Sichern von WLANs mit PEAP und Kennwörtern

Kapitel 4: Erstellen der Netzwerkzertifizierungsstelle

Aktualisiert: 18. Jun 2004

Alle Themen der Sicherheitsanleitung anzeigen

Auf dieser Seite
ÜbersichtÜbersicht
Voraussetzungen für dieses KapitelVoraussetzungen für dieses Kapitel
Vorbereiten für die ImplementierungVorbereiten für die Implementierung
Überprüfen der Voraussetzungen für die InstallationÜberprüfen der Voraussetzungen für die Installation
Installieren der ZertifikatdiensteInstallieren der Zertifikatdienste
Konfigurieren der ZertifizierungsstelleKonfigurieren der Zertifizierungsstelle
ZusammenfassungZusammenfassung
QuellenQuellen

Übersicht

In diesem Kapitel werden die Installation und Konfiguration der Microsoft® Windows Server™ 2003 Zertifikatdienste beschrieben. Die Zertifikatdienste sind eine optionale Komponente von Windows Server 2003 und werden nicht standardmäßig installiert.

Eine Installation der Zertifikatdienste wird als Zertifizierungsstelle bezeichnet. Für die Lösung Sichern von WLANs mit PEAP und Kennwörtern ist nur eine Zertifizierungsstelle erforderlich. Diese Zertifizierungsstelle wird verwendet, um Zertifikate für die IAS-Server (Internetauthentifizierungsdienst) auszustellen (diese werden in nachfolgenden Kapiteln dieser Lösung beschrieben).

Das Ziel dieses Kapitels ist die Konfiguration einer sehr einfachen und speziellen Zertifizierungsstelle für Ihre Umgebung. Anders als die meisten Zertifizierungsstellen gibt diese Zertifizierungsstelle nur einen Zertifikattyp aus – Serverzertifikate für die in der Lösung verwendeten IAS-Server. Aus diesem Grund wurde eine Zertifizierungsstelle entworfen, die besonders leicht zu installieren, konfigurieren und verwalten ist. Wenn Ihre Organisation für die Zukunft die Verwendung von Zertifikaten für andere Zwecke plant, z. B. IPSec oder VPN, empfiehlt Microsoft die Verwendung einer stabileren Infrastruktur öffentlicher Schlüssel (PKI = Public Key Infrastructure). Weitere Informationen können Sie den in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung, genannten Planungsmaterialien entnehmen.

Die Informationen in diesem Kapitel beschränken sich auf die Implementierungsanweisungen für die Zertifizierungsstelle. Allgemeine PKI-Konzepte und für die Installation nicht benötigte Implementierungsdetails zu den Microsoft Zertifikatdiensten werden in diesem Kapitel nicht behandelt. Die Verwendung dieser Zertifizierungsstelle zum Ausstellen anderer Zertifikattypen als den hier verwendeten Serverauthentifizierungszertifikaten für IAS wird ebenfalls nicht beschrieben.

Dieses Kapitel setzt voraus, dass Sie in Ihrer Organisation derzeit keine Infrastruktur öffentlicher Schlüssel (PKI) eingerichtet haben. Wenn dies doch der Fall sein sollte, können Sie Zertifikate für die IAS-Server möglicherweise über die PKI ausstellen, anstatt die in diesem Kapitel beschriebene Zertifizierungsstelle zu installieren. Anweisungen hierzu oder zur Installation der Zertifizierungsstelle in einer vorhandenen Infrastruktur öffentlicher Schlüssel gehen jedoch über den Rahmen dieser Lösung hinaus.

Anstatt eine eigene Zertifizierungsstelle zu installieren, können Sie auch Zertifikate von einer kommerziellen Zertifizierungsstelle wie VeriSign oder Thawte verwenden. Eine Beschreibung der Vorteile der Installation einer eigenen Zertifizierungsstelle im Vergleich zum Erwerb von Zertifikaten eines externen Anbieters finden Sie im Abschnitt "Erlangen von Zertifikaten für IAS-Server" in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung. Dieses Kapitel enthält keine Anleitung zum Erwerben und Verwenden von Zertifikaten von einer kommerziellen Zertifizierungsstelle. Am Ende des Kapitels finden Sie jedoch einen Verweis auf ein Microsoft-Dokument, in dem diese Vorgänge beschrieben werden.

Voraussetzungen für dieses Kapitel

Neben den in Kapitel 3, Vorbereiten der Umgebung, genannten Voraussetzungen sollten Sie sich mit den Zertifikatdiensten und den PKI-Konzepten vertraut machen (umfassende Kenntnisse sind jedoch nicht erforderlich).

Vor der Implementierung der Anweisungen in diesem Kapitel müssen Sie die Anleitung in Kapitel 3, Vorbereiten der Umgebung, lesen und implementieren. Zudem sollten Sie die Informationen zum Entwurf und zur Planung in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung, gelesen haben und die Architektur und den Entwurf der Lösung kennen.

Vorbereiten für die Implementierung

Erforderliche Berechtigungen

Zum Durchführen der Verfahren in diesem Kapitel müssen Sie sich mit einem Konto anmelden, das ein Mitglied der folgenden Gruppen ist:

Gruppe Domänen-Admins für die Domäne, in der die Zertifizierungsstelle installiert wird

Gruppe Organisations-Admins der Microsoft Active Directory®-Verzeichnisdienststruktur

Das integrierte Administratorkonto der Gesamtstrukturdomäne (die erste in der Struktur erstellte Domäne) ist standardmäßig ein Mitglied dieser Gruppen, Sie können jedoch jedes andere Konto mit denselben Gruppenmitgliedschaften verwenden.

Hinweis: Wenn Sie die Zertifizierungsstelle nicht in der Gesamtstrukturdomäne installieren und es sich um eine Windows 2000 Active Directory-Gesamtstruktur (oder eine von Windows 2000 Active Directory aktualisierte Gesamtstruktur) handelt, muss das für die Installation verwendete Konto auch ein Mitglied der Gesamtstrukturdomäne sein.

Erforderliche Programme

Die folgenden Programme sind zum Durchführen der Verfahren in diesem Kapitel erforderlich.

Tabelle 4.1: Zum Erstellen und Installieren einer Zertifizierungsstelle erforderliche Programme

ProgrammBeschreibungQuelle

MSS Secure WLAN Tools

Dieser Satz von Skripten und Programmen wird mit dieser Lösung bereitgestellt.

Installationsanweisungen finden Sie in Kapitel 3.

Gruppenrichtlinien-Verwaltungskonsole (GPMC)

Dies ist ein erweitertes Verwaltungsprogramm für den Import und Export von Gruppenrichtlinienobjekten (GPOs).

Installationsanweisungen finden Sie in Kapitel 3.
Kann von Microsoft.com heruntergeladen werden.

CAPICOM

Dies ist eine Systembibliothek, die das Skripting für Zertifikat- und Sicherheitsoperationen ermöglicht.

Installationsanweisungen finden Sie in Kapitel 3.
Kann von Microsoft.com heruntergeladen werden.

DSACLs.exe

Dies ist ein Befehlszeilenprogramm, das das Einstellen von Berechtigungen für Active Directory-Objekte ermöglicht.

Installationsanweisungen finden Sie in Kapitel 3.
Verfügbar auf der Installations-CD für Windows Server 2003.

Active Directory-Benutzer und -Computer

Dies ist ein zur Verwaltung von Active Directory-Benutzern, -Gruppen und -Computern sowie von anderen Active Directory-Objekten verwendetes MMC-Programm.

Wird zusammen mit Windows Server 2003 installiert.

Verwaltungsprogramm "Zertifizierungsstelle"

Dies ist ein zur Verwaltung der Zertifizierungsstelle verwendetes MMC-Programm.

Wird bei der Installation der Zertifikatdienste unter Windows Server 2003 installiert.

Zertifizierungsstellenparameter

Die folgende Tabelle zeigt die zum Installieren und Konfigurieren der Zertifizierungsstelle in dieser Lösung verwendeten Parameter. Diese Parameter werden in der Skriptdatei PKIparams.vbs eingestellt und können bei Bedarf in dieser Datei geändert werden.

Tabelle 4.2: In der Lösung verwendete Einstellungen für die Zertifizierungsstelle

Zertifizierungsstellen-KonfigurationsparameterEinstellung

Laufwerk und Pfad der Zertifikatdienste-Anforderungsdateien

C:\CAConfig

Länge des Zertifizierungsstellenschlüssels

2048 Bit

Gültigkeitsdauer von Zertifizierungsstellenzertifikaten

25 Jahre

Maximale Gültigkeitsdauer der von der Zertifizierungsstelle ausgestellten Zertifikate

2 Jahre

Veröffentlichungsintervall der Zertifikatsperrliste für die Zertifizierungsstelle

7 Tage

Überschneidungszeitraum von Zertifikatsperrlisten (d. h. die Zeit zwischen der Veröffentlichung einer neuen Liste und dem Ablaufen einer alten Liste)

4 Tage

Deltasperrlistenveröffentlichung deaktiviert

0

In der Zertifizierungsstelle verfügbare Zertifikatvorlagen

Computer

Hinweis: Die Gültigkeitsdauer der Zertifizierungsstelle ist auf einen hohen Wert eingestellt, um den Verwaltungsoverhead durch die regelmäßige Erneuerung des Zertifizierungsstellenzertifikats zu vermeiden. Anders als die für Computer und Benutzer ausgestellten Zertifikate können Zertifizierungsstellenzertifikate nicht automatisch erneuert werden. Wenn das Zertifizierungsstellenzertifikat nicht vor seinem Ablauf erneuert wird, schlagen alle von der Zertifizierungsstelle ausgestellten Zertifikate fehl.

Wichtig: Die Einstellungen in der obigen Tabelle wurden bei internen Tests dieser Lösung verwendet und funktionieren nachweislich wie beschrieben. Viele dieser Werte können geändert werden. Überprüfen Sie jedoch vor jeder Änderung den Zweck einer bestimmten Einstellung und die Auswirkungen einer Änderung.

Überprüfen der Voraussetzungen für die Installation

Vor der Installation der Zertifikatdienste auf Ihrem Server müssen Sie sicherstellen, dass die Domäne erreichbar ist und die erforderlichen Programme installiert wurden.

So überprüfen Sie den Server vor der Installation der Zertifizierungsstelle

1.

Melden Sie sich mit einem Konto mit entsprechenden Verwaltungsberechtigungen an dem Server an, auf dem die Zertifizierungsstelle (und die erste Instanz des IAS-Servers) installiert werden soll.

2.

Klicken Sie auf die Verknüpfung MSS WLAN Tools, um eine Befehlsshell zu öffnen, und geben Sie dann an der Eingabeaufforderung Folgendes ein:

MSSsetup CheckCAenvironment

Der Name der Domäne, in der die Zertifizierungsstelle installiert wird, wird im DN-Format (definierter Name) angezeigt, z. B. dc=Treyresearch, dc=net. Dies entspricht dem DNS-Format (Domain Name System), d. h. Treyresearch.net.

3.

Wenn der Domänenname korrekt ist, klicken Sie auf OK. Wenn der Name falsch ist, klicken Sie auf Abbrechen, melden Sie sich an der richtigen Domäne an, und wiederholen Sie die Schritte 1 und 2.

Das Skript überprüft Folgendes:

Der Active Directory-Domänencontroller kann erreicht werden.

CAPICOM ist installiert.

GPMC ist installiert.

DSACLs.exe ist installiert und zugänglich.

Wenn ein Problem erkannt wird, werden Sie durch einen im Skriptkonsolenfenster protokollierten Fehler benachrichtigt. Überprüfen und beheben Sie diesen Fehler, bevor Sie fortfahren.

Installieren der Zertifikatdienste

In diesem Abschnitt wird beschrieben, wie die Zertifikatdienste zum Erstellen einer Zertifizierungsstelle installiert werden. Die Zertifizierungsstelle wird als Stammzertifizierungsstelle des Unternehmens installiert.

Installieren der Softwarekomponenten für die Zertifikatdienste

Die Softwarekomponenten für die Zertifizierungsstelle müssen mit dem mitgelieferten Skript installiert werden. Dieses Skript verwendet zum Erstellen der Zertifizierungsstelle den Manager für die Installation optionaler Windows-Komponenten, der während seiner Ausführung alle erforderlichen Konfigurationsdateien erstellt. Verwenden Sie zum Durchführen der Installation die Windows Server 2003-Installations-CD (oder den Netzwerkpfad zu einer Windows-Installationsquelle).

Vorsicht: Wenn zuvor eine Zertifizierungsstelle installiert war, oder wenn Sie die Zertifizierungsstelle neu installieren möchten, müssen Sie zuerst die vorhandene Installation entfernen. Stellen Sie vor dem Entfernen der Zertifizierungsstelle sicher, dass sie nicht von anderen Anwendungen verwendet wird.

Verwenden Sie Windows-Komponenten hinzufügen/Entfernen des Applets Software in der Systemsteuerung, um die Zertifikatdienste zu entfernen.

So installieren Sie die Zertifikatdienste

1.

Öffnen Sie über die Verknüpfung MSS WLANTools eine Befehlsshell.

2.

Geben Sie an der Eingabeaufforderung Folgendes ein, um die Softwarekomponenten für die Zertifikatdienste zu installieren:

MSSsetup InstallCA, drücken Sie anschließend die EINGABETASTE.

3.

Geben Sie an der Eingabeaufforderung einen Namen für die Zertifizierungsstelle ein.

Verwenden Sie einen beschreibenden, in der Organisation eindeutigen Namen (z. B. "Trey Research Network Zertifizierungsstelle").

4.

Klicken Sie zum Bestätigen des Namens auf OK.

Klicken Sie zum Bearbeiten des Namens auf Nein.

Klicken Sie zum Anhalten der Installation auf Abbrechen.

Das Skript erstellt die Installationsparameterdateien. Danach werden Sie aufgefordert, die Installation fortzusetzen.

5.

Klicken Sie auf OK, um fortzufahren, oder halten Sie die Installation mit Abbrechen an.

Hinweis: Wenn Sie die Installation an diesem Punkt abbrechen, verbleiben die Konfigurationsdatei – CAPolicy.inf – und die Parameterdatei für optionale Komponenten – OC_CertSrv.txt – im Windows-Ordner bzw. im aktuellen Arbeitsordner. Diese Dateien können geändert und in einer benutzerdefinierten Installation verwendet werden, wenn Sie die Standardeinstellungen der Lösung nicht übernehmen möchten.

6.

Klicken Sie in der Bestätigungsmeldung zum Abschluss der Installation auf OK.

Überprüfen der Installation der Zertifizierungsstelle

Sie können den erfolgreichen Abschluss der Installation der Zertifikatdienste anhand des folgenden Verfahrens überprüfen.

So überprüfen Sie die korrekte Installation der Zertifizierungsstelle

1.

Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell.

2.

Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

MSSsetup VerifyCAInstall, drücken Sie anschließend die EINGABETASTE.

Das Zertifizierungsstellenzertifikat erscheint in der Zertifikatanzeige.

3.

Klicken Sie auf die Registerkarte Allgemein des Zertifikats, und stellen Sie sicher, dass die angezeigten Werte mit denen in der folgenden Tabelle übereinstimmen.

Tabelle 4.3 Eigenschaften des Zertifizierungsstellenzertifikats

ZertifikatattributErforderliche Einstellung

Ausgestellt für

Während der Installation eingegebener Name der Zertifizierungsstelle.

Ausgestellt von

Während der Installation eingegebener Name der Zertifizierungsstelle.

Gültig ab... bis...

Hier sollte ein Intervall von 25 Jahren angegeben werden.

4.

Klicken Sie auf die Registerkarte Zertifizierungspfad, und stellen Sie sicher, dass im Feld für den Zertifizierungspfad nur ein Zertifikat angezeigt wird. Als Zertifikatstatus sollte Dieses Zertifikat ist in Ordnung angezeigt werden.

5.

Klicken Sie auf OK, um die Zertifikatanzeige zu schließen.

Sollte einer der obigen Werte nicht wie erwartet sein, wiederholen Sie die Installation der Zertifikatdienste.

Hinweis: Wenn Sie die Installation der Zertifizierungsstelle erneut ausführen müssen, müssen Sie zunächst die installierten Zertifikatdienste wie zuvor beschrieben entfernen.

Konfigurieren der Zertifizierungsstelle

Nach der Installation der Zertifizierungsstelle müssen Sie einige zusätzliche Skripte ausführen, um verbleibende Zertifizierungsstellenparameter zu konfigurieren.

Konfigurieren der Eigenschaften der Zertifizierungsstelle

Durch dieses Verfahren werden mehrere Parameter zur Steuerung des Verhaltens der Zertifizierungsstelle festgelegt. Einige dieser Parameter werden während der Installation der Zertifizierungsstelle definiert, andere müssen danach festgelegt werden. Die Werte dieser Parameter finden Sie im Abschnitt "Zertifizierungsstellenparameter" in diesem Kapitel. Das in diesem Verfahren verwendete Skript konfiguriert die Eigenschaften der Zertifizierungsstelle wie in der folgenden Tabelle dargestellt.

Tabelle 4.4: Konfigurationseigenschaften der Zertifizierungsstelle

CA-EigenschaftBeschreibung der Einstellung

URLs für den Sperrlisten-Verteilungspunkt

Definiert die Speicherorte, von denen eine aktuelle Zertifikatsperrliste abgerufen werden kann. In dieser Lösung wird nur eine LDAP-URL (Lightweight Directory Access Protocol) verwendet. Diese URL enthält den LDAP-Pfad für die in Active Directory veröffentlichte Zertifikatsperrliste.

URLs für den Zugriff auf Stelleninformationen

Gibt den Speicherort an, von dem ein Zertifizierungsstellenzertifikat abgerufen werden kann. Wie beim Sperrlisten-Verteilungspunkt wird nur die auf Active Directory verweisende LDAP-URL verwendet.

Gültigkeitsdauer

Gibt die maximale Gültigkeitsdauer der ausgestellten Zertifikate an (dieser Wert unterscheidet sich von der während der Installation festgelegten Gültigkeitsdauer des Zertifizierungsstellenzertifikats).

CRL-Dauer

Gibt die Häufigkeit der Veröffentlichung der Zertifikatsperrliste an.

CRL-Überlappungszeit

Gibt die Überlappungszeit zwischen der Ausgabe einer neuen Zertifikatsperrliste und dem Ablauf der vorherigen Zertifikatsperrliste an.

Delta-CRL-Dauer

Gibt die Häufigkeit der Veröffentlichung der Deltasperrliste an (in dieser Zertifizierungsstelle sind Deltasperrlisten deaktiviert).

CA-Überwachung

Gibt die Überwachungseinstellungen für die Zertifizierungsstelle an (alle Überwachungsfunktionen sind standardmäßig aktiviert).

Hinweis: Viele dieser Parameter betreffen die Konfiguration der Zertifikatsperrliste der Zertifizierungsstelle. Eine Zertifikatsperrliste ist eine Liste von Zertifikaten, die von der Zertifizierungsstelle ausgestellt, anschließend jedoch vom Administrator gesperrt wurden. Obwohl Sie bei der Verwaltung dieser Lösung wahrscheinlich nie Zertifikate sperren müssen, benötigen viele Anwendungen eine aktuelle Zertifikatsperrliste, aus der sie den Sperrstatus eines Zertifikats entnehmen können (auch wenn die Liste leer ist). Wenn die Anwendung keine Zertifikatsperrliste finden kann, lehnt sie das Zertifikat möglicherweise ab.

So konfigurieren Sie die Eigenschaften der Zertifizierungsstelle

1.

Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell.

2.

Geben Sie an der Eingabeaufforderung Folgendes ein, um die Komponenten der Zertifizierungsstelle zu konfigurieren:

MSSsetup ConfigureCA, drücken Sie anschließend die EINGABETASTE.

Die Skriptausführung wird während der Konfiguration für eine Dauer von 20 Sekunden unterbrochen. Während dieser Zeit wartet das Skript darauf, dass ein Task für die Zertifizierungsstelle abgeschlossen wird. Sie müssen nicht auf die Popupmeldungen zu dieser Verzögerung reagieren.

3.

Klicken Sie auf OK, um die Meldung zu schließen.

Wenn das Skript einen Fehler meldet, überprüfen Sie die Fehlerursache in der Protokolldatei (%systemroot%\debug\MSSWLAN-Setup.log), und führen Sie das Konfigurationsskript nach der Behebung des Problems erneut aus.

Hinweis: Sie können dieses Konfigurationsskript beliebig oft ausführen.

Importieren des Gruppenrichtlinienobjekts für die automatische Zertifikatanforderung

Durch dieses Verfahren wird das Gruppenrichtlinienobjekt für die IAS-Richtlinie zur automatischen Zertifikatregistrierung importiert. Dieses Richtlinienobjekt ist vorkonfiguriert und ermöglicht die automatische Ausstellung von Zertifikaten für IAS-Server in der Domäne. Es verwendet ein als automatische Zertifikatanforderung (ACRS = Automatic Certificate Request Service) bezeichnetes Feature.

ACRS ist nicht zu verwechseln mit dem automatischen Registrierungsfeature in Windows Server 2003 Enterprise Edition, obwohl es ähnlich funktioniert. ACRS bietet beschränktere Funktionen als die automatische Registrierung und wurde erstmals in Windows 2000 eingesetzt. Dieser Dienst ermöglicht nur die Registrierung von Computerzertifikaten (keine Benutzerzertifikate) und arbeitet nur mit Zertifikatvorlagen der Version 1. ACRS eignet sich jedoch für die beschränkte Zertifikatverwendung in dieser Lösung und ermöglicht die Installation der Zertifizierungsstelle auf der (kostengünstigeren) Standard Edition von Windows Server 2003.

Wichtig: Wenn Ihre Active Directory-Gesamtstruktur mehrere Domänen enthält, müssen Sie dieses Verfahren für jede Domäne ausführen, in der Sie einen IAS-Server installieren.

Das im folgenden Verfahren verwendete Skript importiert ein vorkonfiguriertes Gruppenrichtlinienobjekt zur automatischen Registrierung von Zertifikaten. Das Gruppenrichtlinienobjekt legt das vordefinierte Computerzertifikat als zu registrierenden Zertifikattyp fest. Anschließend wendet das Skript Sicherheitsberechtigungen auf das Gruppenrichtlinienobjekt an, so dass nur Mitglieder der Gruppe RAS- und IAS-Server betroffen sind (standardmäßig werden Gruppenrichtlinienobjekte auf alle authentifizierten Benutzer und Computer angewendet).

So installieren Sie das Gruppenrichtlinienobjekt für die automatische Zertifikatanforderung in der Domäne

1.

Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell.

2.

Geben Sie an der Eingabeaufforderung Folgendes ein, um das Gruppenrichtlinienobjekt für die IAS-Richtlinie zur automatischen Zertifikatregistrierung in die Domäne zu importieren:

MSSsetup ImportAutoenrollGPO, drücken Sie anschließend die EINGABETASTE.

Als Nächstes verknüpfen Sie dieses Gruppenrichtlinienobjekt mit der Domäne, so dass die Gruppenrichtlinienobjekteinstellungen auf die IAS-Server angewendet werden. Dieser Schritt wird manuell ausgeführt, damit Sie die Verknüpfung des Gruppenrichtlinienobjekts steuern können. Bei einer automatisierten Ausführung dieses Schrittes besteht das Risiko, dass die vorhandenen Verknüpfungseinstellungen für Gruppenrichtlinienobjekte in der Domäne überschrieben werden.

So wenden Sie das Gruppenrichtlinienobjekt für die automatische Zertifikatanforderung an

1.

Klicken Sie auf Start¸ Alle Programme und Verwaltung, und wählen Sie dann Gruppenrichtlinienverwaltung, um die GPMC zu starten.

2.

Wechseln Sie im linken Bereich der GPMC zum Domänenobjekt für Ihre Domäne.

Das Domänenobjekt befindet sich unter dem Container Domänen auf der obersten Ebene und ist entsprechend dem DNS-Namen Ihrer Domäne benannt.

3.

Klicken Sie mit der rechten Maustaste auf das Domänenobjekt, und wählen Sie Link an Existing GPO....

4.

Wählen Sie in der Liste der Gruppenrichtlinien IAS Certificate AutoEnrollment Policy aus.

5.

Klicken Sie auf OK, um zum Hauptfenster der GPMC zurückzukehren.

6.

Klicken Sie im rechten Fensterbereich auf die Registerkarte Verknüpfte Gruppenrichtlinienobjekte, und wählen Sie das Gruppenrichtlinienobjekt IAS Certificate AutoEnrollment Policy aus.

7.

Schließen Sie die GPMC.

Die Einstellungen für die automatische Zertifikatanforderung werden erst dann auf die Server angewendet, nachdem diese als Mitglieder der Gruppe RAS- und IAS-Server hinzugefügt wurden. Dies wird in einem Verfahren im nächsten Kapitel behandelt.

Wichtig: Wenn Ihre Domäne im gemischten Modus betrieben wird und Sie IAS auf Mitgliedsservern installieren (nicht auf Domänencontrollern), ist die lokale Gruppe RAS- und IAS-Server auf den Mitgliedsservern nicht sichtbar. Dadurch wird verhindert, dass das ACRS-Gruppenrichtlinienobjekt auf diese Server angewendet wird, und folglich wird die Zertifikatregistrierung für diese Server angehalten. Sie können dies vermeiden, indem Sie eine globale Domänengruppe erstellen, dieser Gruppe die IAS-Mitgliedsserverkonten hinzufügen und diese Gruppe dann der Gruppenrichtlinienobjekt-Zugriffssteuerungsliste hinzufügen, die die Berechtigungen Übernehmen und Lesen gewährt.

Überprüfen der Konfiguration der Zertifizierungsstelle

Mit dem folgenden Verfahren können Sie überprüfen, ob Sie die Zertifizierungsstelle korrekt konfiguriert haben. Das Skript überprüft Folgendes:

Für die Zertifizierungsstelle ist die korrekte Gültigkeitsdauer (für ausgestellte Zertifikate) eingestellt.

Das Veröffentlichungsintervall für die Zertifikatsperrliste ist korrekt.

Der Zertifizierungsstelle ist die Computerzertifikatvorlage zugewiesen.

Das Gruppenrichtlinienobjekt für die automatische Zertifikatanforderung (automatische Registrierung) wurde erfolgreich in die Domäne importiert.

Diese Werte werden mit den in der Datei PKIParams.vbs gespeicherten Einstellungen verglichen. Das Skript überprüft keine absoluten Werte, sondern nur, ob die Einstellungen in der Zertifizierungsstelle korrekt konfiguriert wurden.

So überprüfen Sie die Konfiguration der Zertifizierungsstelle

1.

Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell.

2.

Geben Sie an der Eingabeaufforderung Folgendes ein, um die Komponenten der Zertifizierungsstelle zu konfigurieren:

MSSsetup VerifyCAConfig, drücken Sie anschließend die EINGABETASTE.

Wenn die Skriptausgabe Fehler enthält, sollten Sie die Schritte in diesem Kapitel zurückverfolgen und die angegebenen Probleme beheben.

Zusammenfassung

In diesem Kapitel wurden Sie durch den Installationsprozess für eine spezielle Zertifizierungsstelle zur Ausstellung von Serverzertifikaten für IAS-Server geführt. Die verwendete Zertifizierungsstellenkonfiguration ist für einen extrem niedrigen Verwaltungsaufwand konzipiert und erfordert somit zukünftig nur minimale Aufmerksamkeit. Informationen zu den u. U. erforderlichen Betriebs- und Unterstützungsaufgaben finden Sie in Kapitel 8, Verwalten der sicheren WLAN-Lösung.

Sie können jetzt die IAS-Server installieren. Dieser Schritt wird in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur, behandelt.

Quellen

In diesem Abschnitt finden Sie Verweise auf wichtige ergänzende Informationen oder Hintergrundmaterial zum Inhalt dieses Kapitels.

Eine Einführung in die PKI-Konzepte und die Features der Windows 2000-Zertifikatdienste finden Sie in "An Introduction to the Windows 2000 Public-Key Infrastructure" (auf Englisch) unter folgendem URL:

http://www.microsoft.com/windowsxp/pro/techinfo/planning/
pkiwinxp/default.asp

Eine Anleitung zum Abrufen und Verwenden von Zertifikaten von einer kommerziellen Zertifizierungsstelle finden Sie im Artikel "Obtaining and Installing a VeriSign WLAN Server Certificate for PEAP-MS-CHAP v2 Wireless Authentication" (auf Englisch) unter folgendem URL:

http://download.microsoft.com/download/9/f/d/
9fd73f17-2fdf-4409-b2d2-31437c7f29f3/WLANCertEnroll.doc


**
**

Laden Sie die vollständige Lösung herunter.

Sichern von WLANs mit PEAP und Kennwörtern