Nach der Installation des Zertifikatservers ist der Zugriff auf sein Webinterface nur per http, also unverschlüsselt, möglich. Um einen verschlüsselten Remote-Zugriff (per https) zu ermöglichen, sollten Sie folgende Schritte ausführen:
- das Protokoll https für das Webinterface aktivieren
- ein Webserver-Zertifikat für den Zugriff auf den Zertifikatserver generieren
- das Webserver-Zertifikat dem Protokoll https zuweisen
- das Stammzertifikat vom Zertifikatserver exportieren und auf denjenigen Rechnern importieren, von denen aus Sie Zertifikate anfordern wollen.
https aktivieren
- Öffnen Sie auf dem Zertifikatserver den Internet Information Services (IIS) Manager, und wählen Sie dort Bindings.
IIS Manager auf dem Zertifikatserver: Bindings wählen
- Wählen Sie Add, um den Protokolltyp https hinzuzufügen.
IIS Manager auf dem Zertifikatserver: Add wählen
- Wählen Sie https als Typ aus, und geben Sie die (lokale) IP-Adresse des Zertifikatservers an. Da die Zertifizierungsstelle noch kein Webserver-Zertifikat generiert hat, wählen Sie vorerst das vom Rolleninstaller generierte Zertifikat der Zertifizierungsstelle aus (hier: Our Company-CA). Bestätigen Sie mit OK und Close.
IIS Manager auf dem Zertifikatserver: https aktivieren
- Starten Sie den IIS Admin Service neu.
Webserver-Zertifikat generieren
- Öffnen Sie auf dem Zertifikatserver das Webinterface mit dem Internet Explorer per https und mit Hilfe der lokalen IP-Adresse, z.B. mit:
https://192.168.143.48/certsrv/
- Ignorieren Sie vorerst den (rot hinterlegten) Zertifikatsfehler in der Adresszeile. Wählen Sie Request a certificate.
Webinterface auf dem Zertifikatserver öffnen und Request a certificate wählen
- Wählen Sie anschließend Web Browser Certificate, und bestätigen Sie ggf. die Sicherheitsabfrage mit Yes.
Webinterface auf dem Zertifikatserver: Web Browser Certificate wählen
- Um das Formular für die Anforderung des Zertifikats ausfüllen zu können, wählen Sie More Options und anschließend use the Advanced Certificate Request form. Es erscheint das vollständige Formular.
Webinterface auf dem Zertifikatserver: alle Formularoptionen wählen
- Geben Sie einen Namen für das Zertifikat ein. Dieser muss entweder dem FQDN, dem Hostnamen oder der IP-Adresse des Zertifikatservers entsprechen. Funktioniert die Namensauflösung im Netzwerk, dann ist der FQDN zu empfehlen, andernfalls die IP-Adresse.
- Wählen Sie hier des Weiteren folgende Optionen:
- Server Authentication Certificate
- einen Cryptographic Service Provider (CSP), der die Auswahl des Hash-Algorithmus’ SHA256 ermöglicht
- eine Schlüsselgröße ab 2048
- Mark key as exportable
- den Hash-Algorithmus SHA256 oder höher
- Bestätigen Sie mit Submit.
Webinterface auf dem Zertifikatserver: Zertifikat per Formular anfordern
Die Zertifikatsanforderung wird bestätigt.
Webinterface auf dem Zertifikatserver: Bestätigung der Zertifikatsanforderung
- Öffnen Sie nun die Konsole der Zertifizierungsstelle auf dem Zertifikatserver (Control Panel→ Administrative Tools→ Certification Authority), markieren das angeforderte Zertifikat in Pending Request und stellen es mit Issue aus.
Konsole des Zertifikatservers: Zertifikat ausstellen
- Öffnen Sie auf dem Zertifikatserver erneut das Webinterface, beispielsweise mit:
https://192.168.143.48/certsrv/
- Wählen Sie View the status of a pending certificate request.
Webinterface auf dem Zertifikatserver: ausgestellte Zertifikate anzeigen
- Wählen Sie das soeben angeforderte Zertifikat – in der Regel das letzte, und bestätigen Sie ggf. die Sicherheitsabfrage wieder mit Yes.
Webinterface auf dem Zertifikatserver: ausgestellte Zertifikate
- Wählen Install this certificate.
Webinterface auf dem Zertifikatserver: Zertifikat lokal installieren
- Das Webserver-Zertifikat wird automatisch im lokalen Zertifikatspeicher des Nutzers installiert. Benötigt wird es allerdings im Zertifikatspeicher des Computers. Um es dort zu installieren, müssen Sie es erst exportieren und anschließend wieder importieren.
Webinterface auf dem Zertifikatserver: Zertifikat lokal installiert
Zertifikatspeicher des Nutzers in der MMC des Zertifikatservers: Webserver-Zertifikat exportieren
Zertifikatspeicher des Computers: Webserver-Zertifikat importieren
- Beachten Sie beim Export, dass Sie den privaten Schlüssel ebenfalls exportieren, die Standardeinstellungen für das Export-Format beibehalten und ein Passwort vergeben, das Sie sich merken müssen.
Webserver-Zertifikat exportieren inkl. privaten Schlüssel
Webserver-Zertifikat exportieren: Dateiformat inkl. Eigenschaften
Webserver-Zertifikat exportieren: Passwort für den Schlüssel festlegen
- Beim Import geben Sie das Passwort wieder ein, lassen die Option Include all extended properties aktiviert, und wählen Personal als Zertifikatspeicher.
Webserver-Zertifikat importieren: Passwort für den Schlüssel eingeben
Import-Ziel: Zertifikatspeicher Local Computer→ Personal
Webserver-Zertifikat dem Protokoll https zuweisen
- Nun können Sie das Webserver-Zertifikat dem https-Protokoll des Webservers zuweisen. Öffnen Sie hierzu wieder den Internet Information Services (IIS) Manager des Zertifikatservers, und wählen Sie dort Bindings.
- Wählen Sie das neue Webserver-Zertifikat als SSL certificate. Bestätigen Sie wieder mit OK und Close.
IIS Manager auf dem Zertifikatserver: https aktivieren
- Starten Sie den IIS Admin Service neu.
Stammzertifikat verteilen
- Exportieren Sie das Stammzertifikat der Zertifizierungsstelle aus der MMC des Zertifikat-Servers. Das Standard-Dateiformat können Sie hier beibehalten.
Stammzertifikat aus der MMC des Zertifikat-Servers exportieren
Stammzertifikat exportieren: Standardeinstellungen für das Export-Format beibehalten
- Importieren Sie das Stammzertifikat auf denjenigen Rechnern, von denen aus Sie Zertifikate beim Zertifikat-Server anfordern wollen, ohne hierbei im Internet Explorer einen Zertifikatsfehler zu erhalten.