Active Directory – So wirds gemacht

So installieren Sie SSL-Zertifikate in Active Directory

Active-Directory-Lese- und -Schreibanfragen im Netzwerk können per SSL abgesichert werden. Dazu braucht es ein CA-Zertifikat (Certificate Authority). Dieser Artikel erläutert die Schritte, die beim Konfigurieren von SSL-Zertifikaten in Active Directory beachtet werden müssen.

Voraussetzungen zur Installation von SSL-Zertifikaten:

• IIS (Internet Information Services) sind erforderlich, damit Sie
  Windows-Zertifikatdienste installieren können.
• Windows-Zertifikatdienste.

Schritte zur SSL-Zertifikatinstallation:

Schritt 1: Active-Directory-Zertifikatdienste installieren

• Melden Sie sich als Administrator an Ihrem Active-Directory-Server an.
• Öffnen Sie Server-Manager → Rollenübersicht → Rollen hinzufügen.

  

• Wählen Sie im Assistenten zum Hinzufügen von Rollen die Option Serverrollen. Wählen Sie Active-Directory-Zertifikatdienste aus den angebotenen Optionen, klicken Sie auf Weiter. Klicken Sie im nächsten Bildschirm erneut auf Weiter.

  

• Auf der nächsten Seite wählen Sie den Zertifizierungsstelle-Rollendienst zum Ausstellen und Verwalten von Zertifikaten.

  

• Auf der Seite zum Festlegen des Einrichtungstyp entscheiden Sie sich für die Unternehmensoption, da Ihr Server zur AD-Umgebung gehört. Klicken Sie auf Weiter.

  

• Sie gelangen zur Seite zum Festlegen des CA-Typs. Wenn dies Ihre erste CA ist, wählen Sie Stamm-CA/Root CA. Andernfalls wählen Sie untergeordnete CA.

  

• Legen Sie den privaten Schlüssel fest, der für diese CA/Zertifizierungsstelle genutzt werden soll. Da es sich um eine neue CA handelt, wählen Sie die Option zum Erstellen eines neuen privaten Schlüssels, klicken anschließend auf Weiter. Klicken Sie im nächsten Bildschirm erneut auf Weiter.

  

• Aus der nächste Seite wählen Sie einen allgemeinen Namen und einen definierten Namenssuffix für Ihre CA. Prüfen Sie die Vorschau des vollständigen definierten CA-Namens, klicken Sie auf Weiter, wenn alles stimmt.

  

• Auf der Seite zum Festlegen der Gültigkeit können Sie den Standardwert übernehmen oder einen eigenen Gültigkeitszeitraum festlegen. Die CA/Zertifizierungsstelle stellt Zertifikate aus, die nur über diesen Zeitraum gelten.

  

• Wählen Sie einen Ort zum Speichern der Zertifikatdatenbank und der zugehörigen Protokolle.

  

• Bestätigen Sie die Installationskonfiguration, klicken Sie anschließend auf Installieren. Schließen Sie den Assistenten nach erfolgreichem Abschluss der Installation.

  

Schritt 2: Serverzertifikat abrufen

Nach der Installation der Zertifizierungsstelle müssen Sie nun die SSL-Zertifikate, die von Ihren Anwendungsservern verwendet werden, der Liste der akzeptierten Zertifikate hinzufügen.

Das Active-Directory-Zertifikat wird automatisch erstellt und im Stammordner des C-Laufwerks gespeichert. Zum Exportieren des Zertifikates führen Sie diesen Befehl auf dem Server aus:
certutil -ca.cert client.crt

Schritt 3: Serverzertifikat importieren

Damit ein Anwendungsserver Ihrem AD-Zertifikat vertrauen kann, muss das Zertifikat in Ihre Java-Laufzeitumgebung importiert werden. JDK speichert vertrauenswürdige Zertifikate in einer bestimmten Datei, die KeyStore genannt wird. Die KeyStore-Standarddatei trägt den Namen „cacerts“, diese befindet sich im Subordner jre\lib\security Ihrer Java-Installation. Führen Sie zum Importieren der Zertifikate die folgenden Befehle auf dem Server aus.

• Wechseln Sie zum Verzeichnis, in dem Java installiert wurde.
  cd /d C:\Program Files\Java\jdk1.5.0_12
• Führen Sie den folgenden Befehl aus – dabei steht „Serverzertifikat.crt“ für den Namen der Datei Ihres Verzeichnisservers.
  keytool -importcert -keystore .\jre\lib\security\cacerts -file Serverzertifikat.crt
• Geben Sie das KeyStore-Standardkennwort zum Ändern ein, wenn Sie dazu aufgefordert werden.
• Wenn Sie gefragt werden, ob Sie diesem Zertifikat vertrauen: [nein]: Geben Sie „ja“ zum Bestätigen des Schlüsselimports ein.

  Geben Sie das KeyStore-Kennwort ein: ändern
  Besitzer: CN=ad01, C=US
  Aussteller: CN=ad01, C=US
  Seriennummer: 15563d6677a4e9e4582d8a84be683f9
  Gültig ab: 21.8.2021 1:10:46 ACT 2007 bis: 21.8.2021 1:13:59 ACT 2012
  Zertifikat-Fingerabdrücke:
  MD5:D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
  SHA1:73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
  Diesem Zertifikat vertrauen? [nein]: ja
  Zertifikat wurde zum KeyStore hinzugefügt.

• Ändern Sie die URL zum Einsatz von LDAP über SSL, verwenden Sie die SSL-Absicherungsoption wenn Sie Ihre Anwendung mit dem Verzeichnisserver verbinden.

Nachdem das Zertifikat wie vorstehend beschrieben importiert wurde, müssen Sie die Anwendung neu starten, damit die Änderungen umgesetzt werden.