Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren

In der Standardkonfiguration nimmt die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment CAWE) nur unverschlüsselte Verbindungen via HTTP an. Es ist angeraten, dass die CAWE für HTTP über TLS (HTTPS) konfiguriert wird, um Mitschnitte des Netzwerkverkehrs zu erschweren. Nachfolgend eine Anleitung.

Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.

Beantragen eines SSL Zertifikats

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Zunächst muss für den CAWE Server ein Web Server Zertifikat beantragt werden.

Binden des Zertifikats auf den CAWE-Server

Nachdem ein SSL-Zertifikat für den CAWE-Server beantragt wurde, muss dieses nun noch auf den Web Server gebunden werden. Hierzu wird der Internet Information Services (IIS) Manager über die Verwaltungswerkzeuge aufgerufen.

Die CAWE ist in der Default Web Site des Web Servers installiert. Entsprechend müssen hier die Bindungen bearbeitet werden.

Sofern noch keine SSL-Bindung vorhanden ist, muss eine neue erstellt werden.

Die Default Web Site sollte alle nicht anderweitig definierten Anfragen beantworten, daher kann die Standardeinstellung bezüglich IP-Adressen und Hostnamen beibehalten werden. Lediglich das SSL-Zertifikat muss ausgewählt werden.

Erzwingen der SSL-Nutzung

Nun unterstützt der Web Server Anfragen per HTTPS, für die CAWE werden diese jedoch nicht erzwungen, d.h. es können weiterhin Anfragen per HTTP eingereicht werden. Möchte man SSL spezifisch für die CAWE erzwingen, geht man hierzu auf die Default Web Site und klickt auf der linken Seite den Ordner "CertSrv" an.

Nach Doppelklick auf den Ordner wählt man die "SSL Settings".

Hier aktiviert man das Kontrollkästchen "Require SSL".

Anschließend muss auf der rechten Seite noch auf "Apply" geklickt werden.

Die CAWE sollte nun die Annahme von Verbindungen über HTTP ohne TLS verweigern.

Weiterführende Links:

de_DEDeutsch