In diesem und den folgenden Kapiteln wird gezeigt, wie Sie Zertifikate mit den Micro­soft-Zertifikatdiensten erstellen und installieren. Neben dem hier beschriebenen Weg können Sie auch Zertifikate mit OpenSSL erzeugen. Hier zeigen wir Ihnen das Gene­rieren von Zertifikaten am Beispiel von Windows Server 2016 in englisch (für tiefergehende Informationen über die Microsoft-Zertifikatdienste lesen Sie auch die Micro­soft-Dokumentation). Im Fol­genden wird Schritt für Schritt beschrieben, wie Sie einen Zertifikat-Server einrichten, ein Stammzertifikat erstellen und Zertifikate für zentrale Druckserver und ThinPrint Clients beim Zertifikat-Server anfordern und anschließend auf Server und Clients ins­tallieren. Hierfür benötigen Sie Administrator-Rechte auf allen beteiligten Rechnern.

Zertifikat-Server

Empfehlenswert ist, einen eigenen Zertifikat-Server einzurichten, auf dem nur die Zertifizierung vorgenommen wird und keine anderen Programme laufen. Auf diesem Server wird die Zertifizierungsstelle eingerichtet und das Stammzertifikat erzeugt. Die Client- und Server-Zertifikate werden hier angefordert und ausgestellt. Ist diese Ope­ration abgeschlossen und sind alle Zertifikate auf Server und Clients verteilt, kann der Zertifikat-Server abgeschaltet werden – solange, bis ein neues Zertifikat benötigt wird.

• Öffnen Sie auf dem Zertifikat-Server den Server Manager. Wählen Sie hier Add roles and features, dann Role-based or feature-based installationund anschließend folgende Server-Rollen:
  • Active Directory Certificate Services
  • File and Storage Services
  • Web Server (IIS)
• Bestätigen Sie mit Klick auf Next.

  Serverrollen auf dem Zertifikat-Server aktivieren

Hinweis! Das Stammzertifikat ist rechnergebunden. Deshalb kann der Com­puter nun nicht mehr umbenannt werden, keiner Domäne mehr beitreten und nicht aus einer solchen entfernt werden.

• Anschließend wählen Sie die Rollendienste aus, die für die Active-Directory-Zer­tifikatdienste installiert werden müssen. Wählen Sie hier zusätzlich zu Certifi­cation Authority auch Certification Authority Web Enrollment aus. Bestätigen Sie mit Next.

  Rollendienste für Webserver (IIS) hinzufügen

• Das nächste Fenster zeigt eine Zusammenfassung der zu installierenden Rollen und ihrer Dienste. Klicken Sie auf Install, um die eigentliche Instal­lation zu starten.

  Installation des Zertifikat-Servers starten

• Während der Installation erscheint ein Link, der dazu auffordert, erforderliche Einstellungen für den Zertifikat-Service vorzunehmen. Klicken Sie auf diesen Link.

  Konfiguration während der Installation

• Wählen Sie einen Account, mit dem Sie die Rollendienste konfigurieren wollen. Bestätigen Sie mit Next.

  Account für die Konfiguration der Rollendienste wählen

• Wählen Sie die zu konfigurierenden Rollendienste. Markieren Sie Certification Authority und Certification Authority Web Enrollment. Bestäti­gen Sie mit Next.

  Rollendienste wählen

• Bestimmen Sie den Installationstyp der Zertifizierungsstelle – im Zweifel Stan­dalone CA. Bestätigen Sie mit Next.

  Typ der Zertifizierungsstelle wählen

• Wählen Sie Root CA (Stammzertifizierungsstelle), wenn Sie die erste Zertifizie­rungsstelle einer Hierarchie einrichten. Bestätigen Sie mit Next.

  Root CA wählen

• Wählen Sie Create a new private key, wenn Sie noch nicht über einen privaten Schlüssel verfügen. Bestätigen Sie mit Next.

  einen neuen privaten Schlüssel generieren lassen

• Danach bestimmen Sie die Kryptographie für den neu zu generierenden, priva­ten Schlüssel. Wählen Sie hierzu aus:
  • einen Kryptografiedienstanbieter
  • die Schlüssellänge (empfohlen: 2048 oder länger)
  • den Hash-Algorithmus (empfohlen: SHA256 oder höher)
• Im Zweifel behalten Sie die vorgestellten Einstellungen bei. Bestäti­gen Sie mit Next.

  Kryptografiedienstanbieter, Schlüssellänge und Hash-Algorithmus wählen

• Geben Sie den Displaynamen der Stammzertifizierungsstelle und somit der Root- oder Stammzertifikate an. Bestätigen Sie mit Next.

  Name der Zertifizierungsstelle resp. des Stammzertifikates angeben

• Wählen Sie eine Gültigkeitsdauer für auszustellende Zertifikate. Bestätigen Sie mit Next.

  Gültigkeitsdauer der Zertifikate wählen

• Geben Sie Verzeichnisse für auszustellende Zertifikate und für die Logdateien an. Bestätigen Sie mit Next.

  Pfade zu Zertifikaten und Logs

• Die konfigurierten Optionen der Rollendienste werden angezeigt. Wählen Sie Configure, um die Konfiguration zu übernehmen.

  Konfiguration übernehmen

• Das Ergebnis der Konfiguration der Rollendienste erscheint. Wählen Sie Close, um die Konfiguration abzuschließen.

  Ergebnis der Konfiguration

• Wählen Sie Close, um die Installation abzuschließen.

  Installation des Zertifiakt-Servers abschließen

Sie haben nun eine Stammzertifizierungsstelle (oder Root CA) auf Ihrem Server ein­gerichtet. Das heißt, dass mit dem Stammzertifikat nun Client- und Server-Zertifikate unterschrieben und ausgestellt werden können. Das soeben generierte Stamm- oder Root-Zertifikat finden Sie in der MMC im Zertifikatspeicher. Dieses kann hier exportiert und dann auf alle zentralen Druckserver verteilt werden.

  eigenes, neu generiertes Stammzertifikat im lokalen Zertifikatspeicher

Die Konsole der Zertifizierungsstelle, die Sie im ersten Schritt eingerichtet haben, fin­den Sie unter Control Panel → Administrative Tools→ Certification Authority (Systemsteuerung→ Verwaltung→ Zertifizierungsstelle).