Für die meisten Organisationen ist ein Zertifikat einer Stammzertifizierungsstelle (Certification Authority, CA) der erste installierte Active Directory-Zertifikatsdienste-Rollendienst (Active Directory Certificate Services, AD CS). In einer einfachen Public Key-Infrastruktur (Public Key Infrastructure, PKI) kann eine Stammzertifizierungsstelle die einzige Zertifizierungsstelle sein, die von einer Organisation bereitgestellt wird.
Unabhängig davon, ob Sie nur eine Zertifizierungsstelle oder mehrere Zertifizierungsstellen installieren, stellt das Stamm-Zertifizierungsstellenzertifikat die Grundlage aller Zertifizierungsstellen dar und bestimmt die grundlegenden Regeln für die Zertifikatausstellung und Verwendung der gesamten PKI. Während die Stammzertifizierungsstelle Standards definiert, was in einer PKI-Hierarchie zulässig ist und was nicht, wendet AD CS diese Standards auf alle anderen Zertifizierungsstellen und AD CS-Rollendienste an.
Eine Stammzertifizierungsstelle kann eine eigenständige Zertifizierungsstelle oder eine Unternehmenszertifizierungsstelle sein. Wenn es in einer Organisation mehrere Zertifizierungsstellen gibt, versuchen viele Organisationen, die Stammzertifizierungsstelle vor Zugriff von außen zu schützen, indem sie sie nur dann online schalten, wenn sie für die Verarbeitung einer Zertifikatanforderung von einer untergeordneten Zertifizierungsstelle benötigt wird.
Sie müssen mindestens Mitglied der lokalen Gruppe Administratoren oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Wenn es sich um eine Unternehmenszertifizierungsstelle handelt, müssen Sie mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
 | So installieren Sie eine Stammzertifizierungsstelle |
Öffnen Sie den Server-Manager, klicken Sie auf Rollen hinzufügen, klicken Sie auf Weiter, und klicken Sie dann auf Active Directory-Zertifikatsdienste. Klicken Sie zweimal auf Weiter.
Klicken Sie auf der Seite Rollendienste auswählen auf Zertifizierungsstelle. Klicken Sie auf Weiter.
Klicken Sie auf der Seite Setuptyp festlegen auf Eigenständig oder Unternehmen. Klicken Sie auf Weiter.
Hinweis Sie benötigen eine Netzwerkverbindung mit einem Domänencontroller, um eine Unternehmenszertifizierungsstelle installieren zu können.
Klicken Sie auf der Seite Zertifizierungsstellentyp festlegen auf Stammzertifizierungsstelle. Klicken Sie auf Weiter.
Weitere Informationen finden Sie unter Zertifizierungsstellentypen.
Klicken Sie auf der Seite Privaten Schlüssel einrichten auf Neuen privaten Schlüssel erstellen. Klicken Sie auf Weiter.
Wählen Sie auf der Seite Kryptografie konfigurieren einen Kryptografiedienstanbieter, eine Schlüssellänge und einen Hashalgorithmus aus. Klicken Sie auf Weiter.
Weitere Informationen finden Sie unter Kryptografische Optionen für Zertifizierungsstellen.
Erstellen Sie auf der Seite Name der Zertifizierungsstelle konfigurieren einen eindeutigen Namen, durch den die Zertifizierungsstelle identifiziert wird. Klicken Sie auf Weiter.
Weitere Informationen finden Sie unter Zertifizierungsstellenbenennung.
Geben Sie auf der Seite Festlegen der Gültigkeitsdauer den Zeitraum in Jahren oder Monaten an, für den das Stamm-Zertifizierungsstellenzertifikat gültig sein soll. Klicken Sie auf Weiter.
Übernehmen Sie auf der Seite Zertifikatdatenbank konfigurieren die Standardaufenthaltsorte, wenn Sie keinen benutzerdefinierten Speicherort für die Zertifikatdatenbank und das Zertifikatdatenbankprotokoll angeben möchten. Klicken Sie auf Weiter.
Weitere Informationen finden Sie unter Zertifikatdatenbank.
Überprüfen Sie auf der Seite Installationsoptionen bestätigen alle ausgewählten Konfigurationseinstellungen. Wenn Sie alle Optionen übernehmen möchten, klicken Sie auf Installieren, und warten Sie, bis der Installationsprozess abgeschlossen ist.