Hallo Leser,

heute ist es mal wieder soweit. Ich beschäftigte mich mal wieder mit Zertifikaten. Beim Zugriff auf eine Website wie beispielsweise https://outlook.com wird die Adressleiste in grün dargestellt. Dies ist daher zurückzuführen dass Microsoft für diese Adresse ein sogenanntes Extended Validation Zertifikat einsetzt. Das muss doch auch bei mir intern funktionieren habe ich mir gedacht, und dass mal aufgebaut.

Für die Durchführung dieser Anleitung muss die Zertifizierungsstelle schon konfiguriert sein, siehe hier: https://asichel.de/active-directory-zertifikatsdienste-ad-cs-grundkonfiguration/

Ich verwende die Identischen Servernamen wie in dem vorrangegangenem Artikel.

Schritt 1 – Neue Zertifikatsvorlage erstellen

  1. Anmelden auf CA1
  2. Zertifizierungsstelle öffnen
  3. Zertifikatsvorlagen auswählen
  4. Via Rechtsklick –> Verwalten
  5. In der Zertifikatsvorlagenkonsole das Zertifikat Webserver via „Rechtsklick“ auswählen & Vorlage duplizieren (Bil1d )
  6. In der Registerkarte „Allgemein“ einen Namen vergeben: Com AG Extended Validation Webserver (Bild 2)
  7. In der Registerkarte „Erweiterungen“ den Punkt „Ausstellungsrichtlinien auswählen und auf Bearbeiten klicken (Bild 3)
  8. Anschließend auf „Hinzufügen“ und auf „Neu“ klicken
  9. Nun einen Namen vergeben: Com AG Extended Validation
  10. Wichtig ist nun das Kopieren oder Speichern (Ich speichere im neuen Textdokument C:\oid.txt) der Objektkennung, wird später noch benötigt!!! (Bild 4)
  11. Auf OK klicken (3x) und die Registerkarte Sicherheit aufrufen
  12. Hinzufügen –> (Objekttypen auf Computer setzen!!!) und den Server hinzufügen der als Webserver eingesetzt wird, hier CA1 mit den Berechtigungen: Lesen, Registrieren & Automatisch Registrieren (Bild 5)
  13. Mit Übernehmen & Okay bestätigen
  14. Zertifikatsvorlagenkonsole schließen
  15. In der Zertifizierungsstelle –> Rechtsklick auf Zertifikatsvorlagen –> Alle Aufgaben –> Neu –> Auszustellende Zertifikatsvorlage
  16. Nun sollte die eben erstellte Vorlage erscheinen –> Diese Auswählen und mit OK bestätigen (Bild 6)
  17. Fertig

Übersicht Bilder Schritt 1

 Schritt 2 – Gruppenrichtlinie für Stammzertifikat

Damit Clientsysteme dem Extended Validation vertrauen müssen diese das Stammzertifikat mit der Erweiterung der Objektkennung erhalten. Die Verteilung dafür übernimmt das Gruppenrichtlinienobjekt (vorhergegangener Beitrag).

  1. Gruppenrichtlinienverwaltungskonsole (GPMC.msc) öffnen auf DC1
  2. Die Richtlinien „001_C_Zertifikate bearbeiten
  3. Computerkonfiguration –> Richtlinien –> Windows-Einstellungen –> Sicherheitseinstellungen –> Richtlinien für öffentliche Schlüssel
  4. Den Punkt „Vertrauenswürdige Stammzertifizierungsstellen auswählen –> Rechtsklick –> Importieren
  5. Im Willkommensassistent auf Weiter klicken
  6. Speicherort angeben: \\ca1\Certenroll –> Das Zertifikat auswählen (Bild 7)
  7. Den Assistenten abschließen
  8. Das neu Importierte Zertifikat via Rechtsklick anwählen und die Eigenschaften aufrufen
  9. Registerkarte „Erweiterte Überprüfung“ auswählen
  10. In das Textfeld neben OID hinzufügen die Objektkennung aus Schritt 1 Punkt 10 hinzufügen (Bild 8)
  11. Mit Übernehmen bestätigen
  12. Damit in dieser Umgebung neue Systeme nicht 2x das Stammzertifikat erhalten wähle ich den Punkt der Automatischen Zertifikatsanforderung aus und entferne Computer (siehe Beitrag AD CS Grundkonfiguration)
  13. Gruppenrichtlinienupdate auf den Systemen ausführen (gpupdate /force)
  14. Fertig

Übersicht Bilder Schritt 2

Schritt 3 – Zertifikat anfordern

  1. An CA1 anmelden
  2. Start –> MMC –> Zertifikate –> Lokaler Computer
  3. Eigene Zertifikate –> Zertifikate
  4. Rechtsklick –> Alle Aufgaben –> Neues Zertifikat anfordern
  5. Im Assistenten auf 2x Weiter klicken
  6. Es erschein das neu erstellte Zertifikat (Bild 09)
  7. Dies auswählen –> Den Link darunter anklicken für die zusätzlichen Informationen
  8. In dem Fenster unterhalb von Registerkarte Antragssteller folgende Daten eingeben (Bild 10):
    • Allgemeiner Name: web.com.local (Muss zwingend ein FQDN sein)
    • Land / Region: DE
    • Organisation: Com AG
  9. In der Registerkarte Allgemein noch einen Namen vergeben: Com AG Extended Validation (Bild 11)
  10. Mit OK bestätigen
  11. Registrieren
  12. Da ich hier als Name WEB.com.local verwendet habe erstelle ich im DNS noch einen Alias dafür!!!
  13. Fertig

Übersicht Bilder Schritt 3

 

Schritt 4 – Zertifikat an Website binden

  1. Auf CA1 Internetinformationsdienste (IIS) öffnen
  2. Rechtsklick auf „Default Web Site“ –> Bindungen bearbeiten
  3. Hinzufügen auswählen –> als Protokoll „hhtps“ wählen
  4. Nun im Pull-Down-Menü das vorher Registrierte Zertifikat auswählen (Bild 12)
  5. Fertig

Schritt 5 – Website aufrufen

  1. An einem Beliebigem Client oder Server den IE starten
  2. Webadresse eingeben: https://web.com.local
  3. Die Adressleiste ist nun Grün :) (Bild 13)

Schritt 6 – Troubleshooting

Sollte die Adressleiste nicht in Grün dargestellt werden, so kann es evtl. sein das der Computer über zwei Zertifikate der Stammzertifizierungsstelle verfügt. Eines davon besitzt die OID das andere nicht. Welches nun zu entfernen ist brauche ich wohl kaum zu erwähnen ;)

Übersicht Bilder Schritt 4 & 5