Einrichten einer Microsoft PKI mit Windows Server 2008 (R2)

Windows Server 2008Immer mehr der neuen Microsoft Lösungen nutzen Zertifikaten, um die Kommunikation abzusichern. Ob das die Remote Desktop Services (RDS), Direct Access oder Exchange 2010 sind, um nur einige Beispiele zu nennen.  In den Remote Desktop Services werden die Zertifikate z.B. für das Single Sign-On (durchreichen der Login-Information vom Client an den RDS Host) benutzt. Eine sehr schöne Funktion die, vorausgesetzt man betreibt eine eigene PKI, mit den Remote Desktop Clients Version 6.x eingesetzt werden kann (siehe auch unser Artikel “Remote Desktop Services – Single Sign-On für XP SP3”). Da ich in letzter Zeit einige Microsoft PKIs implementiert habe und trotzdem immer wieder auf meine Dokumentation zurückgreifen musste, ist es an der Zeit, die Schritte in unserem Blog für uns, aber auch für Sie zu dokumentieren.

“Active-Directory Zertifikatsdienst” Rolle installieren

Alles beginnt mit der Installation der “Active-Directory imageZertifikatsdienst” Rolle. Dazu gehen wir in den Servermanager, wählen Rollen aus, klicken auf “Active-Directory Zertifikatsdienste” und wählen die “Rollendienste Zertifizierungstelle” und “Zertifizierungstellen-Webregistrierung” aus. Im darauffolgenden Dialog “Installationstyp” wählen Sie  “Unternehmen” an. Danach müssen wir als Zertifizierungstellentyp “Stammzertifizierungsstelle” wählen. Im nächsten Schritt erstellen wir mit “Einen neuen Privaten Schlüssel erstellen” denselben. Im imageKryptografiedialog akzeptieren Sie dann die Standard Einstellungen. Im Fenster Zertifizierungsstelle haben Sie die Möglichkeit den vorgeschlagenen Namen zu akzeptieren. Ich mag nicht, dass der Name des Rechners mit in der Zertifizierungstelle steht, weswegen ich nur den Namen der Domäne mit angehängtem “-CA” bevorzuge (z.B. Rachfahl-CA). Im letzten Fenster vor der Installationszusammenfassung können Sie noch die Gültigkeitsdauer der CA ändern, was wir auch tun, indem wir die vorgeschlagenen Zeit von 5 auf 10 Jahre ändern.

Schlüsselwiederherstellungs-Agent implementierenimage

Im nächsten Schritt erstellen wir einen  Schlüsselwiederherstellungs-Agenten (im Englischen “Key Recovery Agent”). Dies ist eine Person die Zertifikate aus der Active-Directory im Falle eines Verlustes wieder imageherstellen kann. Installiert wird der KRA, indem wir im Servermanager die frisch installierte “Active-Directory Zertifikatsdienste” Rolle öffnen und darunter die Zertifikatsvorlagen anklicken. Dann suchen wir im rechten Fenster die “Schlüsselwiederherstellungs-Agenten” Zertifikatsvorlagen und rechtsklicken darauf, um sie zu duplizieren. Im erscheinenden Fenster wählen wir “Windows Server 2003 Enterprise” aus und benennen dann das Duplikat um (Namensvorschlag: Namen der Vorlagen und hängen dann den Domainnamen mit einem Bindestrich an also z.B. “Schlüsselwiederherstellungs-Agent-Rachfahl”). In den Eigenschaften wechselt man auf “Sicherheit” und fügt hier den Benutzer hinzu, der dann die Funktion des Schlüsselwiederherstellungs-Agenten ausüben soll. Dieser Benutzer erhält zusätzlich zu “Lesen” die Rechte “Registrieren” (im Englischen Enroll) und “Automatisch registrieren” (im Englischen imageAutoenroll). Danach speichern wir die Vorlagen ab. Die Vorlage rollen wir in der Domäne aus, indem wir Sie in den Vorlagenspeicher laden. Das geschieht indem wir in “IhreDomain>-CA” wechseln und dort die Zertifikatsvorlage mit rechtsklick auf “Zertifikatsvorlage” –> “Neu” –> “Auszustellendes Zertifikatsvorlage” auswählen. Dann aktivieren wir die soeben erstellte Zertifikatsvorlage.

Autoenrollment per GPOs erlauben

Im nächsten Schritt müssen wir das automatische Ausrollen der Benutzer- und Computer-Zertifikate per GPO erlauben. Dazu öffnet man die “Gruppenrichtlinienverwaltung”. Hier legen wir auf dem Domainlevel eine neue GPO an (wie Sie das ganze nennen, bleibt Ihnen überlassen, bei uns heißt Sie “PKIundKRA”). Dazu klicken Sie auf den Domainnamen undimage wählen “Gruppenrichtlinienobjekt hier erstellen und verknüpfen…” aus und benennen sie nach Ihren Vorstellungen. Jetzt rechtsklicken Sie auf die soeben erstellte Gruppenrichtlinie und wählen “Bearbeiten…” aus. Zuerst konfigurieren wir den Benutzerteil der GPO. Dazu navigieren wir nach  “Benutzerkonfiguration”-> “Richtlinien” –> “Windows-Einstellungen” –> “Sicherheitseinstellungen” –> “Richtlinien für öffentliche Schlüssel”. Hier doppelklicken wir auf “Zertifikatdienstclient – Automatische Registrierung“ und stellen die GPO auf “Aktiviert”. Danach wählen wir alle drei Optionen aus (siehe imageScreenshot rechts) und bestätigen die Änderungen mit “OK”.

Jetzt konfigurieren wir den Computerteil der GPO. Dazu navigieren wir nach  “Computereinstellungen” –> “Richtlinien” –> Windows-Einstellungen” –> “Sicherheitseinstellungen” –> Richtlinien für öffentliche Schlüssel”. Hier doppelklicken wir auf “Zertifikatsdienstclient – Automatische Registrierung” und stellen auch diese GPO auf “Aktivieren”. Dann wählen wir die beiden möglichen Optionen aus (Screenshot rechts)und bestätigen auch diese Änderung mit “OK”.

imageIm nächsten Schritt wählen wir an der gleichen Stelle den Punkt “Einstellungen der automatischen Zertifikatsanforderung” aus , rechtsklicken im rechten Teil imageund wählen dann “Neu…” und dannach “Automatische Zertifikatsanforderung…” aus. Daraufhin erscheint der “Assistent für die automatische Zertifikatsanforderung”.  Hier klicken Sie auf “Weiter” und wählen “Computer” aus. Danach klicken Sie nochmal auf “Weiter” und die erscheinende Zusammenfassung beenden Sie mit “Fertig”.

 

Zertifikat für den Schlüsselwiederherstellungs-Agent erzeugen

Damit wir die Funktion des Schlüsselwiederherstellungs-Agenten nutzen können, müssen wir für diesen ein Zertifikat ausstellen. Das machen wir am einfachsten, in dem wir uns an einem Rechner als dieser Benutzer anmelden (in unserem Fall mit dem Benutzer “KeyRecoveryAgent”), dann öffnen wir die MMC (über Ausführen MMC eingeben) wechseln in dieimage Snapinverwaltung über “Datei” –> “Snapin hinzufügen/entfernen…” und fügen das “Zertifikate Snapin” hinzu (durch Auswahl von “Zertifikate”). Jetzt können wir ein Zertifikatrequest bei unsere CA einstellen. Dies passiert indem wir auf “Eigene Zertifikate” rechtsklicken und “Alle Aufgaben…” –> “neues Zertifikat anfordern…” klicken. Hier wählen Sie dann, aus den Vorlagen, den von Ihnen erstellten “Schlüsselwiederherstellungs-Agent-<Domain>” aus und klicken zweimal “Weiter” ohne etwas anderes einzustellen. Das System erzeugt mit image diesem Vorgang einen Zertifikatsrequest, den wir dann auf der CA manuell bestätigen müssen. Dazu wechseln wir auf unseren Server mit der CA, rufen die “Active-Direktory Zertifikatsdienste” auf, öffnen unsere CA und klicken auf “Austehende Anforderungen”. Hier sollten Sie den von uns erstellten Zertifikatsrequest sehen. Diesen rechtsklicken Sie und wählen “Alle Aufgaben…” -> “Austellen” aus. Damit wird der Request bestätigt und Sie können nach etwas Zeit auf dem Rechner unter “Eigene Zertifikate” das Zertifikat finden.

image

Autoarchivierung für die CA einschalten 

Im nächsten Schritt schalten wir die Autoarchivierung in unserer CA ein. Dies tun wir wieder in der “Active-Direktory Zertifikatsdienste” Rolle. Hier rechsklicken wir auf unsere CA und wählen “Eigenschaften…” aus. In dem sich öffnenden Dialog wechseln wir auf den Reiter “Wiederherstellungs-Agent” und wählen den Radiobutton “Schlüssel archivieren” aus. Jetzt müssen wir einen Benutzer auswählen, der berechtigt ist die Schlüssel zu archivieren. Dazu klicken wir auf “Hinzufügen…” und ergänzen das eben erstellte Zertifikat unseres “Schlüsselwiederherstellungs-Agenten”.

Erzeugen einer Benutzer Zertifikatsvorlage zum Automatischen Registrieren

Im letzten Schritt erzeugen wir eine Zertifikatsvorlage, imagemit der unsere Benutzer automatisch, ohne Interaktion, ein Benutzer-Zertifikat erstellt bekommen.  Die Erstellung ist ähnlich, wie bei der “Schlüsselwiederherstellungs-Agenten-Vorlagen”. Hierzu rufen wir wieder auf unserer CA die Rolle “Active-Direktory Zertifikatsdienste” auf. Hier wechseln wir in die “Zertifikatsvorlagen”,  suchen die Vorlage die wir Duplizieren wollen heraus, rechtsklicken auf “Benutzer” und wählen “Doppelte Vorlage” aus. In dem sich öffnenden Dialog wählen wir Zertifikate_nicht_automatisch_neu_registrierenWindows Server 2003 Enterprise” aus und benennen die Vorlage dann in “Benutzer-<Domain>” (also z.B. Benutzer-Rachfahl) um.  Jetzt wechseln wir auf den Reiter “Anforderungsverarbeitung”.  Hier wählen wir zusätzlich das Feld “Private Schlüssel für die Verschlüsselung archivieren” aus. Dann wechseln wir in den Reiter “Sicherheit”. Hier klicken wir auf die Sicherheitsgruppe “Domänen-Benutzer” und geben dieser die Rechte “Lesen”, Registrieren” und “Automatisch Registrieren”. Im Reiter “Allgemein” ist es sinnvoll einen Haken bei “Nicht automatisch neu registrieren, wenn ein identisches Zertifikat bereits in der Active Directory vorhanden ist” zu setzen, da sonst für jeden PC, an dem sich ein Benutzer anmeldet, ein neues Zertifikat ausgestellt wird. Bei 1000 Mitarbeitern, die sich im Laufe eines Jahres an 10 PCs und an 15 RDS-Servern anmelden kommt schon eine riesige Anzahl von Zertifikaten zusammen.

Zuletzt noch der Reiter “Antragsstellername”. Hier wählen wir die Felder “E-Mail-Name im imageAntragstellername” und “E-Mail-Name” ab so das nur noch das Feld “Benutzerprinzipalname (UPN)” angewählt ist. Bestätigen Sie nun das Erstellen der Vorlage mit “OK”.  Was jetzt noch fehlt, ist das Ausrollen der Zertifikatsvorlage.  Dazu wählen wir die CA aus und rechtsklick auf “Zertifikatsvorlagen”. Jetzt klicken wir auf “Neu” –> “Auszustellende Zertifikatsvorlage” und wählen die eben erstellte Benutzerzertifikatsvorlage aus. Nachdem Sie in dem erscheinenden Dialog “OK” geklickt haben, fangen die Benutzer automatisch an Benutzer-Zertifikate anzufordern und die CA stellt diese Automatisch aus.

Prüfen ob Zertifikate ausgestellt werden

Nach den obigen Schritten sollten Sie eine PKI besitzen, die für Ihre Computer und Benutzer automatisch Zertifikate ausstellt. Jetzt stellt sich die Frage: Wie kann man das prüfen? Nun dazu wechseln Sie wieder in “Active-Direktory Zertifikatsdienste” und wählen Ihre CA aus (bei uns Rachfahl-CA”). Hier klicken wir auf  “Ausgestellte Zertifikate”. Jetzt sollten Sie einige Computer- und Benutzer-Zertifikate sehen. Wenn das nicht der Fall ist, dann wählen Sie “Fehlgeschlagene Anforderungen” aus. Falls Sie hier viele Einträge vorfinden, dann prüfen Sie, ob Sie alle Schritte, wie in diesem Post beschrieben durchgeführt haben. Wenn Sie in beiden Fällen nichts sehen, dann warten Sie einfach noch ein bisschen ab. Denn Sie wissen ja: “Gut Ding hat gut Weil”.

Sie haben Fragen zu Microsft PKI oder Sie stoßen auf Probleme? Dann rufen Sie uns an – gerne sind wir ihnen im Support behilflich.

Teilen:

Carsten Rachfahl

Dipl. Ing. Carsten Rachfahl ist seit mehr als 20 Jahren in der IT-Branche tätig. Er ist einer der geschäftsführenden Gesellschafter der Rachfahl IT-Solutions GmbH & Co. KG und für den technischen Bereich verantwortlich.

19 Comments:

  1. Pingback: Tweets die Einrichten einer Microsoft PKI mit Windows Server 2008 (R2) « Technikblog erwähnt -- Topsy.com

  2. Vielen Dank für den Blog. Der Artikel war sehr hilfreich.

  3. Super Atikel. Kurz und übersichtlich.
    Danke

  4. Ein klasse Artikel, sehr übersichtlich mit allem wichtigem.

    Vielen Dank

  5. Leider werden viele wichtige Aspekte nicht angesprochen. Die Installation ohne zuerst erstellte CaPolicy.inf und ohne ein zuvor erstelltes Konzept(Richtlinien, Mehrstufigkeit, Rollentrennung) machen die Installation schnell wieder zu nichte. Besonders wenn mit Benutzerzertifikaten gearbeitet wird und das Konzept zu Key Recovery und Key Backup nicht steht, möchte ich nicht in der Haut des Admins stecken wenn der erste User anruft und sagt er kommt an seine verschlüsselten Daten nicht mehr da er sein Zertifkat verloren hat. Insgesamt ein netter Überblick der aber für Unwissende lediglich gefährliches Halbwissen vermittel.

  6. Pingback: Einrichtung eines Remote Desktop Services Remotedesktopgateway « Technikblog

  7. Sehr guter Artikel.

    Vielen Dank

  8. Pingback: Ändern einer Zertifikats-Vorlage einer Windows Server 2008 R2 PKI « Technikblog

  9. Pingback: RDS-Farm mit einem gültigen SSL-Zertifikat ausstatten « Technikblog

  10. Absolut hilfreich. Danke.

  11. Pingback: Abbau einer Windows Server 2008 R2 PKI « Technikblog

  12. Pingback: 2K3 - PKI und Wiederherstellungs-Agent - MCSEboard.de MCSE Forum

  13. Sehr guter Artikel wie ich finde. Was mir leider wie so oft auch hier fehlt wäre mal eine Abhandlung darüber, wieviele z.B. unterschiedliche Benutzerzertifikate sinnvoll in einem Unternehmen sind oder ob man lieber auf ein Kombizertifikat zurückgreift?

  14. Pingback: Office365 Hybrid Szenario – Video 3 – ADFS 2.0-Verbundserver Konfiguration und Vorbereitung der Domain » Himmlische IT - Blog zu den Microsoft Online Services

  15. Pingback: Update von Desktop Authority 8.12 auf Desktop Authority 9.0.1 und Umzug auf Windows Server 2012 « Technikblog

  16. Hallo, erstmal muss ich sagen ich finde den Artikel gut und knapp geschrieben.

    Ich habe nu das Problem das die ersten Zertifikate ablaufen (14.01.2013) nun kommen seit letzter Woche beim User Meldungen das das Zertifikat ausläuft (sind 2 Monate nicht etwas früh als Warnung?
    Wenn ich allerdings das Zertifikat erneuern will über die MMC seh ich zwar die Vorlage aber ausgegraut und als Status nicht verfügbar?

    Habt ihr einen Ansatz woran das liegen kann wo ich suchen soll? Die CA ansich tut ganz normal Ihren Dienst und ver verteilt auch noch Zertifikate

  17. Hallo und vielen Dank für diesen Artikel.

    Wenn ich die automatische Zertifikatanforderung über Gruppenrichtlinien für Computer konfiguriere, kann ausgewählt werden auf Basis welcher Vorlage die Computerzertifikate ausgestellt werden sollen.

    Ist es möglich hier eine zuvor duplizierte und angepasste Vorlage auszuwählen? (Für meine internen Zertifikate wollte ich die Gültigkeit von 1 auf 5 Jahre erhöhen. Die Standardvorlage Computer kann ich über die Konsole nicht anpassen, deshalb die Idee diese zu duplizieren. Nur wie kann ich diese dann in der Gruppenrichtlinie auswählen?)

    Vielen Dank.

  18. Meine Computer registrieren sich nicht automatisch.

    „Solange die Zertifikatvorlage „Computer“ durch die Mitglieder der Gruppe Domänencomputer nicht automatisch registriert werden dürfen, sollte dies nicht möglich sein“, dachte ich mir.

    Daher habe ich mir ebenfalls, wie bei der Vorlage zu „Benutzer“ eine angepasst erstellt und dort das autoenrollment durch die Domänencomputer aktiviert.

    Leider finde ich auch nach einem Neustart des Clients kein ausgestelltes Zertifikat oder fehlgeschlagene Anfrage zum Computerkonto.

    Ich komme nicht weiter.

    @Andreas: Wenn Deine neue Vorlage die abzulösende Vorlage angibt, ist dies kein Problem.

  19. NACHTRAG

    Das setzten des Autoenrollments für die Gruppe Domänencomputer auf der Zertifkatvorlage „Computer-“ hat funktioniert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *