Was ist Active Directory-Zertifikatdienste?

Active Directory Certificate Services (AD CS) ist eine Windows Server-Rolle zum Ausstellen und Verwalten von PKI-Zertifikaten (Public Key Infrastructure), die für sichere Kommunikations- und Authentifizierungsprotokolle verwendet werden.

Ausstellen und Verwalten von Zertifikaten

Digitale Zertifikate können für die Verschlüsselung und digitale Signierung von elektronischen Dokumenten und Nachrichten sowie für die Authentifizierung von Computer-, Benutzer- oder Gerätekonten in einem Netzwerk verwendet werden. Digitale Zertifikate werden beispielsweise zu folgenden Zwecken eingesetzt:

  • Vertraulichkeit durch Verschlüsselung.
  • Integrität durch digitale Signaturen.
  • Authentifizierung durch Zuordnung von Zertifikatschlüsseln zu Computer-, Benutzer- oder Gerätekonten in einem Computernetzwerk

Wichtige Features

AD CS bietet die folgenden wichtigen Features:

  • Zertifizierungsstellen: Stammzertifizierungsstellen und untergeordnete Zertifizierungsstellen (CAs) werden verwendet, um Zertifikate für Benutzer, Computer und Dienste auszustellen und um die Gültigkeit von Zertifikaten zu verwalten.

  • Webregistrierung: Die Webregistrierung ermöglicht es Benutzern, mithilfe eines Webbrowsers eine Verbindung mit einer Zertifizierungsstelle herzustellen, um Zertifikate anzufordern und Zertifikatsperrlisten (Certificate Revocation Lists, CRL) abzurufen.

  • Online-Responder: Der Online-Responder-Dienst decodiert Sperrstatusanfragen für bestimmte Zertifikate, wertet den Status dieser Zertifikate aus und sendet eine signierte Antwort mit den angeforderten Zertifikatstatusinformationen zurück.

  • Registrierungsdienst für Netzwerkgeräte: Der Registrierungsdienst für Netzwerkgeräte ermöglicht Routern und anderen Netzwerkgeräten, die nicht über Domänenkonten verfügen, das Abrufen von Zertifikaten.

  • TPM-Schlüsselnachweis: Mit dem TPM-Schlüsselnachweis kann die Zertifizierungsstelle (CA) überprüfen, ob der private Schlüssel durch ein hardwarebasiertes TPM geschützt ist und ob das TPM für die Zertifizierungsstelle vertrauenswürdig ist. Der TPM-Schlüsselnachweis verhindert das Exportieren des Zertifikats auf ein nicht autorisiertes Gerät. Außerdem kann die Identität des Benutzers an das Gerät gebunden werden.

  • Zertifikatregistrierungsrichtlinien-Webdienst: Der Zertifikatregistrierungsrichtlinien-Webdienst ermöglicht Benutzern und Computern das Abrufen von Informationen zu Zertifikatregistrierungsrichtlinien.

  • Zertifikatregistrierungswebdienst: Der Zertifikatregistrierungswebdienst ermöglicht Benutzern und Computern die Durchführung der Zertifikatregistrierung über einen Webdienst. Zusammen mit dem Zertifikatregistrierungsrichtlinien-Webdienst wird dadurch eine richtlinienbasierte Zertifikatregistrierung ermöglicht, wenn der Clientcomputer nicht Mitglied einer Domäne ist oder wenn für ein Domänenmitglied keine Verbindung mit der Domäne besteht.

Vorteile

Sie können AD CS zum Optimieren der Sicherheit verwenden, indem Sie die Identität einer Person, eines Geräts oder Diensts an einen entsprechenden privaten Schlüssel binden. AD CS bietet Ihnen eine kostengünstige, effiziente und sichere Möglichkeit zum Verwalten der Verteilung und der Verwendung von Zertifikaten. Zusätzlich zur Bindung von Identitäten und privaten Schlüsseln enthält AD CS auch Features, mit denen Sie die Registrierung und Sperrung von Zertifikaten verwalten können.

Sie können vorhandene Endpunktidentitätsinformationen in Active Directory verwenden, um Zertifikate zu registrieren, was bedeutet, dass Informationen automatisch in Zertifikate eingefügt werden können. AD CS kann außerdem verwendet werden, um Active Directory-Gruppenrichtlinien zu konfigurieren, um festzulegen, für welche Benutzer und Computer welche Arten von Zertifikaten zulässig sind. Die Gruppenrichtlinienkonfiguration ermöglicht die rollenbasierte oder attributbasierte Zugriffssteuerung.

Zu den Anwendungen, die von AD CS unterstützt werden, zählen S/MIME (Secure/Multipurpose Internet Mail Extensions), sichere Drahtlosnetzwerke, virtuelle private Netzwerke (VPN), IP-Sicherheit (Internet Protocol Security, IPsec), verschlüsselnde Dateisysteme (Encrypting File System, EFS), Smartcard-Anmeldung, Secure Socket Layer/Transport Layer Security (SSL/TLS) und digitale Signaturen.

Nächste Schritte