Mit Unternehmenszertifizierungsstellen (Certification Authorities, CAs) können Zertifikate für bestimmte Zwecke ausgestellt werden, z. B. digitale Signaturen, sichere E-Mail mit S/MIME (Secure Multipurpose Internet Mail Extensions), Authentifizierung bei einem sicheren Webserver mit SSL (Secure Sockets Layer) oder TLS (Transport Layer Security) und Anmelden bei einer Domäne mit einer Smartcard.
Eine Unternehmenszertifizierungsstelle hat folgende Merkmale:
-
Erfordert den Zugriff auf Active Directory-Domänendienste (Active Directory Domain Services, AD DS).
-
Verwendet die Gruppenrichtlinie, um ihr Zertifikat an den Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen aller Benutzer und Computer in der Domäne zu übermitteln.
-
Veröffentlicht Benutzerzertifikate und Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) in AD DS. Damit Zertifikate in AD DS veröffentlicht werden können, muss der Server, auf dem die Zertifizierungsstelle installiert ist, ein Mitglied der Gruppe Zertifikatherausgeber sein. Dies gilt automatisch für die Domäne, in der sich der Server befindet. Der Server muss jedoch die entsprechenden Sicherheitsberechtigungen erhalten, um Zertifikate in anderen Domänen veröffentlichen zu können.
 | Hinweis |
|
Sie müssen ein Mitglied der Gruppe Domänen-Admins oder ein Administrator mit Schreibzugriff auf AD DS sein, um eine Stammzertifizierungsstelle im Unternehmen zu installieren. |
Eine Unternehmenszertifizierungsstelle stellt Zertifikate aus, die auf einer Zertifikatvorlage basieren. Folgende Funktionen stehen zur Verfügung, wenn Sie Zertifikatvorlagen verwenden:
-
Unternehmenszertifizierungsstellen erzwingen während der Zertifikatregistrierung die Überprüfung der Anmeldeinformationen von Benutzern. Jede Zertifikatvorlage verfügt über eine in AD DS festgelegte Sicherheitsberechtigung, die bestimmt, ob der Zertifikatanforderer für den Empfang des angeforderten Zertifikattyps autorisiert ist.
-
Der Name des Zertifikatantragstellers kann automatisch aus den Informationen in AD DS generiert oder explizit vom Anforderer bereitgestellt werden.
-
Dem ausgestellten Zertifikat wird vom Richtlinienmodul eine vordefinierte Liste mit Zertifikaterweiterungen hinzugefügt. Die Erweiterungen werden durch die Zertifikatvorlage definiert. Auf diese Weise muss der Zertifikatanforderer weniger Informationen über das Zertifikat und dessen vorgesehene Verwendung bereitstellen.
-
Die automatische Registrierung kann für die Ausstellung von Zertifikaten verwendet werden.