Ein erforderlich Element für die Verwendung der True SSO-Funktion ist eine Microsoft-Zertifizierungsstelle. Wenn Sie noch keine Zertifizierungsstelle eingerichtet haben, müssen Sie die Rolle der Active Directory-Zertifikatdienste (AD CS) einem Microsoft Windows-Server hinzufügen und diesen als Unternehmenszertifizierungsstelle konfigurieren. Dazu können Sie den Service Manager-Assistenten verwenden.

Im Folgenden finden Sie die Standardschritte zum Einrichten einer Microsoft-CA. Diese sind in diesem Thema in einfacher Form aufgeführt, die sich für die Verwendung in einer Testumgebung eignet. Für ein echtes Produktionssystem wird aber empfohlen, dass Sie die Best Practices der Branche zur Konfiguration der Zertifizierungsstelle befolgen.

Wenn Sie weitere Informationen zum Einrichten einer Zertifizierungsstelle benötigen, sehen Sie sich die technischen Standardreferenzen von Microsoft an: Schrittweise Anleitung zu den Windows Server Active Directory-Zertifikatdiensten und Installieren einer Stammzertifizierungsstelle.

Hinweis: Um den Vorgang zu veranschaulichen, basieren die spezifischen Schritte in diesem Thema auf der Verwendung von Windows Server 2012 R2. Auf anderen Windows-Serversystemen können Sie sehr ähnliche Schritte ausführen. Wenn Sie den Registrierungsserver auf demselben System installieren möchten, auf dem diese Zertifizierungsstelle gehostet wird, stellen Sie sicher, dass Sie eine der für den Registrierungsserver unterstützten Versionen des Windows-Servers verwenden. Siehe Einrichten des Registrierungsservers.

Prozedur

  1. Klicken Sie im Server-Manager-Dashboard auf Rollen und Funktionen hinzufügen, um den Assistenten zu öffnen. Klicken Sie dann auf Weiter.
  2. Wählen Sie auf der Seite „Installationstyp auswählen“ die rollenbasierte oder die funktionsbasierte Installation aus, und klicken Sie auf Weiter.
  3. Behalten Sie auf der Seite zur Serverauswahl die Standardeinstellungen bei, und klicken Sie auf Weiter.
  4. Auf der Seite „Serverrollen“:
    1. Wählen Sie „Active Directory-Zertifikatdienste“ aus.
    2. Wählen Sie im Dialogfeld „Management-Tool einbeziehen“ aus (sofern zutreffend), und klicken Sie auf Features hinzufügen.
    3. Klicken Sie auf Weiter.
  5. Klicken Sie auf der Seite „Features“ auf Weiter.
  6. Klicken Sie auf der Seite „AD-Zertifikatdienste“ auf Weiter.
  7. Wählen Sie auf der Seite „Rollendienste“ die Option „Zertifizierungsstelle“ aus, und klicken Sie auf Weiter.
  8. Wählen Sie auf der Bestätigungsseite „Zielserver bei Bedarf automatisch neu starten“ aus, und klicken Sie auf Installieren.
    Der Installationsfortschritt wird angezeigt. Wenn die Installation abgeschlossen ist, wird ein URL-Link angezeigt, über den Sie die neu installierte Zertifizierungsstelle als „Konfigurieren von Active Directory-Zertifikatdiensten“ auf dem Zielserver konfigurieren können.
  9. Klicken Sie auf den Konfigurationslink, um den Konfigurationsassistenten zu starten.
  10. Geben Sie auf der Seite „Anmeldeinformationen“ Benutzeranmeldeinformationen von der Enterprise-Admin-Gruppe ein, und klicken Sie auf Weiter.
  11. Wählen Sie auf der Seite „Rollendienste“ die Option „Zertifizierungsstelle“ aus, und klicken Sie auf Weiter.
  12. Wählen Sie auf der Seite „Installationstyp“ die Option „Unternehmenszertifizierungsstelle“ aus, und klicken Sie auf Weiter.
  13. Wählen Sie auf der Seite „Zertifizierungsstellentyp“ die Option „Stammzertifizierungsstelle“ oder „Untergeordnete Zertifizierungsstelle“ aus (in diesem Beispiel eine Stammzertifizierungsstelle) und klicken Sie auf Weiter.
  14. Wählen Sie auf der Seite „Privater Schlüssel“ die Option „Neuen privaten Schlüssel erstellen“ aus, und klicken Sie auf Weiter.
  15. Geben Sie auf der Seite „Kryptografie“ die folgenden Informationen ein.
    Feld Beschreibung
    Kryptografieanbieter RSA#Microsoft Software Key Storage Provider
    Schlüssellänge 4096 (oder nach Bedarf eine andere Länge)
    Hash-Algorithmus SHA256 (oder nach Bedarf ein anderer SHA-Algorithmus)
  16. Konfigurieren Sie auf der Seite „Zertifizierungsstellenname“ die gewünschten Einstellungen, oder akzeptieren die Standardeinstellungen, und klicken Sie auf Weiter.
  17. Konfigurieren Sie auf der Seite „Gültigkeitszeitraum“ die gewünschten Einstellungen, und klicken Sie auf Weiter.
  18. Klicken Sie auf der Seite „Zertifikatdatenbank“ auf Weiter.
  19. Überprüfen Sie die Informationen auf der Bestätigungsseite, und klicken Sie auf Konfigurieren.
  20. Schließen Sie die Konfiguration durch die folgenden Aufgaben ab (führen Sie alle Befehle über die Eingabeaufforderung aus).
    1. Konfigurieren der Zertifizierungsstelle für die nicht persistente Zertifikatverarbeitung
      certutil –setreg DBFlags 
      +DBFLAGS_ENABLEVOLATILEREQUESTS
    2. Konfigurieren der Zertifizierungsstelle, um Offline-CRL-Fehler zu ignorieren
      certutil –setreg ca\CRLFlags 
      +CRLF_REVCHECK_IGNORE_OFFLINE
    3. CA-Dienst neu starten
      net stop certsvc
      net start certsvc
  21. Richten Sie eine Zertifikatsvorlage für die Zertifizierungsstelle ein, indem Sie die Schritte in Einrichten einer Zertifikatsvorlage für die Zertifizierungsstelle befolgen.