Sie müssen eine Zertifikatvorlage erstellen, die für die Ausstellung von kurzlebigen Zertifikaten verwendet werden kann. Ferner müssen Sie festlegen, welche Computer in der Domäne diesen Zertifikattyp anfordern können.

Sie können mehr als eine Zertifikatvorlage erstellen. Sie können nur eine Vorlage pro Domäne konfigurieren, aber Sie können die Vorlage in mehreren Domänen freigeben. Wenn Sie eine Active Directory-Struktur mit drei Domänen haben und True SSO für alle drei Domänen verwenden möchten, können Sie beispielsweise eine, zwei oder drei Vorlagen konfigurieren. Alle Domänen können die gleiche Vorlage verwenden oder Sie können verschiedene Vorlagen für jede Domäne nutzen.

Voraussetzungen

  • Stellen Sie sicher, dass Sie über eine Unternehmenszertifizierungsstelle verfügen, die sich zum Erstellen der Vorlage wie in dieser Vorgehensweise beschrieben eignet. Siehe Einrichten einer Unternehmenszertifizierungsstelle.
  • Stellen Sie sicher, dass Active Directory für die Smartcard-Authentifizierung vorbereitet ist. Weitere Informationen finden Sie in den Themen unter „Vorbereiten von Active Directory“ im Dokument Horizon 8-Installation und -Upgrade.
  • Erstellen Sie in der Domäne und Gesamtstruktur eine Sicherheitsgruppe für die Registrierungsserver, und fügen Sie dieser Gruppe die Computerkonten der Registrierungsserver hinzu.

Prozedur

  1. Um True SSO zu konfigurieren, melden Sie sich bei dem Computer, den Sie für die Zertifizierungsstelle verwenden, als Administrator im Betriebssystem an und wählen Sie Verwaltung > Zertifizierungsstelle aus.
    1. Erweitern Sie den Strukturbaum im linken Fensterbereich, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Verwalten aus.
    2. Klicken Sie mit der rechten Maustaste auf die Vorlage Smartcard-Anmeldung, und wählen Sie Duplizieren aus.
    3. Nehmen Sie auf den dargestellten Registerkarten die folgenden Änderungen vor:
      Registerkarte Aktion
      Registerkarte „Kompatibilität“
      • Wählen Sie für Zertifizierungsstelle das Windows-Betriebssystem aus.
      • Wählen Sie für Zertifikatsempfänger das Windows-Betriebssystem aus.
      Registerkarte „Allgemein“
      • Ändern Sie den Anzeigenamen der Vorlage in einen Namen Ihrer Wahl. Beispiel: True SSO.
      • Ändern Sie die Gültigkeitsdauer so, dass sie einem typischen Werktag bzw. dem Zeitraum entspricht, in dem der Benutzer voraussichtlich im System angemeldet ist.

        Damit der Benutzer während der Anmeldungsdauer nicht den Zugriff auf die Netzwerkressource verliert, muss die Gültigkeitsdauer länger sein als der Kerberos-TGT-Erneuerungszeitraum in der Benutzerdomäne.

        (Die maximale Standardlebensdauer des Tickets beträgt 10 Stunden. Die Standarddomänenrichtlinie finden Sie unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kerberos-Richtlinie: Max. Gültigkeitsdauer des Benutzertickets.)

      • Ändern Sie den Erneuerungszeitraum auf einen Wert zwischen 50 % und 75 % der Gültigkeitsdauer.
      Registerkarte „Anforderungsverarbeitung“
      • Wählen Sie als Zweck Signatur und Smartcard-Anmeldung aus.
      • Wählen Sie Automatische Erneuerung der Smartcards, ... aus.
      Registerkarte „Kryptografie“
      • Wählen Sie als Anbieterkategorie Schlüsselspeicheranbieter aus.
      • Wählen Sie als Algorithmusname RSA aus.
      Registerkarte „Server“ Wählen Sie Keine Zertifikate und Anforderungen in der Datenbank der Zertifizierungsstelle speichern aus.
      Wichtig: Stellen Sie sicher, dass die Option Sperrinformationen nicht in ausgestellte Zertifikate einschließen deaktiviert ist. (Diese Option wird aktiviert, wenn Sie die erste Option auswählen. Sie müssen sie deshalb gezielt deaktivieren.)
      Registerkarte „Ausstellungsvoraussetzungen“
      • Wählen Sie Diese Anzahl an autorisierten Signaturen aus und geben Sie als Wert 1 in das Feld ein.
      • Wählen Sie als Richtlinientyp Anwendungsrichtlinie aus, und setzen Sie die Richtlinie auf Zertifikatsanforderungs-Agent.
      • Wählen Sie unter Erneute Registrierung erfordert Folgendes: die Option Gültiges vorhandenes Zertifikat aus.
      Hinweis:

      Verwenden Sie für die automatische Erneuerung von Smartcard-Zertifikaten den vorhandenen Schlüssel, wenn kein neuer Schlüssel erstellt werden kann.
      Registerkarte „Sicherheit“ Vergeben Sie für die Sicherheitsgruppe, die Sie für die Computerkonten des Registrierungsservers erstellt haben, folgende Berechtigungen: Lesen, Registrieren.
      1. Klicken Sie auf Hinzufügen.
      2. Legen Sie fest, welche Computer Zertifikate registrieren dürfen.
      3. Aktivieren Sie für diese Computer die entsprechenden Kontrollkästchen und vergeben Sie diese Berechtigungen: Lesen, Registrieren.
    4. Klicken Sie im Dialogfeld „Eigenschaften der neuen Vorlage“ auf OK.
    5. Schließen Sie das Fenster „Zertifikatvorlagenkonsole“.
    6. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Neu > Auszustellende Zertifikatvorlage aus.
      Hinweis: Dieser Schritt ist für alle Zertifizierungsstellen erforderlich, die Zertifikate auf der Basis dieser Vorlage ausstellen.
    7. Wählen Sie im Fenster „Zertifikatvorlagen aktivieren“ die Vorlage aus, die Sie soeben erstellt haben (z. B. True SSO), und klicken Sie auf OK.
  2. Um Registrierungs-Agent-Computer zu konfigurieren, melden Sie sich bei dem Computer, den Sie für die Zertifizierungsstelle verwenden, als Administrator im Betriebssystem an und wählen Sie Verwaltung > Zertifizierungsstelle aus.
    1. Erweitern Sie den Strukturbaum im linken Fensterbereich, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Verwalten aus.
    2. Suchen Sie die Vorlage Registrierungs-Agent-Computer und öffnen Sie sie, und nehmen Sie dann auf der Registerkarte Sicherheit die folgende Änderung vor:
      Vergeben Sie für die Sicherheitsgruppe, die Sie für die Computerkonten des Registrierungsservers erstellt haben, folgende Berechtigungen: Lesen, Registrieren.
      1. Klicken Sie auf Hinzufügen.
      2. Legen Sie fest, welche Computer Zertifikate registrieren dürfen.
      3. Aktivieren Sie für diese Computer die entsprechenden Kontrollkästchen und vergeben Sie diese Berechtigungen: Lesen, Registrieren.
    3. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Neu > Auszustellende Zertifikatvorlage aus.
      Hinweis: Dieser Schritt ist für alle Zertifizierungsstellen erforderlich, die Zertifikate auf der Basis dieser Vorlage ausstellen.
    4. Wählen Sie im Fenster „Zertifikatvorlagen aktivieren“ die Option Registrierungs-Agent (Computer) aus, und klicken Sie auf OK.

Nächste Maßnahme

Erstellen Sie einen Registrierungsdienst.