Sie müssen eine Zertifikatvorlage erstellen, die für die Ausstellung von kurzlebigen Zertifikaten verwendet werden kann. Ferner müssen Sie festlegen, welche Computer in der Domäne diesen Zertifikattyp anfordern können.

Warum und wann dieser Vorgang ausgeführt wird

Sie können mehr als eine Zertifikatvorlage erstellen, aber es lässt sich immer nur eine Vorlage für die aktuelle Verwendung konfigurieren.

Voraussetzungen

  • Stellen Sie sicher, dass Sie über eine Unternehmenszertifizierungsstelle verfügen, die sich zum Erstellen der Vorlage wie in dieser Vorgehensweise beschrieben eignet. Siehe Einrichten einer Unternehmenszertifizierungsstelle.

  • Stellen Sie sicher, dass Active Directory für die Smartcard-Authentifizierung vorbereitet ist. Weitere Informationen finden Sie im Dokument View-Installation.

  • Erstellen Sie in der Domäne und Gesamtstruktur eine Sicherheitsgruppe für die Registrierungsserver, und fügen Sie dieser Gruppe die Computerkonten der Registrierungsserver hinzu.

Prozedur

  1. Melden Sie sich bei dem Computer, den Sie für die Zertifizierungsstelle verwenden, als Administrator im Betriebssystem an, und wählen Sie Verwaltung > Zertifizierungsstelle aus.
  2. Erweitern Sie den Strukturbaum im linken Fensterbereich, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Verwalten aus.
  3. Klicken Sie mit der rechten Maustaste auf die Vorlage Smartcard-Anmeldung, und wählen Sie Duplizieren aus.
  4. Nehmen Sie auf den dargestellten Registerkarten die folgenden Änderungen vor:

    Registerkarte

    Aktion

    Registerkarte „Kompatibilität“

    • Wählen Sie als Zertifizierungsstelle Windows Server 2008 R2 aus.

    • Wählen Sie als Zertifikatsempfänger Windows 7/Windows Server 2008 R2 aus.

    Registerkarte „Allgemein“

    • Ändern Sie den Anzeigenamen der Vorlage in True SSO.

    • Ändern Sie die Gültigkeitsdauer so, dass sie einem typischen Werktag bzw. dem Zeitraum entspricht, in dem der Benutzer voraussichtlich im System angemeldet ist.

      Damit der Benutzer während der Anmeldungsdauer nicht den Zugriff auf die Netzwerkressource verliert, muss die Gültigkeitsdauer länger sein als der Kerberos-TGT-Erneuerungszeitraum in der Benutzerdomäne.

      (Die maximale Standardlebensdauer des Tickets beträgt 10 Stunden. Die Standarddomänenrichtlinie finden Sie unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kerberos-Richtlinie: Max. Gültigkeitsdauer des Benutzertickets.)

    • Ändern Sie den Erneuerungszeitraum in 1 Tag.

    Registerkarte „Anforderungsverarbeitung“

    • Wählen Sie als Zweck Signatur und Smartcard-Anmeldung aus.

    • Wählen Sie Automatische Erneuerung der Smartcards, ... aus.

    Registerkarte „Kryptografie“

    • Wählen Sie als Anbieterkategorie Schlüsselspeicheranbieter aus.

    • Wählen Sie als Algorithmusname RSA aus.

    Registerkarte „Server“

    Wählen Sie Keine Zertifikate und Anforderungen in der Datenbank der Zertifizierungsstelle speichern aus.

    Wichtig:

    Stellen Sie sicher, dass die Option Sperrinformationen nicht in ausgestellte Zertifikate einschließen deaktiviert ist. (Diese Option wird aktiviert, wenn Sie die erste Option auswählen. Sie müssen sie deshalb gezielt deaktivieren.)

    Registerkarte „Ausstellungsvoraussetzungen“

    • Wählen Sie Diese Anzahl an autorisierten Signaturen aus und geben Sie als Wert 1 in das Feld ein.

    • Wählen Sie als Richtlinientyp Anwendungsrichtlinie aus, und setzen Sie die Richtlinie auf Zertifikatsanforderungs-Agent.

    • Wählen Sie unter Erneute Registrierung erfordert Folgendes: die Option Gültiges vorhandenes Zertifikat aus.

    Registerkarte „Sicherheit“

    Vergeben Sie für die Sicherheitsgruppe, die Sie für die Computerkonten des Registrierungsservers erstellt haben, folgende Berechtigungen: Lesen, Registrieren.

    1. Klicken Sie auf Hinzufügen.

    2. Legen Sie fest, welche Computer Zertifikate registrieren dürfen.

    3. Aktivieren Sie für diese Computer die entsprechenden Kontrollkästchen und vergeben Sie diese Berechtigungen: Lesen, Registrieren.

  5. Klicken Sie im Dialogfeld „Eigenschaften der neuen Vorlage“ auf OK.
  6. Schließen Sie das Fenster „Zertifikatvorlagenkonsole“.
  7. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Neu > Auszustellende Zertifikatvorlage aus.
    Anmerkung:

    Dieser Schritt ist für alle Zertifizierungsstellen erforderlich, die Zertifikate auf der Basis dieser Vorlage ausstellen.

  8. Wählen Sie im Fenster „Zertifikatvorlagen aktivieren“ die Vorlage aus, die Sie soeben erstellt haben (z. B. True SSO), und klicken Sie auf OK.
  9. Wählen Sie im Fenster „Zertifikatvorlagen aktivieren“ die Option Registrierungs-Agent (Computer) aus, und klicken Sie auf OK.

Nächste Maßnahme

Erstellen Sie einen Registrierungsdienst. Siehe Installieren und Einrichten eines Registrierungsservers.