Planen der Bereitstellung SSL

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Bevor Sie Serverzertifikate bereitstellen, müssen Sie die folgenden Elemente planen:

Planen der grundlegenden Serverkonfiguration

Nachdem Sie Windows Server 2016 auf dem Computer installiert haben, den Sie als Zertifizierungsstelle und Webserver verwenden möchten, müssen Sie den Computer umbenennen und eine statische IP-Adresse für den lokalen Computer zuweisen und konfigurieren.

Weitere Informationen finden Sie im Leitfaden zu grundlegenden Netzwerkkomponenten für Windows Server 2016.

Planen des Domänenzugriffs

Damit sich der Computer bei der Domäne anmelden kann, muss er Mitglied der Domäne sein, und das Benutzerkonto muss vor der Anmeldung in AD DS erstellt worden sein. Darüber hinaus erfordern die meisten Verfahren in diesem Leitfaden, dass das Benutzerkonto Mitglied der Gruppe „Organisations-Admins“ oder der Gruppe „Domänen-Admins“ in „Active Directory-Benutzer und -Computer“ ist. Daher müssen Sie sich bei der Zertifizierungsstelle (Certification Authority, CA) mit einem Konto anmelden, das über die entsprechende Gruppenmitgliedschaft verfügt.

Weitere Informationen finden Sie im Leitfaden zu grundlegenden Netzwerkkomponenten für Windows Server 2016.

Planen des Speicherorts und Namens des virtuellen Verzeichnisses auf Ihrem Webserver

Um Zugriff auf die Zertifikatssperrliste (Certificate Revocation List, CRL) und das Zertifizierungsstellenzertifikat auf anderen Computern bereitzustellen, müssen Sie diese Elemente in einem virtuellen Verzeichnis auf Ihrem Webserver speichern. In diesem Leitfaden befindet sich das virtuelle Verzeichnis auf dem Webserver WEB1. Der Ordner befindet sich auf dem Laufwerk „C:“ und heißt „pki“. Sie können Ihr virtuelles Verzeichnis auf Ihrem Webserver in jedem Ordnerpfad speichern, der für Ihre Bereitstellung geeignet ist.

Planen eines DNS-Aliaseintrags (CNAME) für Ihren Webserver

Aliasressourceneinträge (CNAME) werden auch als kanonische Namensressourceneinträge bezeichnet. Mit diesen Einträgen können Sie mehrere Namen verwenden, um auf einen einzelnen Host zu verweisen, sodass Sie problemlos sowohl einen FTP-Server (File Transfer Protocol) als auch einen Webserver auf demselben Computer hosten können. So werden beispielsweise bekannte Servernamen (ftp, www) mithilfe von Aliasressourceneinträgen (CNAME) registriert, die dem DNS-Hostnamen – z. B. WEB1 – für den Servercomputer zugeordnet sind, auf dem diese Dienste gehostet werden.

In diesem Leitfaden finden Sie Anweisungen zum Konfigurieren des Webservers zum Hosten der Zertifikatssperrliste (CRL) für Ihre Zertifizierungsstelle. Da Sie Ihren Webserver möglicherweise auch für andere Zwecke verwenden möchten, z. B. zum Hosten einer FTP- oder Website, ist es ratsam, einen Aliasressourceneintrag in DNS für Ihren Webserver zu erstellen. In diesem Leitfaden lautet der CNAME-Eintrag „pki“, aber Sie können einen anderen, für Ihre Bereitstellung geeigneten Namen vergeben.

Planen der Konfiguration von „CAPolicy.inf“

Bevor Sie die Active Directory-Zertifikatdienste (AD CS) installieren, müssen Sie „CAPolicy.inf“ in der Zertifizierungsstelle mit den Informationen konfigurieren, die für Ihre Bereitstellung richtig sind. Eine CAPolicy.inf-Datei enthält die folgenden Informationen:

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

Sie müssen die folgenden Elemente für diese Datei planen:

  • URL. Der URL-Wert in der CAPolicy.inf-Beispieldatei lautet https://pki.corp.contoso.com/pki/cps.txt. Dies liegt daran, dass dem Webserver in diesem Leitfaden der Name „WEB1“ und der DNS-Ressourceneintrag (CNAME) „pki“ zugewiesen wurde. Der Webserver ist auch der Domäne „corp.contoso.com“ beigetreten. Darüber hinaus gibt es ein virtuelles Verzeichnis auf dem Webserver namens „pki“, in dem die Zertifikatssperrliste gespeichert ist. Stellen Sie sicher, dass der Wert, den Sie für die URL in Ihrer CAPolicy.inf-Datei bereitstellen, auf ein virtuelles Verzeichnis auf Ihrem Webserver in Ihrer Domäne zeigt.

  • RenewalKeyLength. Die Standardlänge des Verlängerungsschlüssels für AD CS in Windows Server 2012 ist 2048. Die von Ihnen ausgewählte Schlüssellänge sollte so lang wie möglich sein und trotzdem weiterhin Kompatibilität mit den Anwendungen gewährleisten, die Sie verwenden möchten.

  • RenewalValidityPeriodUnits. Der RenewalValidityPeriodUnits-Wert der CAPolicy.inf-Beispieldatei beträgt 5 Jahre. Dies liegt daran, dass die erwartete Lebensdauer der Zertifizierungsstelle etwa zehn Jahre beträgt. Der Wert von RenewalValidPeriodUnits sollte den allgemeinen Gültigkeitszeitraum der Zertifizierungsstelle oder die höchste Anzahl von Jahren widerspiegeln, für die Sie die Registrierung bereitstellen möchten.

  • CRLPeriodUnits. Der CRLPeriodUnits-Wert in der CAPolicy.inf-Beispieldatei lautet 1. Dies liegt daran, dass das Aktualisierungsintervall für die Zertifikatssperrliste in diesem Leitfaden 1 Woche beträgt. In dem mit dieser Einstellung festgelegten Intervall müssen Sie die Zertifikatssperrliste in der Zertifizierungsstelle in dem virtuellen Webserververzeichnis veröffentlichen, in dem Sie die Sperrliste speichern. Außerdem müssen Sie den Computern, die sich im Authentifizierungsprozess befinden, Zugriff auf dieses Verzeichnis gewähren.

  • AlternateSignatureAlgorithm. Diese CAPolicy.inf-Datei implementiert einen verbesserten Sicherheitsmechanismus über alternative Signaturformate. Sie sollten diese Einstellung nicht implementieren, wenn in Ihrer Umgebung noch Windows XP-Clients im Einsatz sind, die Zertifikate von dieser Zertifizierungsstelle benötigen.

Wenn Sie nicht planen, Ihrer öffentlichen Schlüsselinfrastruktur zu einem späteren Zeitpunkt eine untergeordnete Zertifizierungsstelle hinzuzufügen, und wenn Sie das Hinzufügen solcher untergeordneten Zertifizierungsstellen verhindern möchten, können Sie Ihrer CAPolicy.inf-Datei den PathLength-Schlüssel mit dem Wert 0 hinzufügen. Um diesen Schlüssel hinzuzufügen, kopieren Sie den folgenden Code und fügen ihn in Ihre Datei ein:

[BasicConstraintsExtension]
PathLength=0
Critical=Yes

Wichtig

Es wird nicht empfohlen, andere Einstellungen in der CAPolicy.inf-Datei zu ändern, es sei denn, Sie haben einen bestimmten Grund dafür.

Planen der Konfiguration der CDP- und AIA-Erweiterungen in CA1

Wenn Sie die Einstellungen für den Verteilungspunkt der Zertifikatssperrliste (Certificate Revocation List Distribution Point, CDP) und die Einstellungen für den Zugriff auf Zertifizierungsstelleninfos (Authority Information Access, AIA) in CA1 konfigurieren, benötigen Sie den Namen Ihres Webservers und Ihrer Domäne. Außerdem benötigen Sie den Namen des virtuellen Verzeichnisses, das Sie auf Ihrem Webserver erstellt haben und in dem die Zertifikatssperrliste und das Zertifizierungsstellenzertifikat gespeichert sind.

Der CDP-Speicherort, den Sie in diesem Bereitstellungsschritt eingeben müssen, weist folgendes Format auf:

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl.

Ein Beispiel: Ihr Webserver heißt „WEB1“, der DNS-Aliaseintrag (CNAME) für den Webserver lautet „pki“, Ihre Domäne heißt „corp.contoso.com“ und Ihr virtuelles Verzeichnis heißt „pki“. Dann lautet der CDP-Speicherort wie folgt:

http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

Der AIA-Speicherort, den Sie eingeben müssen, weist dieses Format auf:

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName><CertificateName>.crt.

Ein Beispiel: Ihr Webserver heißt „WEB1“, der DNS-Aliaseintrag (CNAME) für den Webserver lautet „pki“, Ihre Domäne heißt „corp.contoso.com“ und Ihr virtuelles Verzeichnis heißt „pki“. Dann lautet der AIA-Speicherort wie folgt:

http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt

Planen des Kopiervorgangs zwischen Zertifizierungsstelle und Webserver

Um das Zertifikatssperrlisten- und Zertifizierungsstellenzertifikat aus der Zertifizierungsstelle im virtuellen Webserververzeichnis zu veröffentlichen, können Sie den Befehl „certutil -crl“ ausführen, nachdem Sie die CDP- und AIA-Speicherorte in der Zertifizierungsstelle konfiguriert haben. Stellen Sie anhand der Informationen in diesem Leitfaden sicher, dass Sie auf der Registerkarte Erweiterungen der Zertifizierungsstelleneigenschaften die richtigen Pfade konfigurieren, bevor Sie diesen Befehl ausführen. Um das Zertifikat der Unternehmenszertifizierungsstelle auf den Webserver kopieren zu können, müssen Sie bereits das virtuelle Verzeichnis auf dem Webserver erstellt und den Ordner als freigegebenen Ordner konfiguriert haben.

Planen der Konfiguration der Serverzertifikatvorlage in der Zertifizierungsstelle

Um automatisch registrierte Serverzertifikate bereitzustellen, müssen Sie die Zertifikatvorlage mit dem Namen RAS- und IAS-Server kopieren. Standardmäßig heißt diese Kopie Kopie von „RAS- und IAS-Server“. Wenn Sie diese Vorlagenkopie umbenennen möchten, planen Sie den Namen, den Sie während dieses Bereitstellungsschritts verwenden möchten.

Hinweis

Die letzten drei Bereitstellungsabschnitte in diesem Leitfaden – mit denen Sie die automatische Registrierung von Serverzertifikaten konfigurieren, Gruppenrichtlinien auf Servern aktualisieren und überprüfen, ob die Server ein gültiges Serverzertifikat von der Zertifizierungsstelle erhalten haben – erfordern keine zusätzlichen Planungsschritte.