Mithilfe dieses Verfahrens können Sie die Zertifikatvorlage konfigurieren, die von den Active Directory®-Zertifikatdiensten (Active Directory Certificate Services, AD CS) als Grundlage für Computerzertifikate verwendet wird, die für Domänenmitglieds-Clientcomputer registriert sind.

Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in den Gruppen Enterprise Admins und Domain Admins der Stammdomäne erforderlich.

Wichtig

Wenn Sie bereits Serverzertifikate mit den Schritten in NPS-Zertifikat: Konfigurieren der Vorlage und der automatischen Registrierung bereitgestellt haben, müssen Sie die Schritte 13 bis 20 dieses Verfahrens nicht ausführen. Diese Schritte werden zum Konfigurieren der automatischen Registrierung von Computerzertifikaten verwendet und sind mit den Schritten im oben genannten Thema identisch.

So konfigurieren Sie die Zertifikatvorlage und die automatische Registrierung

  1. Klicken Sie auf dem Computer, auf dem die Active Directory-Zertifikatdienste installiert sind, auf Start, klicken Sie anschließend auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.

  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. Das Dialogfeld Snap-Ins hinzufügen bzw. entfernen wird geöffnet.

  3. Doppelklicken Sie unter Verfügbare Snap-Ins auf Zertifizierungsstelle. Wählen Sie die Zertifizierungsstelle (Certification Authority, CA) aus, die mit dem Snap-In verwaltet werden soll, und klicken Sie dann auf Fertig stellen. Das Dialogfeld Zertifizierungsstelle wird geschlossen, und das Dialogfeld Snap-Ins hinzufügen bzw. entfernen wird wieder angezeigt.

  4. Doppelklicken Sie unter Verfügbare Snap-Ins auf Zertifikatvorlagen, und klicken Sie dann auf OK.

  5. Klicken Sie in der Konsolenstruktur auf Zertifikatvorlagen. Alle Zertifikatvorlagen werden im Detailbereich angezeigt.

  6. Klicken Sie im Detailbereich auf die Vorlage Arbeitsstationsauthentifizierung.

  7. Klicken Sie im Menü Aktion auf Doppelte Vorlage. Das Dialogfeld Doppelte Vorlage wird geöffnet. Wählen Sie die Vorlagenversion entsprechend der Bereitstellung aus, und klicken Sie dann auf OK. Das Dialogfeld mit den Eigenschaften der neuen Vorlage wird geöffnet.

  8. Geben Sie auf der Registerkarte Allgemein in das Feld Anzeigename einen neuen Namen für die Zertifikatvorlage ein, oder übernehmen Sie den Standardnamen.

  9. Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie unter Gruppen- oder Benutzernamen auf Domänencomputer.

  10. Aktivieren Sie im Feld Berechtigungen für Domänencomputer unter Zulassen die Kontrollkästchen Registrieren und Automatisch registrieren, und klicken Sie dann auf OK.

  11. Doppelklicken Sie auf Zertifizierungsstelle, doppelklicken Sie auf den Zertifizierungsstellennamen, und klicken Sie dann auf Zertifikatvorlagen. Zeigen Sie im Menü Aktion auf Neu, und klicken Sie auf Auszustellende Zertifikatvorlage. Das Dialogfeld Zertifikatvorlagen aktivieren wird geöffnet.

  12. Klicken Sie auf den Namen der soeben konfigurierten Zertifikatvorlage, und klicken Sie dann auf OK. Wenn Sie beispielsweise den standardmäßigen Zertifikatvorlagennamen nicht geändert haben, klicken Sie auf Kopie von Arbeitsstationsauthentifizierung, und klicken Sie dann auf OK.

  13. Klicken Sie auf dem Computer, auf dem die Active Directory-Domänendienste installiert sind, auf Start, klicken Sie anschließend auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.

  14. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. Das Dialogfeld Snap-Ins hinzufügen bzw. entfernen wird geöffnet.

  15. Doppelklicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen unter Verfügbare Snap-Ins auf Gruppenrichtlinienverwaltungs-Editor. Der Assistent Gruppenrichtlinienobjekt auswählen wird geöffnet. Klicken Sie auf Durchsuchen, und wählen Sie dann Standarddomänenrichtlinie aus. Klicken Sie auf OK, dann auf Fertig stellen und anschließend erneut auf OK.

  16. Doppelklicken Sie auf Standarddomänenrichtlinie. Öffnen Sie nacheinander Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen und dann Richtlinien öffentlicher Schlüssel.

  17. Doppelklicken Sie im Detailbereich auf Zertifikatdiensteclient - automatische Registrierung. Das Dialogfeld Eigenschaften von Zertifikatdiensteclient - automatische Registrierung wird geöffnet.

  18. Wählen Sie im Dialogfeld Eigenschaften von Zertifikatdiensteclient - automatische Registrierung unter Konfigurationsmodell die Option Aktiviert aus.

  19. Aktivieren Sie das Kontrollkästchen Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen.

  20. Aktivieren Sie das Kontrollkästchen Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren, und klicken Sie dann auf OK.

Weitere Überlegungen

Nachdem Sie dieses Verfahren abgeschlossen haben, führen Domänenmitglieds-Clientcomputer eine automatische Registrierung eines Clientcomputerzertifikats aus, wenn die Gruppenrichtlinien aktualisiert werden. Zum Aktualisieren der Gruppenrichtlinien starten Sie den Clientcomputer neu, oder führen Sie an der Eingabeaufforderung gpupdate aus.

Inhaltsverzeichnis