Bereitstellen von Serverzertifikaten für drahtgebundene und drahtlose 802.1X-BereitstellungenDeploy Server Certificates for 802.1X Wired and Wireless Deployments

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Mithilfe dieses Handbuchs können Sie Server Zertifikate für die Remote Zugriffs-und NPS-Infrastruktur Server (Network Policy Server, Netzwerk Richtlinien Server) bereitstellen.You can use this guide to deploy server certificates to your Remote Access and Network Policy Server (NPS) infrastructure servers.

Dieses Handbuch enthält die folgenden Abschnitte:This guide contains the following sections.

Zertifikate für digitale ServerDigital server certificates

Dieses Handbuch enthält Anweisungen zur Verwendung von Active Directory Zertifikat Diensten (AD CS) zum automatischen Registrieren von Zertifikaten für RAS-und NPS-Infrastruktur Server.This guide provides instructions for using Active Directory Certificate Services (AD CS) to automatically enroll certificates to Remote Access and NPS infrastructure servers. AD CS ermöglicht Ihnen das Erstellen einer Public Key-Infrastruktur (PKI) und die Bereitstellung von Kryptografie mit öffentlichem Schlüssel, digitalen Zertifikaten und Funktionen für digitale Signaturen in Ihrer Organisation.AD CS allows you to build a public key infrastructure (PKI) and provide public key cryptography, digital certificates, and digital signature capabilities for your organization.

Wenn Sie Zertifikate für digitale Server für die Authentifizierung zwischen Computern im Netzwerk verwenden, stellen die Zertifikate Folgendes bereit:When you use digital server certificates for authentication between computers on your network, the certificates provide:

  1. Vertraulichkeit durch Verschlüsselung.Confidentiality through encryption.
  2. Integrität durch digitale Signaturen.Integrity through digital signatures.
  3. Authentifizierung durch Zuordnen von Zertifikat Schlüsseln zu Computer-, Benutzer-oder Geräte Konten in einem Computernetzwerk.Authentication by associating certificate keys with computer, user, or device accounts on a computer network.

ServertypenServer types

Mithilfe dieses Handbuchs können Sie Server Zertifikate für die folgenden Server Typen bereitstellen.By using this guide, you can deploy server certificates to the following types of servers.

  • Server, auf denen der RAS-Dienst ausgeführt wird, bei denen es sich um DirectAccess-oder Standard-VPN-Server (virtuelles privates Netzwerk) handelt und die Mitglieder der Gruppe " RAS-und IAS-Server " sind.Servers that are running the Remote Access service, that are DirectAccess or standard virtual private network (VPN) servers, and that are members of the RAS and IAS Servers group.
  • Server, auf denen der Netzwerk Richtlinien Server (Network Policy Server, NPS) ausgeführt wird, die Mitglieder der Gruppe " RAS-und IAS-Server " sind.Servers that are running the Network Policy Server (NPS) service that are members of the RAS and IAS Servers group.

Vorteile der automatischen Zertifikat RegistrierungAdvantages of certificate autoenrollment

Die automatische Registrierung von Server Zertifikaten, auch als automatische Registrierung bezeichnet, bietet die folgenden Vorteile.Automatic enrollment of server certificates, also called autoenrollment, provides the following advantages.

  • Die AD CS-Zertifizierungsstelle registriert automatisch ein Serverzertifikat für alle NPS-und Remote Zugriffs Server.The AD CS certification authority (CA) automatically enrolls a server certificate to all of your NPS and Remote Access servers.
  • Alle Computer in der Domäne erhalten automatisch Ihr Zertifizierungsstellen Zertifikat, das im Speicher der vertrauenswürdigen Stamm Zertifizierungsstellen auf jedem Domänen Mitglieds Computer installiert ist.All computers in the domain automatically receive your CA certificate, which is installed in the Trusted Root Certification Authorities store on every domain member computer. Aus diesem Grund vertrauen alle Computer in der Domäne den Zertifikaten, die von der Zertifizierungsstelle ausgestellt werden.Because of this, all computers in the domain trust the certificates that are issued by your CA. Diese Vertrauensstellung ermöglicht Ihren Authentifizierungs Servern, Ihre Identitäten einander nachzuweisen und eine sichere Kommunikation zu gewährleisten.This trust allows your authentication servers to prove their identities to each other and engage in secure communications.
  • Anders als bei der Aktualisierung Gruppenrichtlinie ist die manuelle Neukonfiguration der einzelnen Server nicht erforderlich.Other than refreshing Group Policy, the manual reconfiguration of every server is not required.
  • Jedes Serverzertifikat enthält den Zweck der Server Authentifizierung und den Zweck der Client Authentifizierung in EKU-Erweiterungen (Enhanced Key Usage).Every server certificate includes both the Server Authentication purpose and the Client Authentication purpose in Enhanced Key Usage (EKU) extensions.
  • Skalierbarkeit:Scalability. Nachdem Sie die Stamm Zertifizierungsstelle Ihres Unternehmens mit dieser Anleitung bereitgestellt haben, können Sie Ihre Public Key-Infrastruktur (PKI) erweitern, indem Sie untergeordnete Unternehmens ZertifizierungsstellenAfter deploying your Enterprise Root CA with this guide, you can expand your public key infrastructure (PKI) by adding Enterprise subordinate CAs.
  • Verwaltbarkeit.Manageability. Sie können AD CS mithilfe der AD CS-Konsole oder mithilfe von Windows PowerShell-Befehlen und-Skripts verwalten.You can manage AD CS by using the AD CS console or by using Windows PowerShell commands and scripts.
  • Einfachheit.Simplicity. Sie geben die Server, die Server Zertifikate registrieren, mithilfe von Active Directory Gruppenkonten und Gruppenmitgliedschaften an.You specify the servers that enroll server certificates by using Active Directory group accounts and group membership.
  • Wenn Sie Server Zertifikate bereitstellen, basieren die Zertifikate auf einer Vorlage, die Sie mit den Anweisungen in diesem Handbuch konfigurieren.When you deploy server certificates, the certificates are based on a template that you configure with the instructions in this guide. Dies bedeutet, dass Sie verschiedene Zertifikat Vorlagen für bestimmte Server Typen anpassen können, oder Sie können für alle Server Zertifikate, die Sie ausgeben möchten, dieselbe Vorlage verwenden.This means that you can customize different certificate templates for specific server types, or you can use the same template for all server certificates that you want to issue.

Voraussetzung für die Verwendung dieses HandbuchsPrerequisites for using this guide

Dieses Handbuch enthält Anweisungen zum Bereitstellen von Server Zertifikaten mithilfe von AD CS und der Server Rolle Webserver (IIS) in Windows Server 2016.This guide provides instructions on how to deploy server certificates by using AD CS and the Web Server (IIS) server role in Windows Server 2016. Im folgenden finden Sie die Voraussetzungen für die Ausführung der Verfahren in diesem Handbuch.Following are the prerequisites for performing the procedures in this guide.

  • Sie müssen ein Kern Netzwerk mithilfe des Windows Server 2016-Kern Netzwerk Handbuchs bereitstellen, oder Sie müssen bereits über die im Handbuch zum Hauptnetzwerk bereitgestellten Technologien verfügen, die im Netzwerk ordnungsgemäß installiert sind und ordnungsgemäß funktionieren.You must deploy a core network using the Windows Server 2016 Core Network Guide, or you must already have the technologies provided in the Core Network Guide installed and functioning correctly on your network. Zu diesen Technologien gehören TCP/IP V4, DHCP, Active Directory Domain Services (AD DS), DNS und NPS.These technologies include TCP/IP v4, DHCP, Active Directory Domain Services (AD DS), DNS, and NPS.

    Hinweis

    Das Windows Server 2016-Kern Netzwerk Handbuch ist in der technischen Bibliothek für Windows Server 2016 verfügbar.The Windows Server 2016 Core Network Guide is available in the Windows Server 2016 Technical Library. Weitere Informationen finden Sie im Handbuchzum Hauptnetzwerk.For more information, see Core Network Guide.

  • Sie müssen den Abschnitt Planning dieses Handbuchs lesen, um sicherzustellen, dass Sie für diese Bereitstellung vorbereitet sind, bevor Sie die Bereitstellung ausführen.You must read the planning section of this guide to ensure that you are prepared for this deployment before you perform the deployment.

  • Die Schritte in diesem Handbuch müssen in der Reihenfolge ausgeführt werden, in der Sie angezeigt werden.You must perform the steps in this guide in the order in which they are presented. Stellen Sie Ihre Zertifizierungsstelle nicht bereit, ohne die Schritte auszuführen, die zur Bereitstellung des Servers führen, oder die Bereitstellung schlägt fehl.Do not jump ahead and deploy your CA without performing the steps that lead up to deploying the server, or your deployment will fail.

  • Sie müssen darauf vorbereitet sein, zwei neue Server in Ihrem Netzwerk bereitzustellen: einen Server, auf dem Sie AD CS als Stamm Zertifizierungsstelle des Unternehmens installieren werden, und einen Server, auf dem Sie den Webserver (IIS) installieren, damit Ihre Zertifizierungsstelle die Zertifikat Sperr Liste auf dem Webserver veröffentlichen kann.You must be prepared to deploy two new servers on your network - one server upon which you will install AD CS as an Enterprise Root CA, and one server upon which you will install Web Server (IIS) so that your CA can publish the certificate revocation list (CRL) to the Web server.

Hinweis

Sie sind darauf vorbereitet, den Web-und AD CS-Servern, die Sie mit diesem Handbuch bereitstellen, eine statische IP-Adresse zuzuweisen. Außerdem können Sie die Computer gemäß den Benennungs Konventionen Ihrer Organisation benennen.You are prepared to assign a static IP address to the Web and AD CS servers that you deploy with this guide, as well as to name the computers according to your organization naming conventions. Außerdem müssen Sie die Computer der Domäne hinzufügen.In addition, you must join the computers to your domain.

Nicht in diesem Handbuch enthaltene InformationenWhat this guide does not provide

Diese Anleitung enthält keine ausführlichen Anweisungen zum Entwerfen und Bereitstellen einer Public Key-Infrastruktur (PKI) mithilfe von AD CS.This guide does not provide comprehensive instructions for designing and deploying a public key infrastructure (PKI) by using AD CS. Es wird empfohlen, die AD CS-Dokumentation und die PKI-Entwurfsdokumentation zu lesen, bevor Sie die Technologien in diesem Handbuch bereitstellen.It is recommended that you review AD CS documentation and PKI design documentation before deploying the technologies in this guide.

Technologie ÜbersichtenTechnology overviews

Im folgenden finden Sie Technologie Übersichten für AD CS und Webserver (IIS).Following are technology overviews for AD CS and Web Server (IIS).

Active Directory-ZertifikatdiensteActive Directory Certificate Services

AD CS in Windows Server 2016 bietet anpassbare Dienste zum Erstellen und Verwalten der X. 509-Zertifikate, die in Software Sicherheitssystemen verwendet werden, die Public Key-Technologien einsetzen.AD CS in Windows Server 2016 provides customizable services for creating and managing the X.509 certificates that are used in software security systems that employ public key technologies. Organisationen können AD CS verwenden, um die Sicherheit zu erhöhen, indem Sie die Identität einer Person, eines Geräts oder Diensts an einen entsprechenden öffentlichen Schlüssel binden.Organizations can use AD CS to enhance security by binding the identity of a person, device, or service to a corresponding public key. AD CS umfasst auch Features, mit denen Sie die Zertifikat Registrierung und die Sperrung in einer Vielzahl von skalierbaren Umgebungen verwalten können.AD CS also includes features that allow you to manage certificate enrollment and revocation in a variety of scalable environments.

Weitere Informationen finden Sie unter Übersicht über Active Directory Zertifikat Dienste und Entwurfs Leit Fäden für die Public Key-Infrastruktur.For more information, see Active Directory Certificate Services Overview and Public Key Infrastructure Design Guidance.

Webserver (IIS)Web Server (IIS)

Die Rolle "Webserver (IIS)" in Windows Server 2016 bietet eine sichere, einfach zu verwaltende, modulare und erweiterbare Plattform für das zuverlässige Hosting von Websites, Diensten und Anwendungen.The Web Server (IIS) role in Windows Server 2016 provides a secure, easy-to-manage, modular, and extensible platform for reliably hosting websites, services, and applications. Mit IIS können Sie Informationen für Benutzer im Internet, in einem Intranet oder in einem Extranet freigeben.With IIS, you can share information with users on the Internet, an intranet, or an extranet. IIS ist eine einheitliche Webplattform, die IIS, ASP.net, FTP-Dienste, PHP und Windows Communication Foundation (WCF) integriert.IIS is a unified web platform that integrates IIS, ASP.NET, FTP services, PHP, and Windows Communication Foundation (WCF).

Weitere Informationen finden Sie unter Webserver (IIS): Übersicht.For more information, see Web Server (IIS) Overview.