Zertifikatsstelle unter Windows 2003 installieren

Die Installation bei Windows 2008 erfolgt über das Hinzufügen von Rollen, ist aber von den erforderlichen Angaben her identisch. Siehe auch Windows 2008 CA installieren

Sie benötigen Windows 2000 oder Windows 2003 Server und idealerweise (aber nicht zwingend) ein Active Directory. Über die Systemsteuerung - Software wir die Zertifizierungsstelle mit installiert.

Der nächste Schritt ist die Auswahl der richtigen Zertifizierungsstelle. Eine Zertifizierungsstelle des "Unternehmens" ist eine im Active Directory verankerte CA während einer eigenständige CA problemlos auf einem Memberserver oder Standalone Server installiert werden kann. Das ist der bevorzugte Weg, wenn sie wirklich "sicher" sein wollen, denn eine Stamm-CA sollte aus Sicherheitsgründen z.B. nicht aus dem Netzwerk erreichbar sein.

Jedes Zertifikat einer Stammzertifizierungsstelle enthält auch einen Verweis auf die CRL. Per Default nimmt Windows hier den Servernamen per HTTP, FILE, LDAP. Eventuell ist es eine bessere Idee, die Rückruflisten bei einer Änderung auf ihre öffentliche Webseite hochzuladen (z.B. "http://www.domain.tld/rootca/rootca.crl") und diese URL auch in der Konfiguration zu hinterlegen. Dazu müssen Sie aber vor der Installation eine Datei "CAPOLICY.INF anlegen.

Eine weniger kritische CA ist z.B.: eine untergeordnete Zertifizierungsstelle, die von einer Stamm-CA signiert wird. Kompromittiert jemand diese CA, dann kann die Stamm-CA immer noch die Zertifizierung zurückziehen. Sie brachen dann aber zum Testen die Stamm-CA und eine untergeordnete CA. für unsere Musterinstallation beschränken wir uns aber auch eine AD-integrierte Stamm-CA. Achten Sie auf die Checkbox im unteren Teil. Sie müssen diese ankreuzen, damit das Setup ein Schlüsselpaar erstellt. Ansonsten wird nur die Software installiert und Sie müssen das Schlüsselpaar von jemandem anderes erst bekommen.

Übernehmen Sie einfach die Standardeinstellungen für die Verschlüsselungsstärke.

Nun geht es an den Namen der CA. Dieser Name ist später auch im Zertifikat zu lesen. Mit der Gültigkeit bestimmten Sie, wie lange die CA selbst "gültig" bleibt. Es ist nach einem Diebstahl sehr schwer, die geklaute CA als unbrauchbar zu kennzeichnen. Mit der Verfallszeit muss ein Kompromiss geschlossen werden, zwischen dem Aufwand immer wieder das Root Zertifikat zu verteilen und der Sicherheit, dass nach einer bestimmten Zeit auch ein Dieb nichts mehr davon hat. 5 Jahre ist Standard.

Für den internen Einsatz würde ich die Gültigkeit auf 20-40 Jahre setzen. Auch öffentliche CA's sind deutlich länger gültig, als die 5 Jahre. Sie ersparen sich mit einer langen Gültigkeit der StammCA, dass die das Zertifikat nach 3-5 Jahren wieder verlängern müssen. Das geht zwar schnell aber das Rollout auf Clients, die nicht in der Domäne sein (Unix, Mac, Standalone Systeme, Homeoffice, Swiches, Appliances, VMWare, selbständige Außendienstler etc.) ist eine Arbeit, die sie vielleicht lieber nicht so oft machen wollen.

Und schon erstellt das Setup ein Schlüsselpaar, welches es selbstverständlich gleich selbst digital signiert. Das ähnelt etwas dem "Prinzip Münchhausen", der sich ja auch angeblich selbst an deinem Schopfe aus dem Sumpf gezogen hat. Nur hier funktioniert das

Das funktioniert daher, weil Sie später das erstelle Stammzertifikat einfach bei sich als "vertrauenswürdig" einstufen. Das eigene und alle zukünftig ausgestellten Zertifikate etc. müssen in einer Datenbank verwaltet werden. Die Standardwerte sind für unsere Testinstallation in Ordnung.

Da sich die Zertifikatsstelle auch in den IIS einbindet. warnt Sie das Setup, dass die Webdienste für kurze Zeit deaktiviert werden. Wenn also ihre IIS noch andere Funktionen ausführt (z.B.: Exchange OWA, Sharepoint, Intranet etc.) dann sollten Sie die Unterbrechung auf einen günstigen Zeitpunkt legen.

Und dann geht es schon los mit der Installation der Dateien und Konfiguration der Dienste.

Und wenn nichts dazwischen gekommen ist, ist ihre CA fix und fertig installiert und Betriebsfähig.

Wenn Sie einen ersten Blick auf ihre Zertifikatsstelle werfen wollen, dann nutzen Sie im Startmenü unter "Verwaltung" einfach die MMC für die Zertifikatsstelle.

Allerdings können Sie hier nicht wirklich noch viel machen. Später finden Sie hier eine Liste aller bereits ausgestellten oder freizugebenden Zertifikaten. Hier können Sie später auch die Arbeitsweise der Zertifikatsstelle konfigurieren, z.B. welche Benutzer welche Art von Zertifikaten anfordern dürfen und ob die Zertifikatsstelle diese dann auch sofort ausstellt oder Sie als Administrator diese erst freigeben müssen.

Achtung KB922706
Wenn Sie Windows Vista, Windows 7 oder Windows 2008 Server haben, dann benötigen Sie eine aktuellere Version der Web Enrollment Seiten. Siehe 922706 How to use Certificate Services Web enrollment pages together with Windows Vista or Windows Server 2008

Für die Standardinstallation ist die Microsoft Einstellung aber schon passend, da damit jeder Anwender ein Benutzerzertifikat für S/MIME und ein Webserver Administrator ein SSL-Zertifikat anfordern kann. Und fordere ich nun ein Zertifikat an ? Das verraten ihnen die beiden nächsten Seiten. Wenn Sie aber diese Zertifikate dann auch intern einfach nutzen wollen, dann müssen Sie das Stammstellenzertifikat auf jedem Endgerät installieren. Hierzu eigenen sich die Gruppenrichtlinien natürlich am besten.

Nach der Installation können sich Anwender und Computer sofort entsprechende Computerzertifikate, Basic-EFS-Zertifikat oder Benutzerzertifikat (z.B. für S/Mime oder PGP) holen. Das sollten Sie erst zulassen, wenn Sie z.B. die Vorlagen ihren Firmenvorgaben angepasst haben. Stoppen Sie daher die Zertifizierungsstelle.

Weitere Links