Bereitstellen von Serverzertifikaten für drahtgebundene und drahtlose 802.1X-Bereitstellungen

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Sie können diese Anleitung verwenden, um Serverzertifikate auf Ihren NPS-Infrastrukturservern (Remote Access and Network Policy Server) bereitzustellen.

Dieses Handbuch enthält die folgenden Abschnitte:

Digitale Serverzertifikate

Dieser Leitfaden enthält Anweisungen für die Verwendung von Active Directory-Zertifikatdienste (AD CS), um Zertifikate automatisch bei Remotezugriffs- und NPS-Infrastrukturservern zu registrieren. mit AD CS können Sie eine Public Key-Infrastruktur (PKI) erstellen und Kryptografie, digitale Zertifikate und Digitale Signaturfunktionen für Ihre Organisation bereitstellen.

Wenn Sie digitale Serverzertifikate für die Authentifizierung zwischen Computern in Ihrem Netzwerk verwenden, stellen die Zertifikate Folgendes bereit:

  1. Vertraulichkeit durch Verschlüsselung.
  2. Integrität durch digitale Signaturen.
  3. Authentifizierung durch Zuordnen von Zertifikatschlüsseln zu Computer-, Benutzer- oder Gerätekonten in einem Computernetzwerk.

Servertypen

Mithilfe dieses Leitfadens können Sie Serverzertifikate für die folgenden Servertypen bereitstellen.

  • Server, auf denen der Ras-Dienst ausgeführt wird, d. h. DirectAccess- oder VPN-Standardserver (virtuelles privates Netzwerk), die Mitglieder der Gruppe RAS- und IAS-Server sind.
  • Server, auf denen der NpS-Dienst (Netzwerkrichtlinienserver) ausgeführt wird, die Mitglieder der Gruppe RAS- und IAS-Server sind.

Vorteile der automatischen Registrierung von Zertifikaten

Die automatische Registrierung von Serverzertifikaten, auch als automatische Registrierung bezeichnet, bietet die folgenden Vorteile.

  • Die AD CS-Zertifizierungsstelle registriert automatisch ein Serverzertifikat für alle NPS- und RAS-Server.
  • Alle Computer in der Domäne erhalten automatisch Ihr Zertifizierungsstellenzertifikat, das im Vertrauenswürdige Stammzertifizierungsstellen-Speicher auf jedem Domänenmitgliedscomputer installiert ist. Aus diesem Grund vertrauen alle Computer in der Domäne den Zertifikaten, die von Ihrer Zertifizierungsstelle ausgestellt werden. Diese Vertrauensstellung ermöglicht es Ihren Authentifizierungsservern, ihre Identitäten untereinander nachzuweisen und eine sichere Kommunikation durchzuführen.
  • Abgesehen von der Aktualisierung Gruppenrichtlinie ist die manuelle Neukonfiguration jedes Servers nicht erforderlich.
  • Jedes Serverzertifikat enthält sowohl den Zweck der Serverauthentifizierung als auch den Zweck der Clientauthentifizierung in Erweiterungen für erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU).
  • Skalierbarkeit. Nachdem Sie Ihre Enterprise Stammzertifizierungsstelle mit diesem Leitfaden bereitgestellt haben, können Sie Ihre Public Key-Infrastruktur (PKI) erweitern, indem Sie Enterprise untergeordneten Zertifizierungsstellen hinzufügen.
  • Verwaltbarkeit. Sie können AD CS mithilfe der AD CS-Konsole oder mit Windows PowerShell Befehlen und Skripts verwalten.
  • Einfachheit. Sie geben die Server an, die Serverzertifikate mithilfe von Active Directory-Gruppenkonten und Gruppenmitgliedschaften registrieren.
  • Wenn Sie Serverzertifikate bereitstellen, basieren die Zertifikate auf einer Vorlage, die Sie gemäß den Anweisungen in diesem Leitfaden konfigurieren. Dies bedeutet, dass Sie verschiedene Zertifikatvorlagen für bestimmte Servertypen anpassen oder dieselbe Vorlage für alle Serverzertifikate verwenden können, die Sie ausstellen möchten.

Voraussetzung für die Verwendung dieses Handbuchs

Dieser Leitfaden enthält Anweisungen zum Bereitstellen von Serverzertifikaten mithilfe von AD CS und der Serverrolle Webserver (IIS) in Windows Server 2016. Im Folgenden sind die Voraussetzungen für die Durchführung der Verfahren in diesem Leitfaden.

  • Sie müssen ein Kernnetzwerk mithilfe des Windows Server 2016 Core Network Guide bereitstellen, oder Sie müssen die im Core Network Guide bereitgestellten Technologien bereits installiert haben und ordnungsgemäß in Ihrem Netzwerk funktionieren. Zu diesen Technologien gehören TCP/IP v4, DHCP, Active Directory Domain Services (AD DS), DNS und NPS.

    Hinweis

    Das Windows Server 2016 Core Network Guide (Handbuch zu Windows Server 2016 Core Network) ist in der technischen Bibliothek Windows Server 2016 verfügbar. Weitere Informationen finden Sie im Handbuch zum Kernnetzwerk.

  • Lesen Sie den Planungsabschnitt dieses Handbuchs, um sicherzustellen, dass Sie auf diese Bereitstellung vorbereitet sind, bevor Sie die Bereitstellung durchführen.

  • Sie müssen die Schritte in dieser Anleitung in der Reihenfolge ausführen, in der sie angezeigt werden. Fahren Sie nicht mit der Bereitstellung Ihrer Zertifizierungsstelle fort, ohne die Schritte auszuführen, die zur Bereitstellung des Servers führen. Andernfalls tritt bei der Bereitstellung ein Fehler auf.

  • Sie müssen darauf vorbereitet sein, zwei neue Server in Ihrem Netzwerk bereitzustellen: einen Server, auf dem Sie AD CS als Enterprise Stammzertifizierungsstelle installieren, und einen Server, auf dem Sie Webserver (IIS) installieren, damit Ihre Zertifizierungsstelle die Zertifikatsperrliste (Certificate Revocation List, CRL) auf dem Webserver veröffentlichen kann.

Hinweis

Sie sind bereit, dem Web- und AD CS Servern, die Sie mit diesem Leitfaden bereitstellen, eine statische IP-Adresse zuzuweisen und die Computer gemäß den Benennungskonventionen Ihrer Organisation zu benennen. Darüber hinaus müssen Sie die Computer ihrer Domäne hinzufügen.

Nicht in diesem Handbuch enthaltene Informationen

Dieser Leitfaden enthält keine umfassenden Anweisungen zum Entwerfen und Bereitstellen einer Public Key-Infrastruktur (PKI) mithilfe von AD CS. Es wird empfohlen, AD CS Dokumentation und PKI-Entwurfsdokumentation zu lesen, bevor Sie die Technologien in diesem Leitfaden bereitstellen.

Technologieübersicht

Im Folgenden finden Sie Technologieübersichten für AD CS und Webserver (IIS).

Active Directory-Zertifikatdienste

AD CS in Windows Server 2016 bietet anpassbare Dienste zum Erstellen und Verwalten der X.509-Zertifikate, die in Softwaresicherheitssystemen verwendet werden, die Technologien mit öffentlichen Schlüsseln verwenden. Organisationen können AD CS verwenden, um die Sicherheit zu erhöhen, indem sie die Identität einer Person, eines Geräts oder eines Diensts an einen entsprechenden öffentlichen Schlüssel binden. AD CS enthält auch Features, mit denen Sie die Zertifikatregistrierung und -sperrung in einer Vielzahl skalierbarer Umgebungen verwalten können.

Weitere Informationen finden Sie unter übersicht über Active Directory-Zertifikatdienste und Entwurfsanleitung für die Public Key-Infrastruktur.

Webserver (IIS)

Die Rolle Webserver (IIS) in Windows Server 2016 bietet eine sichere, einfach zu verwaltende, modulare und erweiterbare Plattform zum zuverlässigen Hosten von Websites, Diensten und Anwendungen. Mit IIS können Sie Informationen für Benutzer im Internet, in einem Intranet oder in einem Extranet freigeben. IIS ist eine einheitliche Webplattform, die IIS, ASP.NET, FTP-Dienste, PHP und Windows Communication Foundation (WCF) integriert.

Weitere Informationen finden Sie unter Übersicht über Webserver (IIS).