Windows 2003 Zertifikatsdienst

Aus Doku-Wiki
Wechseln zu: Navigation, Suche

Anmerkung

Hier wird die Installation, Einrichtung und Verwaltung einer Root-Zertifizierungsstelle schrittweise erklärt. Dies ist keine Vollständige Doku zum Zertifikatsdienst von Microsoft.
Im Beispiel wird nach der Installation der Root-Zertifiktsstelle ein Webserverzertifikt zur SSL-Verschlüsselung erzeugt.

Version und Voraussetzungen

Installiert:
Windows 2003 Server R2
ADS
IIS

Man benötigt folgende Resourcen:
Windows 2003 R2 Server CD 1
Windows 2003 SP1

Installation

Um die Zertifizierungstelle zu installieren, wird

Start - Systemsteuerung - Software

aufgerufen

Im Fenster Software wählt man

Windows-Komponenten hinzufügen/entfernen - Zertifikatdienste

aus. Ein Hinweisfenster weisst darauf hin, dass nach der Installation des Zertifikatdienstes der Computer/Server Name nicht mehr geändert werden kann. Erst nach der Deinstallation der Dienstes ist dies wieder möglich. Mit Details sieht man die beiden Komponenten diess Dienstes. Beide sollten ausgewählt sein.
Mit Weiter wird die Art der Zertifizierungsstelle abgefragt. Wenn nur eine Zertifikatsstelle im Unternehmen benötigt wird, reicht es aus wenn man hier Eigenständige Stammzertifikatsstelle auswählt. Dazu wählt man nch die Einstellung Schlüsselpaar und zertifizierungsstellenzertifikat mit diesen Einstellungen erstellen.
Den Ablauf der Installation nun mit den einzelnen Schritten:

  • Eigenständige Stammzertifikatsstelle und Schlüsselpaar und Zertifizierungsstellenzertifikat
  • Microsoft Strong Cryptographie Provider + SHA1 + 2048
  • Allgemeiner Name der Zertifizierungsstelle (Z.B den Firmennamen)
  • Zertifikatsdatenbank + Zertifikatsdatenbankprotokoll (Vorschlag annehmen)

Jetzt beginnt die Installation Nach der Installation kann die Zertifikatsstelle unter http://localhost/CertSrv aufgerufen werden.

Auf diese Website wird dann folgendes ausgewählt:

  • Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste
  • base 64 auswählen und mit dem Link Installieren Sie diese Zertifizierungsstellen-Zertifikatkette,

die Installation beenden.

Zertifikats-Anforderung

Nach dem auf dem Webserver eine Zertifikatsanforderung IIS SSL-Zertifikat erstellen ertsellt wurde, wird diese von der Zertifikatsstelle signiert. Dazu öffnet man die Webseite der Zertifizierungsstelle (http://localhost/CertSrv)und wählt dort folgendes aus:

  • Zertifikat anfordern
  • Erweiterte Anforderung
  • Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.
  • Gespeicherte Anforderung

Den Text aus der Zertifikatsanforderung die man vom Webserver erhalten hat kopiert man über die Zwischenablage in das Formularfeld und klickt auf Einsenden

Zertifikat signieren

Mit

Start - Programme - Verwaltung - Zertifizierungsstelle

öffnet man die MMC der Zertifizierungsstelle.

Unter Ausstehende Anforderungen finden sich alle Zertifikatsanforderungen. Mit einem Rechtsklick auf das auszustellende Zertifikat wird dann imKontex-Menü Austellen ausgewählt. Nach diesem Vorgang findet befindet sich das Zertifikat im Container Ausgestellte Zertifikate und kann nun über die Website der Zertifizierungsstelle (http://localhost/CertSrv ) abgerufen werden. Hier wählt man:

  • Status ausstehender Zertifikate anzeigen
  • Auswählen von base64 und Download Zertifikat und speichert sich diese zur weiteren Verwendung. IIS SSL-Zertifikat erstellen