmäßig wird das Stammzertifikat der Active Directory-Zertifizierungsstelle dem NTAuth-Speicher hinzugefügt. Wenn Sie eine Nicht-Microsoft-Zertifizierungsstelle verwenden, ist dies möglicherweise nicht standardmäßig möglich. Wenn das Domänencontrollerzertifikat nicht mit einem Stamm im NTAuth-Speicher verkettet wird, schlägt die Benutzerauthentifizierung fehl. Verwenden Sie den folgenden Befehl, um alle Zertifikate im NTAuth-Speicher anzuzeigen:
Certutil -viewstore -enterprise NTAuth
Konfigurieren einer zertifikatbasierten Vorlage für einen internen Webserver
Windows-Clients kommunizieren mit AD FS über HTTPS. Um diese Anforderung zu erfüllen, muss ein Serverauthentifizierungszertifikat für alle Knoten in der AD FS-Farm ausgestellt werden. Lokale Bereitstellungen können ein Serverauthentifizierungszertifikat verwenden, das von der Unternehmens-PKI ausgestellt wurde. Es muss eine Zertifikatvorlage für die Serverauthentifizierung konfiguriert werden, damit die AD FS-Knoten ein Zertifikat anfordern können.
Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.
Öffnen der Verwaltungskonsole der Zertifizierungsstelle
Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen > Verwalten.
Klicken Sie in der Zertifikatvorlagenkonsole im Detailbereich mit der rechten Maustaste auf die Vorlage Webserver, und wählen Sie Vorlage duplizieren aus.
Verwenden Sie die folgende Tabelle, um die Vorlage zu konfigurieren:
Registerkartenname Konfigurationen Kompatibilität - Deaktivieren Sie das Kontrollkästchen Resultierende Änderungen anzeigen .
- Auswählen von Windows Server 2016 aus der Liste der Zertifizierungsstelle
- Wählen Sie Windows 10/Windows Server 2016 aus der Liste Zertifizierungsempfänger aus.
Allgemein - Angeben eines Vorlagenanzeigenamens, z. B. interner Webserver
- Legen Sie den Gültigkeitszeitraum auf den gewünschten Wert fest.
- Notieren Sie sich den Vorlagennamen für später, der mit dem Anzeigenamen der Vorlage minus Leerzeichen identisch sein sollte.
Anforderungsverarbeitung Wählen Sie Exportieren des privaten Schlüssels zulassen aus. Antragstellername Wählen Sie in der Anforderung Angeben aus. Sicherheit Hinzufügen von Domänencomputern mit Registrierungszugriff Kryptografie - Festlegen der Anbieterkategorie auf Schlüsselspeicheranbieter
- Festlegen des Algorithmusnamens auf RSA
- Festlegen der Mindestschlüsselgröße auf 2048
- Festlegen des Anforderungshashs auf SHA256
Wählen Sie OK aus, um Ihre Änderungen abzuschließen und die neue Vorlage zu erstellen.
Schließen der Konsole
Konfigurieren einer Windows Hello for Business-Authentifizierungszertifikatvorlage
Während der Bereitstellung von Windows Hello for Business fordern Windows-Clients ein Authentifizierungszertifikat von AD FS an, das das Authentifizierungszertifikat im Namen des Benutzers anfordert. Mit dieser Aufgabe wird die Zertifikatvorlage für die Windows Hello for Business-Authentifizierung konfiguriert.
Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.
Öffnen der Verwaltungskonsole der Zertifizierungsstelle
Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus.
Klicken Sie in der Zertifikatvorlagenkonsole mit der rechten Maustaste auf die Vorlage Smartcard-Anmeldung, und wählen Sie Vorlage duplizieren aus.
Verwenden Sie die folgende Tabelle, um die Vorlage zu konfigurieren:
Registerkartenname Konfigurationen Kompatibilität - Deaktivieren Sie das Kontrollkästchen Resultierende Änderungen anzeigen .
- Auswählen von Windows Server 2016 aus der Liste der Zertifizierungsstelle
- Wählen Sie Windows 10/Windows Server 2016 aus der Liste Zertifizierungsempfänger aus.
Allgemein - Angeben eines Vorlagenanzeigenamens, z. B. WHFB-Authentifizierung
- Legen Sie den Gültigkeitszeitraum auf den gewünschten Wert fest.
- Notieren Sie sich den Vorlagennamen für später, der mit dem Anzeigenamen der Vorlage minus Leerzeichen identisch sein sollte.
Antragstellername - Wählen Sie Aus diesen Active Directory-Informationen erstellen aus.
- Wählen Sie in der Liste Format des Antragstellernamens die Option Vollständig unterschiedener Name aus.
- Aktivieren Sie das Kontrollkästchen Benutzerprinzipalname (UPN) unter Diese Informationen in alternativen Antragstellernamen einschließen.
Kryptografie - Festlegen der Anbieterkategorie auf Schlüsselspeicheranbieter
- Festlegen des Algorithmusnamens auf RSA
- Festlegen der Mindestschlüsselgröße auf 2048
- Festlegen des Anforderungshashs auf SHA256
Extensions Überprüfen Sie, ob die Erweiterung für Anwendungsrichtliniendie Smartcardanmeldung enthält. Ausstellungsanforderungen - Aktivieren Sie das Kontrollkästchen Diese Anzahl autorisierter Signaturen . Geben Sie 1 in das Textfeld ein.
- Wählen Sie anwendungsrichtlinie aus dem Richtlinientyp aus, der für die Signatur erforderlich ist.
- Wählen Sie in der Anwendungsrichtlinienliste den Zertifikatanforderungs-Agent aus.
- Wählen Sie die Option Gültiges vorhandenes Zertifikat aus.
Anforderungsverarbeitung Aktivieren Sie das Kontrollkästchen Mit demselben Schlüssel verlängern . Sicherheit - Wählen Sie Hinzufügen aus.
- Ziel einer Active Directory-Sicherheitsgruppe, die die Benutzer enthält, die Sie bei Windows Hello for Business registrieren möchten. Wenn Sie beispielsweise über eine Gruppe namens Window Hello for Business Users verfügen, geben Sie sie in das Textfeld Geben Sie die zu markierenden Objektnamen ein, und wählen Sie OK aus.
- Wählen Sie die Windows Hello for Business-Benutzer aus der Liste Gruppen- oder Benutzernamen aus . Im Abschnitt Berechtigungen für Windows Hello for Business-Benutzer :
- Aktivieren Sie das Kontrollkästchen Zulassen für die Berechtigung Registrieren .
- Deaktivieren Sie mit Ausnahme der obigen Gruppe (z. B. Windows Hello for Business-Benutzer) das Kontrollkästchen Zulassen für die Berechtigungen Registrieren und automatische Registrierung für alle anderen Einträge im Abschnitt Gruppen- oder Benutzernamen , wenn die Kontrollkästchen noch nicht deaktiviert sind.
- Wählen Sie OK aus.
Wählen Sie OK aus, um Ihre Änderungen abzuschließen und die neue Vorlage zu erstellen.
Schließen der Konsole
Kennzeichnen der Vorlage als Windows Hello-Anmeldevorlage
Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.
Öffnen Sie ein Eingabeaufforderungsende mit erhöhten Rechten, führen Sie den folgenden Befehl aus.
certutil.exe -dsTemplate WHFBAuthentication msPKI-Private-Key-Flag +CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY
Wenn die Vorlage erfolgreich geändert wurde, enthält die Ausgabe des Befehls alte und neue Werte der Vorlagenparameter. Der neue Wert muss den CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY
Parameter enthalten. Beispiel:
CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=[yourdomain]:WHFBAuthentication
Old Value:
msPKI-Private-Key-Flag REG_DWORD = 5050080 (84213888)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
New Value:
msPKI-Private-Key-Flag REG_DWORD = 5250080 (86311040)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY -- 200000 (2097152)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
CertUtil: -dsTemplate command completed successfully."
Hinweis
Wenn Sie Ihrer Windows Hello for Business-Authentifizierungszertifikatvorlage einen anderen Namen gegeben haben, ersetzen Sie WHFBAuthentication
im obigen Befehl durch den Namen Ihrer Zertifikatvorlage. Es ist wichtig, dass Sie den Namen der Vorlage und nicht den Vorlagenanzeigename verwenden. Sie können den Namen der Vorlage auf der Registerkarte Allgemein der Zertifikatvorlage mithilfe der Verwaltungskonsole für Zertifikatvorlagen (certtmpl.msc) anzeigen.
Aufheben der Veröffentlichung abgelöster Zertifikatvorlagen
Die Zertifizierungsstelle stellt Zertifikate nur basierend auf veröffentlichten Zertifikatvorlagen aus. Aus Sicherheitsgründen empfiehlt es sich, die Veröffentlichung von Zertifikatvorlagen aufzuheben, für die die Zertifizierungsstelle nicht konfiguriert ist, einschließlich der vorab veröffentlichten Vorlagen aus der Rolleninstallation und aller abgelösten Vorlagen.
Die neu erstellte Zertifikatvorlage für die Domänencontrollerauthentifizierung ersetzt frühere Domänencontrollerzertifikatvorlagen. Aus diesem Grund müssen Sie die Veröffentlichung dieser Zertifikatvorlagen von allen ausstellenden Zertifizierungsstellen aufheben.
Melden Sie sich bei der Zertifizierungsstelle oder Verwaltungsarbeitsstation mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.
- Öffnen der Verwaltungskonsole der Zertifizierungsstelle
- Erweitern Des übergeordneten Knotens im Navigationsbereich >Zertifikatvorlagen
- Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage für den Domänencontroller , und wählen Sie Löschen aus. Wählen Sie im Fenster Zertifikatvorlagen deaktivieren die Option Ja aus.
- Wiederholen Sie Schritt 3 für die Zertifikatvorlagen Domänencontrollerauthentifizierung und Kerberos-Authentifizierung .
Veröffentlichen von Zertifikatvorlagen für die Zertifizierungsstelle
Eine Zertifizierungsstelle kann nur Zertifikate für Zertifikatvorlagen ausstellen, die in ihr veröffentlicht wurden. Wenn Sie über mehrere Zertifizierungsstellen verfügen und möchten, dass mehr Zertifizierungsstellen Zertifikate basierend auf der Zertifikatvorlage ausstellen, müssen Sie die Zertifikatvorlage für diese veröffentlichen.
Melden Sie sich bei der Zertifizierungsstelle oder den Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.
- Öffnen der Verwaltungskonsole der Zertifizierungsstelle
- Erweitern des übergeordneten Knotens über den Navigationsbereich
- Wählen Sie im Navigationsbereich Zertifikatvorlagen aus.
- Klicken Sie mit der rechten Maustaste auf den Knoten Zertifikatvorlagen. Auswählen der ausstellenden neuen > Zertifikatvorlage
- Wählen Sie im Fenster Zertifikatvorlagen aktivieren die Vorlagen Domänencontrollerauthentifizierung (Kerberos),Interner Webserver und WHFB-Authentifizierung aus, die Sie in den vorherigen Schritten erstellt haben. Wählen Sie OK aus, um die ausgewählten Zertifikatvorlagen bei der Zertifizierungsstelle zu veröffentlichen.
- Wenn Sie die Zertifikatvorlage "Domänencontrollerauthentifizierung (Kerberos)" veröffentlicht haben, heben Sie die Veröffentlichung der Zertifikatvorlagen auf, die Sie in die Liste der ersetzten Vorlagen aufgenommen haben.
- Klicken Sie zum Aufheben der Veröffentlichung einer Zertifikatvorlage mit der rechten Maustaste auf die Zertifikatvorlage, die Sie aufheben möchten, und wählen Sie Löschen aus. Wählen Sie Ja aus, um den Vorgang zu bestätigen.
- Schließen der Konsole
Konfigurieren und Bereitstellen von Zertifikaten auf Domänencontrollern
Konfigurieren der automatischen Zertifikatregistrierung für die Domänencontroller
Domänencontroller fordern automatisch ein Zertifikat von der Zertifikatvorlage für den Domänencontroller an. Domänencontroller kennen jedoch keine neueren Zertifikatvorlagen oder abgelösten Konfigurationen in Zertifikatvorlagen. Damit Domänencontroller Zertifikate automatisch registrieren und erneuern können, konfigurieren Sie ein Gruppenrichtlinienobjekt für die automatische Zertifikatregistrierung, und verknüpfen Sie es mit der Organisationseinheit für Domänencontroller .
- Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
- Erweitern Sie die Domäne, und wählen Sie im Navigationsbereich den Knoten Gruppenrichtlinienobjekt aus.
- Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekt, und wählen Sie Neu aus.
- Geben Sie die automatische Zertifikatregistrierung des Domänencontrollers in das Feld "Name" ein, und wählen Sie OK aus.
- Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Domänencontroller für die automatische Zertifikatregistrierung, und wählen Sie Bearbeiten aus.
- Erweitern Sie im Navigationsbereich richtlinien unter Computerkonfiguration.
- Erweitern Sie Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel.
- Klicken Sie im Detailbereich mit der rechten Maustaste auf Zertifikatdienste-Client – Automatische Registrierung, und wählen Sie Eigenschaften aus.
- Wählen Sie in der Liste Konfigurationsmodell die Option Aktiviert aus.
- Aktivieren Sie das Kontrollkästchen Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und widerrufene Zertifikate entfernen .
- Aktivieren Sie das Kontrollkästchen Zertifikate aktualisieren, die Zertifikatvorlagen verwenden .
- Wählen Sie OK aus.
- Schließen des Gruppenrichtlinienverwaltungs-Editors
Bereitstellen des GPO für die automatische Zertifikatregistrierung des Domänencontrollers
Melden Sie sich mit den entsprechenden Anmeldeinformationen des Domänenadministrators bei Domänencontrollern oder Verwaltungsarbeitsstationen an.
- Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
- Erweitern Sie im Navigationsbereich die Domäne, und erweitern Sie den Knoten mit dem Active Directory-Domänennamen. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit Domänencontroller , und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen... aus.
- Wählen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen die Option Automatische Zertifikatregistrierung des Domänencontrollers oder den Namen des zuvor erstellten Gruppenrichtlinienobjekts für die Domänencontrollerzertifikatregistrierung aus.
- Wählen Sie OK aus.
Überprüfen der Konfiguration
Windows Hello for Business ist ein verteiltes System, das auf den ersten Blick komplex und schwierig erscheint. Der Schlüssel zu einer erfolgreichen Bereitstellung besteht darin, die Arbeitsphasen vor dem Wechsel zur nächsten Phase zu überprüfen.
Vergewissern Sie sich, dass Ihre Domänencontroller die richtigen Zertifikate und keine abgelösten Zertifikatvorlagen registrieren. Überprüfen Sie, ob jeder Domänencontroller die automatische Zertifikatregistrierung abgeschlossen hat.
Verwenden der Ereignisprotokolle
Melden Sie sich mit den entsprechenden Anmeldeinformationen des Domänenadministrators bei Domänencontrollern oder Verwaltungsarbeitsstationen an.
- Navigieren Sie mithilfe der Ereignisanzeige zum Ereignisprotokoll Anwendung und Dienste>Microsoft>Windows>CertificateServices-Lifecycles-System .
- Suchen Sie nach einem Ereignis, das eine neue Zertifikatregistrierung (automatische Registrierung) angibt:
- Zu den Details des Ereignisses gehört die Zertifikatvorlage, für die das Zertifikat ausgestellt wurde.
- Der Name der Zertifikatvorlage, die zum Ausstellen des Zertifikats verwendet wird, sollte mit dem Namen der Zertifikatvorlage übereinstimmen, der im Ereignis enthalten ist.
- Der Zertifikatfingerabdruck und die EKUs für das Zertifikat sind ebenfalls im Ereignis enthalten.
- Die für die ordnungsgemäße Windows Hello for Business-Authentifizierung erforderliche EKU ist die Kerberos-Authentifizierung, zusätzlich zu anderen EKUs, die von der Zertifikatvorlage bereitgestellt werden.
Zertifikate, die von Ihrem neuen Domänencontrollerzertifikat abgelöst werden, generieren ein Archivereignis im Ereignisprotokoll. Das Archivierungsereignis enthält den Namen der Zertifikatvorlage und den Fingerabdruck des Zertifikats, das durch das neue Zertifikat abgelöst wurde.
Zertifikat-Manager
Sie können mithilfe der Zertifikat-Manager-Konsole überprüfen, ob der Domänencontroller das Zertifikat ordnungsgemäß basierend auf der korrekten Zertifikatvorlage mit den richtigen EKU registriert hat. Verwenden Sie certlm.msc, um das Zertifikat im Zertifikatspeicher des lokalen Computers anzuzeigen. Erweitern Sie die den Speicher Privat, und zeigen Sie die Zertifikate an, die für den Computer registriert sind. Archivierte Zertifikate werden im Zertifikat-Manager nicht angezeigt.
Certutil.exe
Sie können den Befehl verwenden certutil.exe
, um registrierte Zertifikate auf dem lokalen Computer anzuzeigen. Certutil zeigt registrierte und archivierte Zertifikate für den lokalen Computer an. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus:
certutil.exe -q -store my
Verwenden Sie den folgenden Befehl, um detaillierte Informationen zu den einzelnen Zertifikaten im Speicher anzuzeigen und zu überprüfen, ob die automatische Zertifikatregistrierung die richtigen Zertifikate registriert hat:
certutil.exe -q -v -store my
Problembehandlung
Windows Trigger löst die automatische Zertifikatregistrierung für den Computer während des Starts und bei Aktualisierungen der Gruppenrichtlinie aus. Sie können die Gruppenrichtlinie über eine Eingabeaufforderung mit erhöhten Rechten mithilfe von gpupdate.exe /force
aktualisieren.
Alternativ können Sie die automatische Zertifikatregistrierung mit certreq.exe -autoenroll -q
von einer Eingabeaufforderung mit erhöhten Rechten zwingend auslösen.
Verwenden Sie die Ereignisprotokolle, um die Zertifikatregistrierung und -archivierung zu überwachen. Überprüfen Sie die Konfiguration, z. B. das Veröffentlichen von Zertifikatvorlagen für die ausstellende Zertifizierungsstelle und die Berechtigungen für die automatische Registrierung zulassen .
Abschnittsüberprüfung und nächste Schritte
Bevor Sie mit dem nächsten Abschnitt fortfahren, stellen Sie sicher, dass die folgenden Schritte abgeschlossen sind:
- Konfigurieren von Zertifikatvorlagen für Domänencontroller und Webserver
- Vorhandene Domänencontrollerzertifikate ablösen
- Aufheben der Veröffentlichung abgelöster Zertifikatvorlagen
- Veröffentlichen der Zertifikatvorlagen für die Zertifizierungsstelle
- Bereitstellen von Zertifikaten auf den Domänencontrollern
- Überprüfen der Konfiguration der Domänencontroller