Nachfolgend wird beschrieben, wie die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert werden kann.
Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.
Die nachfolgende Anleitung installiert die Rolle zunächst mit den Standardeinstellungen. Eine Anpassung erfolgt im jeweiligen Verlauf der Anleitung.
Es wird empfohlen, die Webregistrierung auf einem dedizierten Server zu installieren.
Einrichten der Sicherheitsberechtigungen und Firewallfreigaben
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
- Die Einrichtung der erforderlichen Windows-Sicherheitsberechtigungen ist im Artikel "Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)" beschrieben.
- Die Einrichtung der erforderlichen Firewallfreigaben ist im Artikel "Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung (CAWE)" beschrieben.
Rollendateien und Abhängigkeiten installieren
Dieser Schritt ist nicht unbedingt nötig, da er als Abhängigkeit ohnehin erfolgt. Sollte auf dem Zielserver noch kein Internet Information Service (IIS) Web Server installiert sein, kann dieser mit folgendem Befehl mit den Standardeinstellungen und Managementwerkzeugen installiert werden.
Install-WindowsFeature Web-Server -IncludeManagementTools
Anschließend können die Binärdateien für die CAWE installiert werden.
Install-WindowsFeature ADCS-Web-Enrollment
Einrichtung der CAWE Rolle
Zur Einrichtung der CAWE Rolle wird folgender PowerShell Befehl verwendet:
Install-AdcsWebEnrollment -CAConfig "{ConfigSring}" -Force
Die Platzhalter bedeuten dabei folgendes:
- Der Platzhalter {ConfigString} bezeichnet den Konfigurationsstring für die Zertifizierungsstelle im Format "Vollqualifizierter-Hostname\Common-Name-der-CA", beispielsweise "CA03.intra.adcslabor.de\ADCS Labor Issuing CA 2"
Ein erster Test durch Aufruf der CAWE kann nun über die folgende Adresse erfolgen:
http://{Servername-CAWE}/certsrv
Zu diesem Zeitpunkt sind noch keine Delegierungseinstellungen erfolgt, und es ist noch kein SSL-Zertifikat verfügbar. Dies bedeutet, dass die Anmeldedaten im Klartext übertragen werden, und dass noch keine Zertifikate beantragt werden können. Beides wird im weiteren Verlauf der Anleitung konfiguriert.
Einrichten von Secure Sockets Layer für die CAWE
Auch wenn die CAWE ohne Secure Sockets Layer (SSL) funktioniert, wird empfohlen, ein Zertifikat zu beantragen und Verbindungen nur noch per SSL zuzulassen. Wie eine Zertifikatvorlage für ein solches Zertifikat konfiguriert werden kann, ist im Artikel "Konfigurieren einer Secure Socket Layer (SSL) Zertifikatvorlage für Web Server" beschrieben.
Die Aktivierung von SSL für die CAWE ist im Artikel "Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren" beschrieben.
Die Identität innerhalb des SSL-Zertifikats muss entweder dem vollqualifizierten Servernamen entsprechen, oder dem Alias, sollte die CAWE mit einem solchen betrieben werden.
Konfigurieren des Dienstkontos für die CAWE
Die Konfiguration der Dienstkonten für die CAWE ist in den folgenden Artikeln beschrieben:
- Konfigurieren der CAWE für den Betrieb mit einem Group Managed Service Account (gMSA, empfohlene Variante)
- Konfigurieren der CAWE für den Betrieb mit einem Domänenkonto (nicht empfohlen)
Weiterführende Links:
- Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung
- Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren
- Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren
- Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren
Externe Quellen
- Install-AdcsWebEnrollment (Microsoft)
- Certification Authority Web Enrollment Guidance (Microsoft)
- How to configure the Windows Server 2008 CA Web Enrollment Proxy (Microsoft, archive.org)
Deutsch 
English
5 Gedanken zu „Installieren der Zertifizierungsstellen-Webregistrierung (CAWE)“
Kommentare sind geschlossen.