Sie können eine Windows Server 2012-Zertifizierungsstelle (CA) mit dem Service Manager-Assistenten einrichten.

Warum und wann dieser Vorgang ausgeführt wird

Im Folgenden finden Sie die Standardschritte zum Einrichten einer Microsoft-CA. Diese sind hier in einfacher Form aufgeführt, die sich für die Verwendung in einer Testumgebung eignet. Für ein echtes Produktionssystem wird aber empfohlen, dass Sie die Best Practices der Branche zur CA-Konfiguration befolgen.

Wenn Sie weitere Informationen zum Einrichten einer Zertifizierungsstelle benötigen, sehen Sie sich die technischen Standardreferenzen von Microsoft an: Schrittweise Anleitung zu den Windows Server Active Directory-Zertifikatdiensten und Installieren einer Stammzertifizierungsstelle.

Anmerkung:

Die Verfahren in diesem Thema gelten für Windows Server 2012 R2. Auf Windows Server 2008 R2 können Sie sehr ähnliche Schritte ausführen.

Prozedur

  1. Klicken Sie im Server-Manager-Dashboard auf Rollen und Funktionen hinzufügen, um den Assistenten zu öffnen. Klicken Sie dann auf Weiter.
  2. Wählen Sie auf der Seite „Installationstyp auswählen“ die rollenbasierte oder die funktionsbasierte Installation aus, und klicken Sie auf Weiter.
  3. Behalten Sie auf der Seite zur Serverauswahl die Standardeinstellungen bei, und klicken Sie auf Weiter.
  4. Auf der Seite „Serverrollen“:
    1. Wählen Sie „Active Directory-Zertifikatdienste“ aus.
    2. Wählen Sie im Dialogfeld „Management-Tool einbeziehen“ aus (sofern zutreffend), und klicken Sie auf Features hinzufügen.
    3. Klicken Sie auf Weiter.
  5. Klicken Sie auf der Seite „Features“ auf Weiter.
  6. Klicken Sie auf der Seite „AD-Zertifikatdienste“ auf Weiter.
  7. Wählen Sie auf der Seite „Rollendienste“ die Option „Zertifizierungsstelle“ aus, und klicken Sie auf Weiter.
  8. Wählen Sie auf der Bestätigungsseite „Zielserver bei Bedarf automatisch neu starten“ aus, und klicken Sie auf Installieren.

    Der Installationsfortschritt wird angezeigt. Wenn die Installation abgeschlossen ist, wird ein URL-Link angezeigt, über den Sie die neu installierte Zertifizierungsstelle als „Konfigurieren von Active Directory-Zertifikatdiensten“ auf dem Zielserver konfigurieren können.

  9. Klicken Sie auf den Konfigurationslink, um den Konfigurationsassistenten zu starten.
  10. Geben Sie auf der Seite „Anmeldeinformationen“ Benutzeranmeldeinformationen von der Enterprise-Admin-Gruppe ein, und klicken Sie auf Weiter.
  11. Wählen Sie auf der Seite „Rollendienste“ die Option „Zertifizierungsstelle“ aus, und klicken Sie auf Weiter.
  12. Wählen Sie auf der Seite „Installationstyp“ die Option „Unternehmenszertifizierungsstelle“ aus, und klicken Sie auf Weiter.
  13. Wählen Sie auf der Seite „Zertifizierungsstellentyp“ die Option „Stammzertifizierungsstelle“ oder „Untergeordnete Zertifizierungsstelle“ aus (in diesem Beispiel eine Stammzertifizierungsstelle) und klicken Sie auf Weiter.
  14. Wählen Sie auf der Seite „Privater Schlüssel“ die Option „Neuen privaten Schlüssel erstellen“ aus, und klicken Sie auf Weiter.
  15. Geben Sie auf der Seite „Kryptografie“ die folgenden Informationen ein.

    Feld

    Beschreibung

    Kryptografieanbieter

    RSA#Microsoft Software Key Storage Provider

    Schlüssellänge

    4096 (oder nach Bedarf eine andere Länge)

    Hash-Algorithmus

    SHA256 (oder nach Bedarf ein anderer SHA-Algorithmus)

  16. Konfigurieren Sie auf der Seite „Zertifizierungsstellenname“ die gewünschten Einstellungen, oder akzeptieren die Standardeinstellungen, und klicken Sie auf Weiter.
  17. Konfigurieren Sie auf der Seite „Gültigkeitszeitraum“ die gewünschten Einstellungen, und klicken Sie auf Weiter.
  18. Klicken Sie auf der Seite „Zertifikatdatenbank“ auf Weiter.
  19. Überprüfen Sie die Informationen auf der Bestätigungsseite, und klicken Sie auf Konfigurieren.
  20. Schließen Sie die Konfiguration durch die folgenden Aufgaben ab (führen Sie alle Befehle über die Eingabeaufforderung aus).
    1. Konfigurieren der Zertifizierungsstelle für die nicht persistente Zertifikatverarbeitung 
      certutil –setreg DBFlags 
+DBFLAGS_ENABLEVOLATILEREQUESTS
    2. Konfigurieren der Zertifizierungsstelle, um Offline-CRL-Fehler zu ignorieren 
      certutil –setreg ca\CRLFlags 
+CRLF_REVCHECK_IGNORE_OFFLINE
    3. CA-Dienst neu starten 
      net stop certsvc
net start certsvc

Nächste Maßnahme

Einrichten einer Zertifikatsvorlage für die Zertifizierungsstelle