Installation eines Certificate Enrollment Policy Web Service (CEP)

Nachfolgend wird beschrieben, wie der Certificate Enrollment Policy Web Service (CEP) installiert werden kann.

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Die nachfolgende Anleitung installiert die Rolle zunächst mit den Standardeinstellungen. Eine Anpassung erfolgt im jeweiligen Verlauf der Anleitung.

Benötigte Berechtigungen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Für die Installation der Rolle ist es erforderlich, dass der installierende Benutzer Mitglied der Gruppe "Enterprise Administrators ist". Die Berechtigung kann leider nicht delegiert werden. Aus diesem Grund sollte eine besondere Vorsicht bei der Verwendung des Benutzerkontos erfolgen, um Identitätsdiebtahl zu verhindern.

Von CEP unterstütze Authentifizierungs-Methoden

Folgende Kombinationen aus Authentifizierungsmethoden sind möglich. Diese können alle zusammen auf dem gleichen Server installiert werden.

  • Kerberos-Authentifizierung
  • Benutzername/Passwort Authentifizierung
  • Benutzername/Passwort Authentifizierung mit Unterstützung für Key-based Renewal
  • Zertifikatbasierte Authentifizierung
  • Zertifikatbasierte Authentifizierung mit Unterstützung für Key-based Renewal

Rollendateien und Abhängigkeiten installieren

Zunächst wird die Webserver-Rolle installiert. Dieser Schritt ist nicht unbedingt nötig, da er als Abhängigkeit ohnehin erfolgt. Jedoch kann so sichergestellt werden, dass die anschließend benötigten IIS Managementwerkzeuge installiert sind. Sollte auf dem Zielserver noch kein Internet Information Service (IIS) Web Server installiert sein, kann dieser mit folgendem Befehl mit den Standardeinstellungen und Managementwerkzeugen installiert werden.

Install-WindowsFeature -Name Web-Server -IncludeManagementTools

Anschließend können die Binärdateien für den CEP installiert werden.

Install-WindowsFeature -Name ADCS-Enroll-Web-Pol

SSL-Zertifikat beantragen

Da der Certificate Enrollment Web Policy Service über HTTPS arbeitet, ist ein SSL-Zertifikat erforderlich. Wie eine Zertifikatvorlage für ein solches Zertifikat konfiguriert werden kann, ist im Artikel "Konfigurieren einer Secure Socket Layer (SSL) Zertifikatvorlage für Web Server" beschrieben.

Die Identität innerhalb des SSL-Zertifikats muss entweder dem vollqualifizierten Servernamen entsprechen, oder dem Alias, sollte der CEP mit einem solchen betrieben werden.

SSL-Zertifikat identifizieren

Bei der Installation der CEP-Rolle muss das soeben beantragte SSL-Zertifikat angegeben werden. Es kann zunächst mit folgendem Powershell-Befehl identifiziert werden.

Get-ChildItem -Path Cert:\LocalMachine\My

Sollten mehrere Zertifikate zur Auswahl stehen, kann es helfen, den Fingerabdruck (Thumprint) des Zertifikats über den Zertifikat-Dialog, beispielsweise über die Zertifikate-Managementkonsole für das Computerkonto (certlm.msc) zu identifizieren.

Anschließend wird das identifizierte Zertifikat in einer Variable (hier: $sslcert) zwischengespeichert.

$sslcert = dir Cert:\LocalMachine\My\{Thumbprint-des-Zertifikats}

Nun kann diese Variable zur Installation der einzelnen CEP-Rollen verwendet werden.

Installation der CEP-Rollen: Kerberos-Authentifizierung

Zur Installation dieser Rolle kann folgender Powershell-Befehl verwendet werden:

Install-AdcsEnrollmentPolicyWebService -AuthenticationType Kerberos -SSLCertThumbprint $sslcert.Thumbprint -Force

Installation der CEP-Rollen: Benutzername/Passwort Authentifizierung

Zur Installation dieser Rolle kann folgender Powershell-Befehl verwendet werden:

Install-AdcsEnrollmentPolicyWebService -AuthenticationType Username -SSLCertThumbprint $sslcert.Thumbprint -Force

Installation der CEP-Rollen: Benutzername/Passwort Authentifizierung mit Unterstützung für Key-based Renewal

Zur Installation dieser Rolle kann folgender Powershell-Befehl verwendet werden:

Install-AdcsEnrollmentPolicyWebService -AuthenticationType Username -KeyBasedRenewal -SSLCertThumbprint $sslcert.Thumbprint -Force

Installation der CEP-Rollen: Zertifikatbasierte Authentifizierung

Zur Installation dieser Rolle kann folgender Powershell-Befehl verwendet werden:

Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate -SSLCertThumbprint $sslcert.Thumbprint -Force

Installation der CEP-Rollen: Zertifikatbasierte Authentifizierung mit Unterstützung für Key-based Renewal

Zur Installation dieser Rolle kann folgender Powershell-Befehl verwendet werden:

Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate -KeyBasedRenewal -SSLCertThumbprint $sslcert.Thumbprint -Force

Abschluss und Nacharbeiten

Die einzelnen CEP-Rollen sollten nun im Internet Information Services (IIS) Manager innerhalb der Default Web Site auftauchen.

Anschließend sind unter Umständen noch einige Nacharbeiten zu erledigen:

  • Alias konfigurieren
  • Identität des IIS-Anwendungspools anpassen
  • Installation eines Zertifikatbeantragungs-Webdienstes (Certificate Enrollment Web Service CES)
  • Konfiguration einer Zertifikatbeantragungs-Richtlinie (Enrollment Policy)

Alias konfigurieren

Sofern ein Alias für den CEP verwendet wird, muss dieser nun noch konfiguriert werden. Wie dies gemacht wird, ist im Artikel "Den Certificate Enrollment Policy Web Service (CEP) für die Verwendung mit einem Alias konfigurieren" beschrieben.

Identität des IIS-Anwendungspools anpassen

Die obigen Kommandos installieren die CEP-Rolle unter Verwendung der Identität des IIS Anwendungspools.

Sollte dies nicht gewünscht sein, muss die Identität des IIS Anwensungspools nun noch geändert werden. Wie dies gemacht wird, ist in den folgenden beiden Artikeln beschrieben:

Installation eines Zertifikatbeantragungs-Webdienstes (Certificate Enrollment Web Service CES)

Ein CEP kann nur sinnvoll verwendet werden, wenn es einen dazugehörigen Zertifikatbeantragungs-Webdienst (CES) gibt, an welchen Zertifikatanforderungen gesendet werden können. Die Installation eines CES ist im Artikel "Installation eines Certificate Enrollment Web Service (CES)" beschrieben.

Funktionstest durchführen

Bevor der CEP in Betrieb genommen werden kann, sollte ein Funktionstest erfolgen. Die Vorgehensweise ist im Artikel "Funktionstest durchführen für den Certificate Enrollment Policy Web Service (CEP)" beschrieben.

Konfiguration einer Zertifikatbeantragungs-Richtlinie (Enrollment Policy)

Um die Zertifikatbeantragungs-Webdienste benutzen zu können, muss für die Teilnehmer eine Zertifikatbeantragungs-Richtlinie (Enrollment Policy) definiert werden. Die Vorgehensweise ist im Artikel "Konfiguration einer Zertifikatbeantragungs-Richtlinie (Enrollment Policy) für die Zertifikatbeantragungs-Webdienste (CEP, CES)" beschrieben.

Weiterführende Links:

de_DEDeutsch