Einrichten einer Microsoft PKI mit Windows Server 2008 (R2)

Immer mehr der neuen Microsoft Lösungen nutzen Zertifikaten, um die Kommunikation abzusichern. Ob das die Remote Desktop Services (RDS), Direct Access oder Exchange 2010 sind, um nur einige Beispiele zu nennen.  In den Remote Desktop Services werden die Zertifikate z.B. für das Single Sign-On (durchreichen der Login-Information vom Client an den RDS Host) benutzt. Eine sehr schöne Funktion die, vorausgesetzt man betreibt eine eigene PKI, mit den Remote Desktop Clients Version 6.x eingesetzt werden kann (siehe auch unser Artikel “

Remote Desktop Services – Single Sign-On für XP SP3”). Da ich in letzter Zeit einige Microsoft PKIs implementiert habe und trotzdem immer wieder auf meine Dokumentation zurückgreifen musste, ist es an der Zeit, die Schritte in unserem Blog für uns, aber auch für Sie zu dokumentieren.

“Active-Directory Zertifikatsdienst” Rolle installieren

Alles beginnt mit der Installation der “Active-Directory Zertifikatsdienst” Rolle. Dazu gehen wir in den Servermanager, wählen Rollen aus, klicken auf “Active-Directory Zertifikatsdienste” und wählen die “Rollendienste Zertifizierungstelle” und “Zertifizierungstellen-Webregistrierung” aus. Im darauffolgenden Dialog “Installationstyp” wählen Sie  “Unternehmen” an. Danach müssen wir als Zertifizierungstellentyp “Stammzertifizierungsstelle” wählen. Im nächsten Schritt erstellen wir mit “Einen neuen Privaten Schlüssel erstellen” denselben. Im

Kryptografiedialog akzeptieren Sie dann die Standard Einstellungen. Im Fenster Zertifizierungsstelle haben Sie die Möglichkeit den vorgeschlagenen Namen zu akzeptieren. Ich mag nicht, dass der Name des Rechners mit in der Zertifizierungstelle steht, weswegen ich nur den Namen der Domäne mit angehängtem “-CA” bevorzuge (z.B. Rachfahl-CA). Im letzten Fenster vor der Installationszusammenfassung können Sie noch die Gültigkeitsdauer der CA ändern, was wir auch tun, indem wir die vorgeschlagenen Zeit von 5 auf 10 Jahre ändern.

Schlüsselwiederherstellungs-Agent implementieren

Im nächsten Schritt erstellen wir einen  Schlüsselwiederherstellungs-Agenten (im Englischen “Key Recovery Agent”). Dies ist eine Person die Zertifikate aus der Active-Directory im Falle eines Verlustes wieder

herstellen kann. Installiert wird der KRA, indem wir im Servermanager die frisch installierte “Active-Directory Zertifikatsdienste” Rolle öffnen und darunter die Zertifikatsvorlagen anklicken. Dann suchen wir im rechten Fenster die “Schlüsselwiederherstellungs-Agenten” Zertifikatsvorlagen und rechtsklicken darauf, um sie zu duplizieren. Im erscheinenden Fenster wählen wir “Windows Server 2003 Enterprise” aus und benennen dann das Duplikat um (Namensvorschlag: Namen der Vorlagen und hängen dann den Domainnamen mit einem Bindestrich an also z.B. “Schlüsselwiederherstellungs-Agent-Rachfahl”). In den Eigenschaften wechselt man auf “Sicherheit” und fügt hier den Benutzer hinzu, der dann die Funktion des Schlüsselwiederherstellungs-Agenten ausüben soll. Dieser Benutzer erhält zusätzlich zu “Lesen” die Rechte “Registrieren” (im Englischen Enroll) und “Automatisch registrieren” (im Englischen

Autoenroll). Danach speichern wir die Vorlagen ab. Die Vorlage rollen wir in der Domäne aus, indem wir Sie in den Vorlagenspeicher laden. Das geschieht indem wir in “IhreDomain>-CA” wechseln und dort die Zertifikatsvorlage mit rechtsklick auf “Zertifikatsvorlage” –> “Neu” –> “Auszustellendes Zertifikatsvorlage” auswählen. Dann aktivieren wir die soeben erstellte Zertifikatsvorlage.

Autoenrollment per GPOs erlauben

Im nächsten Schritt müssen wir das automatische Ausrollen der Benutzer- und Computer-Zertifikate per GPO erlauben. Dazu öffnet man die “Gruppenrichtlinienverwaltung”. Hier legen wir auf dem Domainlevel eine neue GPO an (wie Sie das ganze nennen, bleibt Ihnen überlassen, bei uns heißt Sie “PKIundKRA”). Dazu klicken Sie auf den Domainnamen und

wählen “Gruppenrichtlinienobjekt hier erstellen und verknüpfen…” aus und benennen sie nach Ihren Vorstellungen. Jetzt rechtsklicken Sie auf die soeben erstellte Gruppenrichtlinie und wählen “Bearbeiten…” aus. Zuerst konfigurieren wir den Benutzerteil der GPO. Dazu navigieren wir nach  “Benutzerkonfiguration”-> “Richtlinien” –> “Windows-Einstellungen” –> “Sicherheitseinstellungen” –> “Richtlinien für öffentliche Schlüssel”. Hier doppelklicken wir auf “Zertifikatdienstclient – Automatische Registrierung“ und stellen die GPO auf “Aktiviert”. Danach wählen wir alle drei Optionen aus (siehe

Screenshot rechts) und bestätigen die Änderungen mit “OK”.

Jetzt konfigurieren wir den Computerteil der GPO. Dazu navigieren wir nach  “Computereinstellungen” –> “Richtlinien” –> Windows-Einstellungen” –> “Sicherheitseinstellungen” –> Richtlinien für öffentliche Schlüssel”. Hier doppelklicken wir auf “Zertifikatsdienstclient – Automatische Registrierung” und stellen auch diese GPO auf “Aktivieren”. Dann wählen wir die beiden möglichen Optionen aus (Screenshot rechts)und bestätigen auch diese Änderung mit “OK”.

Im nächsten Schritt wählen wir an der gleichen Stelle den Punkt “Einstellungen der automatischen Zertifikatsanforderung” aus , rechtsklicken im rechten Teil

und wählen dann “Neu…” und dannach “Automatische Zertifikatsanforderung…” aus. Daraufhin erscheint der “Assistent für die automatische Zertifikatsanforderung”.  Hier klicken Sie auf “Weiter” und wählen “Computer” aus. Danach klicken Sie nochmal auf “Weiter” und die erscheinende Zusammenfassung beenden Sie mit “Fertig”.

Zertifikat für den Schlüsselwiederherstellungs-Agent erzeugen

Damit wir die Funktion des Schlüsselwiederherstellungs-Agenten nutzen können, müssen wir für diesen ein Zertifikat ausstellen. Das machen wir am einfachsten, in dem wir uns an einem Rechner als dieser Benutzer anmelden (in unserem Fall mit dem Benutzer “KeyRecoveryAgent”), dann öffnen wir die MMC (über Ausführen MMC eingeben) wechseln in die

Snapinverwaltung über “Datei” –> “Snapin hinzufügen/entfernen…” und fügen das “Zertifikate Snapin” hinzu (durch Auswahl von “Zertifikate”). Jetzt können wir ein Zertifikatrequest bei unsere CA einstellen. Dies passiert indem wir auf “Eigene Zertifikate” rechtsklicken und “Alle Aufgaben…” –> “neues Zertifikat anfordern…” klicken. Hier wählen Sie dann, aus den Vorlagen, den von Ihnen erstellten “Schlüsselwiederherstellungs-Agent-<Domain>” aus und klicken zweimal “Weiter” ohne etwas anderes einzustellen. Das System erzeugt mit

diesem Vorgang einen Zertifikatsrequest, den wir dann auf der CA manuell bestätigen müssen. Dazu wechseln wir auf unseren Server mit der CA, rufen die “Active-Direktory Zertifikatsdienste” auf, öffnen unsere CA und klicken auf “Austehende Anforderungen”. Hier sollten Sie den von uns erstellten Zertifikatsrequest sehen. Diesen rechtsklicken Sie und wählen “Alle Aufgaben…” -> “Austellen” aus. Damit wird der Request bestätigt und Sie können nach etwas Zeit auf dem Rechner unter “Eigene Zertifikate” das Zertifikat finden.

Autoarchivierung für die CA einschalten 

Im nächsten Schritt schalten wir die Autoarchivierung in unserer CA ein. Dies tun wir wieder in der “Active-Direktory Zertifikatsdienste” Rolle. Hier rechsklicken wir auf unsere CA und wählen “Eigenschaften…” aus. In dem sich öffnenden Dialog wechseln wir auf den Reiter “Wiederherstellungs-Agent” und wählen den Radiobutton “Schlüssel archivieren” aus. Jetzt müssen wir einen Benutzer auswählen, der berechtigt ist die Schlüssel zu archivieren. Dazu klicken wir auf “Hinzufügen…” und ergänzen das eben erstellte Zertifikat unseres “Schlüsselwiederherstellungs-Agenten”.

Erzeugen einer Benutzer Zertifikatsvorlage zum Automatischen Registrieren

Im letzten Schritt erzeugen wir eine Zertifikatsvorlage,

mit der unsere Benutzer automatisch, ohne Interaktion, ein Benutzer-Zertifikat erstellt bekommen.  Die Erstellung ist ähnlich, wie bei der “Schlüsselwiederherstellungs-Agenten-Vorlagen”. Hierzu rufen wir wieder auf unserer CA die Rolle “Active-Direktory Zertifikatsdienste” auf. Hier wechseln wir in die “Zertifikatsvorlagen”,  suchen die Vorlage die wir Duplizieren wollen heraus, rechtsklicken auf “Benutzer” und wählen “Doppelte Vorlage” aus. In dem sich öffnenden Dialog wählen wir

“Windows Server 2003 Enterprise” aus und benennen die Vorlage dann in “Benutzer-<Domain>” (also z.B. Benutzer-Rachfahl) um.  Jetzt wechseln wir auf den Reiter “Anforderungsverarbeitung”.  Hier wählen wir zusätzlich das Feld “Private Schlüssel für die Verschlüsselung archivieren” aus. Dann wechseln wir in den Reiter “Sicherheit”. Hier klicken wir auf die Sicherheitsgruppe “Domänen-Benutzer” und geben dieser die Rechte “Lesen”, Registrieren” und “Automatisch Registrieren”. Im Reiter “Allgemein” ist es sinnvoll einen Haken bei “Nicht automatisch neu registrieren, wenn ein identisches Zertifikat bereits in der Active Directory vorhanden ist” zu setzen, da sonst für jeden PC, an dem sich ein Benutzer anmeldet, ein neues Zertifikat ausgestellt wird. Bei 1000 Mitarbeitern, die sich im Laufe eines Jahres an 10 PCs und an 15 RDS-Servern anmelden kommt schon eine riesige Anzahl von Zertifikaten zusammen.

Zuletzt noch der Reiter “Antragsstellername”. Hier wählen wir die Felder “E-Mail-Name im

Antragstellername” und “E-Mail-Name” ab so das nur noch das Feld “Benutzerprinzipalname (UPN)” angewählt ist. Bestätigen Sie nun das Erstellen der Vorlage mit “OK”.  Was jetzt noch fehlt, ist das Ausrollen der Zertifikatsvorlage.  Dazu wählen wir die CA aus und rechtsklick auf “Zertifikatsvorlagen”. Jetzt klicken wir auf “Neu” –> “Auszustellende Zertifikatsvorlage” und wählen die eben erstellte Benutzerzertifikatsvorlage aus. Nachdem Sie in dem erscheinenden Dialog “OK” geklickt haben, fangen die Benutzer automatisch an Benutzer-Zertifikate anzufordern und die CA stellt diese Automatisch aus.

Prüfen ob Zertifikate ausgestellt werden

Nach den obigen Schritten sollten Sie eine PKI besitzen, die für Ihre Computer und Benutzer automatisch Zertifikate ausstellt. Jetzt stellt sich die Frage: Wie kann man das prüfen? Nun dazu wechseln Sie wieder in “Active-Direktory Zertifikatsdienste” und wählen Ihre CA aus (bei uns Rachfahl-CA”). Hier klicken wir auf  “Ausgestellte Zertifikate”. Jetzt sollten Sie einige Computer- und Benutzer-Zertifikate sehen. Wenn das nicht der Fall ist, dann wählen Sie “Fehlgeschlagene Anforderungen” aus. Falls Sie hier viele Einträge vorfinden, dann prüfen Sie, ob Sie alle Schritte, wie in diesem Post beschrieben durchgeführt haben. Wenn Sie in beiden Fällen nichts sehen, dann warten Sie einfach noch ein bisschen ab. Denn Sie wissen ja: “Gut Ding hat gut Weil”.

Sie haben Fragen zu Microsft PKI oder Sie stoßen auf Probleme? Dann rufen Sie uns an – gerne sind wir ihnen im Support behilflich.