Eigene Stammzertifizierungsstelle (Root-CA) installieren

Um SSL Zertifikate in der eigenen Domäne erstellen zu können benötigt man eine Stammzertifizierungsstelle (Root-CA). In diesem Beitrag wird eine schnelle Installation gezeigt, für produktive Umgebungen sollte man sich jedoch genauer mit dem Thema auseinandersetzen.

Mit Windows 2008 ist das recht einfach möglich, denn dazu muss nur die Rolle Active-Directory-Zertifikatsdienste aktiviert werden. Wie das geht wird in folgenden Schritten beschrieben:

Rolle Active Directory-Zertifikatsdienste installieren

  • Im Server Manager auf Rollen hinzufügen gehen und die Rolle Die Rolle „Active Directory-Zertifikatsdienste“ auswählen
  • Den Rollendienst „Zertifizierungsstellen – Webregistrierung“ mit auswählen. Ggf. werden weitere Dienste/Features installiert
  • Zertifizierungsstellen Setuptyp „Unternehmen“ auswählen
  • Als Zertifizierungsstellentyp „Stammzertifizierungsstelle“ angeben
  • Option „Neuen Privaten Schlüssel erstellen“ anklicken
  • Kryptografie-Dienstanbieter, Schlüsselzeichenlänge sowie den gewünschten Hashalgorithmus auswählen. Wichtig: Option „Administratorinteraktion bei jedem Zertifikatsstellenzugriff auf den privaten Schlüssel zulassen“ mit auswählen
  • Allgemeiner Name, Suffix des definierten Namens der Root CA auswählen
  • Festlegen der Gültigkeitsdauer in Jahren (wann läuft das Zertifikat ab)
  • Zertifikatsdatenbank konfigurieren (Standard belassen)
  • Installation abschließen

Nach erfolgreicher Installation kann der Webdienst unter https://localhost/certsrv/ aufgerufen werden. Außerdem befindet gibt es eine neue Management Konsole unter Startmenü / Verwaltung.

Angelegtes Root Zertifikat exportieren

Damit das Zertifikat später per Gruppenrichtlinie verteilt werden kann, muss es zunächst exportiert werden:

  • Zertifizierungsstellen – Webregistrierung aufrufen (https://localhost/certsrv/)
  • Auf „Download eines Zertifizierungsstellenzertifikats, einer Zertifikatskette oder einer Sperrliste“ klicken
  • Und auf der nächsten Seite auf „Download des Zertifizierungsstellenzertifikats“ klicken
  • Die Zertifikatskette wird nur benötigt wenn man ein nicht selbstsigniertes Zertifikat benutzt

Stammzertifikat (Root CA) verteilen

Damit alle Clients in der Domäne das selbstsignierte Stammzertifikat der Stammzertifizierungsstelle auch annehmen, muss dieses Verteilt werden. Dafür gibt es zwei Möglichkeiten:

Möglichkeit 1: Verteilung des Root-Zertifikates per Gruppenrichtlinie:

Ist natürlich der bequemste Weg, da ich das für alle Clients in einer Domäne mit einem Schritt erledigen kann. Diese Möglichkeit habe ich bereits in einem anderen Beitrag (Selbstsigniertes Zertifikat per Gruppenrichtlinie verteilen) ausführlich beschrieben.

Möglichkeit 2: Manuelle Verteilung des Zertifikates:

Will ich das Zertifikat der Stammzertifizierungsstelle nur auf einen einzigen Rechner importieren dann funktioniert das wie folgt:

  • Start / Ausführen
  • mmc eingeben (Startet die Management Konsole)
  • Datei / „Snapin hinzufügen/entfernen“ auswählen
  • auf der rechten Seite das SnapIn „Zertifikate“ auswählen
  • Option bei Verwalten für: „Computerkonto“ auswählen
  • Computer angeben auf dem das Zertifikat importiert werden soll (je nach dem wo dieser Schritt ausgeführt wird „Lokaler Computer“ bzw. „Anderen Computer“ angeben
  • Im erweiterten Konsolenstamm unter Vertrauenswürdige Stammzertifizierungsstelle/Zertifikate rechtsklick und „Alle Aufgaben“ / „Importieren“ auswählen
  • Das exportierte Zertifikat im Dateisystem auswählen
  • Assistent beenden

Ein Gedanke zu „Eigene Stammzertifizierungsstelle (Root-CA) installieren“

Kommentare sind geschlossen.