Zertifizierungsstellen-Webregistrierung installieren

In diesem Beitrag werde ich zeigen, wie man ein Zertifizierungsstellen-Webregistrierung installiert. Damit hat man die Möglichkeit über einen Browser, eine Zertifikatsanfrage zu stellen, ohne auf den Server zugreifen zu müssen. Damit wird man flexibler und dies ist rein optional. Es gibt nur eine Voraussetzung, es muss auf einem Server, nicht zwingender der Domain Controller, es ist sogar empfohlen dies nicht zu mach auf dem die Zertifizierungsstelle zu installieren. Eine Zertifizierungsstelle werde ich nicht mehr darauf eingehen, dies habe ich in einem anderen Beitrag gemacht, siehe Zertifikatsstelle installieren.


Inhaltsverzeichnis

  1. Installation
  2. Konfigurieren
  3. Überprüfen
  4. Browser Verschlüsselung
  5. Passwort Anfrage unterbinden

Installation

Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen.

Wir werden “Rollenbasierte oder featurebasierte Installation” wählen, dies ist zu meist die Standardwahl, ausgenommen wir möchten einen Terminalserver installieren.

An diesem Punkt, werden wir vom Server-Pool installieren. Man könnte über den Server-Manager andere Windows Server einbinden und danach Rollen und Features so auf einem anderen Server installieren bzw. konfigurieren, dies ist ehrlich gesagt nicht schlecht, so hat man den Überblick über seine Server Landschaft, auf nur einem Server, dies ist für mich ein Managementserver.

Wie wir sehen ist die Rolle “Active-Directory-Zertifikatsdienst” aktivieren, installiert und konfiguriert. Nun können wir weitere Rollen “Active-Directory-Zertifikatsdienst” installieren. Wir werden die Rolle “Zertifizierungsstelle-Webregistrierung” wählen, damit wir später im Browser eine Zertifikatsanfrage in Auftrag geben können.

Es erscheint nun ein Pop-up, da man gewisse Feature benötigt werden, Microsoft gibt uns gleich die richtigen Feature mit und werden diese hinzufügen.

Nun sind wir bereit die Rolle zum Hinzufügen und die Checkbox werden nun weitergehen.

Wir benötigen keine Features, die wurden passend durch das Hinzufügen der Rolle aktiviert.

Wir werden nun die Rolle installieren, es wird kein Neustart benötigt.

WEB CA 8.png

Konfigurieren

Wir müssen die Zertifizierungsstellen-Webregistrierung noch konfigurieren, es funktioniert über den Server-Manager, es wird ein oranges Rufzeichen erscheinen im Manager oder direkt aus dem Installation-Wizard. Ich werde es euch zeigen über den Installation-Wizard.

Es muss sichergestellt werden, das genügend Rechte, vorhanden sind, man benötigt einen Benutzer mit mindestens dem Recht Organisations-Administrator. Es empfehlt sich den Benutzer Domain-Administrator oder einen eigene erstellten Domain-Admin zu benutzen. Zu beachten ist, dass ein lokaler Administrator keine solchen Schreibrechte besitzt.

Wir müssen nun die Rolle “Zertifizierungsstellen-Webregistrierung” auf dem Server aktivieren.

Bevor die Konfiguration beginnt, wird noch mal angezeigt, was angepasst wird.

Wir haben nun die Konfiguration erfolgreich abgeschlossen und schließen den Wizard.

Ebenso haben wir hiermit die Installation ebenso abgeschlossen.


Überprüfen

Wir können nun die zuständige Website überprüfen, am besten Mal auf dem Server. Da ist der Zugriff zB über “http://localhost/cersrv” erreichbar. Aber im Grunde kann man den Server, am Anfang über das http Protokoll erreichen, das es ein unsicheres Protokoll ist absolut nicht zu empfehlen.

Damit man den Zertifizierungsstelle-Webregistrierung erreicht ist der Pfad “certsrv” am Ende einzutragen, dies ist egal, ob Sie es über localhost, DNS oder IP-Adresse, den Server anwählen, ebenso von intern, wie extern.

http://localhost/cersrv

Sollte man extern die Zertifizierungsstelle-Webregistrierung anwählen und nicht als Administrator angemeldet sein, wird man immer nach einem Benutzernamen und Kennwort gefragt.

Nach dem Einloggen kann man wieder ganz normal seine Arbeit verrichten.


Browser Verschlüsselung

Ich möchte euch noch zeigen wie ihr von “http” auf “https”, die Zertifizierungsstelle-Webregistrierung umstellt. Das ist nicht mal so unwichtig. Da immer mehr Browser Hersteller, das “http” Protokoll sperren werden, in naher Zukunft. Aus der Sicht der Sicherheit, ist es ebenfalls wichtig, beim “http” Protokoll kann jeder, wenn er will, mit lesen kann.

Wir öffnen den Server-Manger, rechts, gibt es den Punkt “Tools” und darin gibt es den Menüpunkt “Internet Information Services (IIS) Manager”. Wir können den “Internet Information Services (IIS) Manager” auch im Startmenü in Windows-Verwaltungsprogramme finden.

Bei der “Default Web Site” machen wir einen rechts Klick und wir benötigen den Menüpunkt “Bindungen bearbeiten”.

Nun sehen wir, über welches Protokoll, die Seite wir erreichen können. Da wir das Protokoll “https” möchten, müssen wir es hinzufügen.

Beim Auswahlmenü wählen wir “https” aus, wir müssen noch das Zertifikat wählen.

Da ich es in der Testumgebung auf einem Domain Controller installiert habe. Werde ich natürlich dieses Zertifikat benutzen. Bei diesem Zertifikat sieht man sofort, wie der DNS Name lautet und ist auch darüber erreichbar, ohne Zertifikatswarnung.

Wenn Sie z. B. localhost benutzen, wird ein Zertifikatsfehler auftreten und Sie können unter Umständen die Seite nicht erreichen.

Nach dem Anpassen, braucht man keinen Neustart des Webserver, dies wird vom Server sofort umgesetzt.

Wie wir sehen funktioniert die Seite nun und es gibt kein Zertifikatsfehler, mit diesem DNS-Eintrag wird man immer nach dem Passwort gefragt, dass finde ich gut, sonst könnte jeder eine Anfrage erstellen und vielleicht mit nicht so positiven Absichten, Ihnen Schaden zufügen.

https://FQDN-des-Servers/certsrv

Nach dem Testen sollten wir nun die Erreichbarkeit anpassen und das Protokoll “http” entfernen.

Es empfiehlt sich, denn Service “” Neu zu starten, am besten mit PowerShell. Da es sich sonst, wenn Sie den Server nicht Neustart, zu Problemen kommen kann.

iisreset /noforce

Passwort Anfrage unterbinden

Sie können die Passwortabfrage unterbinden, empfiehlt sich aber nicht, aus Sicherheitsgründen.

Wir öffnen die “Internet Optionen”, gehen auf den Reiter “Sicherheit” und wählen den Button “Seiten”.

Wir gehen auf “Erweitert”.

Sie fügen den FQDN im Textfeld ein und fügen die Seite hinzu. Somit wird nicht mehr nach dem Passwort gefragt.

Schreibe einen Kommentar

%d Bloggern gefällt das: