|
 Administration and audit of an MS Enterprise CA
| MS - Stand-alone Certificate Authority
|
Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding! |
Autoenrollment |
| |
|
|
|
Bei einer MS Enterprise CA lässt sich das Enrollment (Registrierung) automatisieren, ohne dass ein manueller Eingriff notwendig wird. Durch dieses Autoenrollment verliert die Verteilung von Zertifikaten enorm an Komplexität und bringt erhebliche Zeitersparnis mit. Anhand von Gruppenrichtlinien kann die automatische Anfrage und Ausstellung von Zertifikaten konfiguriert werden. Damit werden die Kosten einer PKI erheblich gesenkt.
Für Windows 2000 Rechner ist ein Autoenrollment nur für Computer und EFS-Zertifikate (Vorlagen nach Version 1) möglich, während XP-Professional im Zusammenspiel mit Server 2003 auch Zertifikate für Benutzer automatisiert "enrollen" und erneuern (Autorenewal). Mit Zertifikaten der Version 2 kann somit ein Benutzer eine Smart Card eigenverantwortlich initialisieren. Zudem lassen sich die Voraussetzungen für die Ausstellung besser definieren.
|
Gruppenrichtlinien |
Unter den lokalen Richtlinien der Sicherheitseinstellung lassen sich mithilfe der "Einstellungen für die automatische Zertifikatanforderung" Rechner für das Autoenrollment konfigurieren. Die bestehenden Einschränkungen sind also: keine Konfiguration von Benutzer-Enrollment und keine Erneuerung von Zertifikaten.
Unter den Gruppenrichtlinien kann mit den "Einstellungen für die automatische Registrierung" auch für Benutzer Autoenrollment und Autorenewal konfiguriert werden. Die Einschränkungen bestehen darin, dass keine Konfiguration von Windows 2000 Rechnern und keine Zertifikate auf Version 1 Vorlagen konfiguriert werden können.
|
Webenrollment |
Server 2003 sieht auch vor ein Zertifikatsenrollment über einen Webbrowser ab IE 5.0 durchzuführen (Webregistrierung), wobei bei Stand-alone CAs dies der primäre Weg ist. Ebenso muss für bestimmte Zertifikate dieser Weg gewählt werden (Smart Card - Zertifikate). Im Webbrowser muss die Adresse http://<servername>/certsrv eingegeben werden wo die gewünschte Aktion ausgewählt werden kann.
Dieser Support für Webenrollment wird mit den Zertifikatsdiensten am Server mitinstalliert, es kann auch eine Webserver verwendet werden. Dafür muss dieser nur in der gleichen Domäne stehen und über Kerberos vertraut werden.
Neben einem Zertifikatsantrag kann auch der Status eines "pending" Antrages abgefragt werden, sowie CA-Zertifikate, Zertifikatsketten und Widerrufslisten geladen werden. Mit einem ActiveX-Control kann das Webenrollment durchgeführt werden.
|
 |
 |
|
ActiveX Control - Webenrollment |
|
Troubleshooting |
Kann das Webenrollment ActiveX-Control auf XP-Professional nicht erfolgreich installiert werden und sind nicht die Sicherheitseinstellungen des Browsers die Ursache, kann auch noch folgender Schritt Abhilfe schaffen.
Ein Webserveradministrator muss die in windowsorder\System32\Certsrv zu findende Datei Certdat.inc editieren. In dieser Datei ist sXEnrollVersion="5,131,3686,0" auf sXEnrollVersion="5,131,3659,0" zu ändern.
|
Linktipps |
|
|
|
Legal notice