Active Directory-Zertifikatdienste: Übersicht

 

Veröffentlicht: September 2016

Gilt für: Windows Server 2012 R2, Windows Server 2012

Dieses Dokument bietet einen Überblick über die Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) in Windows Server® 2012. AD CS ist die Serverrolle, die es Ihnen ermöglicht, eine Public Key Infrastructure (PKI) zu erstellen und Verschlüsselung für öffentliche Schlüssel, digitale Zertifikate und Funktionen für digitale Signaturen in Ihrer Organisation bereitzustellen.

Meinten Sie…

• Übersicht über Active Directory-Domänendienste

• Active Directory-Rechteverwaltungsdienste (Übersicht)

• Übersicht über Active Directory-Verbunddienste

• Active Directory Lightweight Directory Services (Übersicht)

Hinweis

Verwenden Sie für Anmerkungen zu diesen Inhalten und Fragen zu den Informationen in diesem Dokument unseren Feedback guidance.

Rollenbeschreibung

AD CS bietet anpassbare Dienste zum Ausstellen und Verwalten digitaler Zertifikate, die in Softwaresicherheitssystemen zum Einsatz kommen, die öffentliche Schlüssel verwenden.

Die von AD CS bereitgestellten digitalen Zertifikate können zum Verschlüsseln und digitalen Signieren elektronischer Dokumente und Nachrichten verwendet werden. Diese digitalen Zertifikate können zur Authentifizierung von Computer-, Benutzer- oder Gerätekonten in einem Netzwerk verwendet werden. Digitale Zertifikate bieten Folgendes:

1. Vertraulichkeit durch Verschlüsselung

2. Integrität durch digitale Signaturen

3. Authentifizierung durch Zuordnung von Zertifikatschlüsseln zu Computer-, Benutzer- oder Gerätekonten in einem Computernetzwerk

Praktische Anwendung

Sie können AD CS zum Optimieren der Sicherheit verwenden, indem Sie die Identität einer Person, eines Geräts oder Diensts an einen entsprechenden privaten Schlüssel binden. AD CS bietet Ihnen eine kostengünstige, effiziente und sichere Möglichkeit zum Verwalten der Verteilung und der Verwendung von Zertifikaten.

Zu den Anwendungen, die von den AD CS unterstützt werden, zählen Secure/Multipurpose Internet Mail Extensions (S/MIME), sichere Drahtlosnetzwerke, virtuelle private Netzwerke (VPN), IP-Sicherheit (Internet Protocol Security, IPsec), verschlüsselnde Dateisysteme (Encrypting File System, EFS), Smartcard-Anmeldung, Secure Socket Layer/Transport Layer Security (SSL/TLS) und digitale Signaturen.

Neue und geänderte Funktionalität

An AD CS in Windows Server 2012 wurden mehrere Änderungen vorgenommen, die im Artikel What’s New in AD CS (https://go.microsoft.com/fwlink/?LinkID=224385) beschrieben werden.

Informationen zum Server-Manager

Die Installation von AD CS-Rollendiensten kann mit dem Server-Manager vorgenommen werden. Die folgenden Rollendienste können installiert werden:

Rollendienst	Beschreibung
Zertifizierungsstelle (Certification Authority, CA)	Stammzertifizierungsstellen und untergeordnete Zertifizierungsstellen werden verwendet, um Zertifikate für Benutzer, Computer und Dienste auszustellen und um die Gültigkeit von Zertifikaten zu verwalten.
Webregistrierung	Die CA-Webregistrierung ermöglicht es Benutzern, mithilfe eines Webbrowsers eine Verbindung mit einer Zertifizierungsstelle herzustellen, um Zertifikate anzufordern und Zertifikatsperrlisten (Certificate Revocation Lists, CRL) abzurufen.
Online-Responder	Der Online-Responder-Dienst decodiert Sperrstatusanfragen für bestimmte Zertifikate, wertet den Status dieser Zertifikate aus und sendet eine signierte Antwort mit den angeforderten Zertifikatstatusinformationen zurück.
Registrierungsdienst für Netzwerkgeräte	Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) ermöglicht Routern und anderen Netzwerkgeräten, die nicht über Domänenkonten verfügen, das Abrufen von Zertifikaten.
Zertifikatregistrierungsrichtlinien-Webdienst	Der Zertifikatregistrierungsrichtlinien-Webdienst ermöglicht Benutzern und Computern das Abrufen von Informationen zur Zertifikatregistrierungsrichtlinie.
Zertifikatregistrierungs-Webdienst	Der Zertifikatregistrierungs-Webdienst ist ein AD CS-Rollendienst (Active Directory Certificate Services), der Benutzern und Computern das Ausführen der Zertifikatregistrierung mithilfe des HTTPS-Protokoll ermöglicht. Bei kombinierter Verwendung ermöglichen der Zertifikatregistrierungs-Webdienst und der Zertifikatregistrierungsrichtlinien-Webdienst die richtlinienbasierte Zertifikatregistrierung für - Domänenmitgliedscomputer, die nicht mit der Domäne verbunden sind, - Computer, die keine Domänenmitglieder sind.

Siehe auch

In der folgenden Tabelle sind zusätzliche Ressourcen zur AD CS-Bewertung beschrieben.

Inhaltstyp	Verweise
Produktbewertung	- Testumgebungsanleitung: Bereitstellen einer AD CS-PKI-Hierarchie mit zwei Ebenen - Testumgebungsanleitung: Demonstrieren der schlüsselbasierten Erneuerung - Testumgebungsanleitung – Minimodul: Gesamtstrukturübergreifende Zertifikatregistrierung mithilfe von Zertifikatregistrierungs-Webdiensten
Communityressourcen	- Communityverzeichnis für Dokumentation und Informationen: Windows PKI Documentation Reference and Library - Liste mit häufig gestellten Fragen (FAQs): Active Directory Certificate Services (AD CS) Public Key Infrastructure (PKI) Frequently Asked Questions (FAQ) - Supportforum: Windows Server Security Forum - Blog des Produktteams: Windows PKI Blog - Blog des Supportteams: Ask the Directory Services team - Skriptrepository TechNet Script Center Repository, suchen Sie nach „Zertifizierung“, „Zertifikat“ oder „PKI“. - Community-Technologieübersicht: Active Directory Certificate Services (AD CS) Overview
Verwandte Technologien	Active Directory Domain Services  Active Directory-Rechteverwaltungsdienste  Active Directory-Verbunddienste (AD FS)  Active Directory Lightweight Directory Services

Hinweis

Verwenden Sie für Anmerkungen zu diesen Inhalten und Fragen zu den Informationen in diesem Dokument unseren Feedback guidance.