Wenn Sie ein Zertifikat für die Verbindung zu einem Authentifizierungsserver (Radius) nicht von einer öffentlichen Zertifizierungsstelle erwerben wollen, dann können Sie dies auch in ihrem Active Directory mit einer eigenen Zertifizierungsstelle generieren. In diesem Fall müssen Sie allerdings das Stammzertifikat und ggf. das Zertifikat der Zwischenzertifizierungsstelle auf dem Authentifizierungsserver installieren.
- Hierzu aktivieren Sie auf dem Active-Directory- oder einem Member-Server die Rolle Active Directory Certificate Services mit dem Setup-Typ Enterprise.
- Legen Sie in Ihrem Active Directory einen technischen Nutzeraccount an, z. B. TPservice, mit dem sich der/die Hub/s am Authentifizierungsserver anmelden können.
- Anschließend loggen Sie sich auf den Member-Server mit diesem Account ein.
- Öffnen Sie dort die Zertifikatsverwaltung in der MMC.
- Markieren Sie den Zertifikatspeicher Certificates (Current User)→ Personal, und wählen Sie All Tasks→ Request New Certificate.
Member-Server: Anforderung eines Nutzerzertifikats für den Hub
- Im Menü Request Certificates öffnen Sie die Eigenschaften des zu generierenden User-Zertifikats.
Member-Server: Eigenschaften des Nutzerzertifikats ändern
- Im Reiter Private Key markieren Sie den privaten Schlüssel des Zertifikates als exportierbar.
Member-Server: den privaten Schlüssel als exportierbar markieren
- Wenn Sie in Ihrem Active Directory mehrere Zertifizierungsstellen betreiben, wählen Sie im Reiter Certification Authority die Zertifizierungsstelle aus. Deren Stammzertifikat müssen Sie auf die Authentifizierungsgeräte verteilen.
Member-Server: ggf. eine bestimmte Zertifizierungsstelle wählen
- Markieren Sie abschließend den Zertifikatstyp User und klicken auf Enroll, um das Zertifikat auf dem lokalen Rechner zu installieren. Dieses wird automatisch abgelegt im Zertifikatspeicher (Zertifikate - Aktueller Benutzer→ Eigene Zertifikate resp. Certificates (Current User)→ Personal).
Member-Server: Nutzerzertifikat auf dem lokalen Rechner installieren
- Exportieren Sie das Zertifikat mit seinem Schlüssel (Dateiformat .pfx).
Member-Server: Nutzerzertifikat des Hubs exportieren
- Vergeben Sie beim Export ein Passwort.
Member-Server: Schlüssel des Zertifikates mit einem Passwort schützen