Wenn Sie noch keine Zertifizierungsstelle eingerichtet haben, müssen Sie die Rolle der Active Directory-Zertifikatdienste (AD CS) einem Windows-Server hinzufügen und diesen als Unternehmenszertifizierungsstelle konfigurieren.

Warum und wann dieser Vorgang ausgeführt wird

Wenn Sie bereits über eine eingerichtete Unternehmenszertifizierungsstelle verfügen, stellen Sie sicher, dass die in dieser Vorgehensweise beschriebenen Einstellungen verwendet werden.

Es muss mindestens eine Unternehmenszertifizierungsstelle vorhanden sein. VMware empfiehlt die Verwendung von zwei Registrierungsservern für Failover-Fälle und für den Lastausgleich. Der für die True SSO-Funktion erstellte Registrierungsserver kommuniziert mit der Unternehmenszertifizierungsstelle. Wenn Sie den Registrierungsserver für die Verwendung mehrerer Unternehmenszertifizierungsstellen konfigurieren, wird dieser die verfügbaren Zertifizierungsstellen abwechselnd verwenden. Wenn Sie den Registrierungsserver auf dem Computer installieren, auf dem die Unternehmenszertifizierungsstelle gehostet wird, können Sie den Registrierungsserver so konfigurieren, dass dieser die lokale Zertifizierungsstelle verwendet. Für eine optimale Leistung wird diese Konfiguration empfohlen.

Zu dieser Vorgehensweise gehört auch die Aktivierung einer nicht persistenten Zertifikatverarbeitung. Standardmäßig beinhaltet die Zertifikatverarbeitung das Speichern eines Datensatzes jeder Zertifikatanforderung und des ausgestellten Zertifikats in der Zertifizierungsstellendatenbank. Ein dauerhaft hohes Aufkommen an Anforderungen vergrößert die Zertifizierungsstellendatenbank und nimmt eventuell den gesamten verfügbaren Festplattenspeicher in Anspruch, wenn keine Überwachung stattfindet. Die Aktivierung einer nicht persistenten Zertifikatverarbeitung kann die Größe der Zertifizierungsstellendatenbank und die Häufigkeit von Aufgaben der Datenbanverwaltung beschränken helfen.

Voraussetzungen

  • Erstellen Sie eine virtuelle Windows Server 2008 R2- oder Windows Server 2012 R2-Maschine.

  • Stellen Sie sicher, dass die virtuelle Maschine Teil der Active Directory-Domäne für die Horizon 7-Bereitstellung ist.

  • Stellen Sie sicher, dass eine IPv4-Umgebung verwendet wird. Diese Funktion wird aktuell nicht in einer IPv6-Umgebung unterstützt.

  • Stellen Sie sicher, dass das System über eine statische IP-Adresse verfügt.

Prozedur

  1. Melden Sie sich beim Betriebssystem der virtuellen Maschine als Administrator an und starten Sie Server Manager.
  2. Wählen Sie die Einstellungen für das Hinzufügen von Rollen aus.

    Betriebssystem

    Auswahl

    Windows Server 2012 R2

    1. Wählen Sie Rollen und Funktionen hinzufügen aus.

    2. Wählen Sie auf der Seite „Installationstyp auswählen“ Rollenbasierter oder funktionsbasierter Installationstyp aus.

    3. Wählen Sie auf der Seite „Zielserver auswählen“ einen Server aus.

    Windows Server 2008 R2

    1. Wählen Sie in der Navigationsstruktur Rollen aus.

    2. Klicken Sie auf Rollen hinzufügen, um den Assistenten Rolle hinzufügen zu starten.

  3. Wählen Sie auf der Seite „Serverrollen auswählen“ Active Directory-Zertifikatdienste aus.
  4. Klicken Sie im Assistenten „Rollen und Funktionen hinzufügen“ auf Funktionen hinzufügen und lassen Sie das Kontrollkästchen Verwaltungstools einschließen aktiviert.
  5. Bestätigen Sie auf der Seite „Funktionen auswählen“ die Standardeinstellungen.
  6. Wählen Sie auf der Seite „Rollendienste auswählen“ die Option Zertifizierungsstelle aus.
  7. Folgen Sie den Anweisungen und schließen Sie die Installation ab.
  8. Klicken Sie nach dem Abschluss der Installation auf der Seite „Installationsstatus“ auf den Link Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren, um den Assistenten für die AD/CS-Konfiguration zu öffnen.
  9. Klicken Sie auf der Seite „Anmeldeinformationen“ auf Weiter und vervollständigen Sie die Seiten des Assistenten für die AD/CS-Konfiguration wie in der folgenden Tabelle beschrieben.

    Option

    Aktion

    Rollendienste

    Wählen Sie Zertifizierungsstelle aus, und klicken Sie auf Weiter (statt auf Konfigurieren).

    Installationstyp

    Wählen Sie Unternehmenszertifizierungsstelle aus.

    Zertifizierungsstellentyp

    Wählen Sie Stammzertifizierungsstelle oder Untergeordnete Zertifizierungsstelle aus. Einige Unternehmen bevorzugen eine PKI-Bereitstellung auf zwei Ebenen. Weitere Informationen finden Sie unter http://social.technet.microsoft.com/wiki/contents/articles/15037.ad-cs-step-by-step-guide-two-tier-pki-hierarchy-deployment.aspx.

    Privater Schlüssel

    Wählen Sie Neuen privaten Schlüssel erstellen aus.

    Kryptografie für Zertifizierungsstelle

    Für den Hashalgorithmus können Sie SHA1, SHA256, SHA384 oder SHA512 auswählen. Für die Schlüssellänge wählen Sie 1024, 2048, 3072 oder 4096 aus.

    VMware empfiehlt als Mindestwerte für den Schlüssel SHA256 und 2048.

    Zertifizierungsstellenname

    Übernehmen Sie den Standardnamen oder ändern Sie den Namen.

    Gültigkeitsdauer

    Übernehmen Sie den Standardwert von fünf Jahren.

    Zertifikatdatenbank

    Übernehmen Sie die Standardwerte.

  10. Klicken Sie auf der Seite „Bestätigung“ auf Konfigurieren. Wenn der Assistent eine erfolgreiche Konfiguration meldet, schließen Sie den Assistenten.
  11. Öffnen Sie eine Eingabeaufforderung und geben Sie den folgenden Befehl zur Konfiguration der Zertifizierungsstelle für eine nicht persistente Zertifikatverarbeitung ein.

    certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS

  12. Geben Sie den folgenden Befehl zum Ignorieren von Offline-Fehlern der Zertifikatswiderrufsliste der Zertifizierungsstelle ein.
    certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE

    Dieses Attribut ist erforderlich, da das von True SSO verwendete Stammzertifikat in der Regel offline ist und die Zertifikatsperrüberprüfung deshalb zwangsläufig scheitert.

  13. Geben Sie die folgenden Befehle zum Neustart des Dienstes ein:
    sc stop certsvc
    sc start certsvc

Nächste Maßnahme

Erstellen Sie eine Zertifikatvorlage. Siehe Erstellen von Zertifikatvorlagen für die Verwendung mit True SSO.