Installieren der Zertifizierungsstellen-Webregistrierung (CAWE)

Nachfolgend wird beschrieben, wie die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert werden kann.

Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.

Die nachfolgende Anleitung installiert die Rolle zunächst mit den Standardeinstellungen. Eine Anpassung erfolgt im jeweiligen Verlauf der Anleitung.

Es wird empfohlen, die Webregistrierung auf einem dedizierten Server zu installieren.

Einrichten der Sicherheitsberechtigungen und Firewallfreigaben

Die Einrichtung der erforderlichen Windows-Sicherheitsberechtigungen ist im Artikel "Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)" beschrieben.
Die Einrichtung der erforderlichen Firewallfreigaben ist im Artikel "Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung (CAWE)" beschrieben.

Rollendateien und Abhängigkeiten installieren

Dieser Schritt ist nicht unbedingt nötig, da er als Abhängigkeit ohnehin erfolgt. Sollte auf dem Zielserver noch kein Internet Information Service (IIS) Web Server installiert sein, kann dieser mit folgendem Befehl mit den Standardeinstellungen und Managementwerkzeugen installiert werden.

Install-WindowsFeature Web-Server -IncludeManagementTools

Anschließend können die Binärdateien für die CAWE installiert werden.

Install-WindowsFeature ADCS-Web-Enrollment

Einrichtung der CAWE Rolle

Zur Einrichtung der CAWE Rolle wird folgender PowerShell Befehl verwendet:

Install-AdcsWebEnrollment -CAConfig "{ConfigSring}" -Force

Die Platzhalter bedeuten dabei folgendes:

Der Platzhalter {ConfigString} bezeichnet den Konfigurationsstring für die Zertifizierungsstelle im Format "Vollqualifizierter-Hostname\Common-Name-der-CA", beispielsweise "CA03.intra.adcslabor.de\ADCS Labor Issuing CA 2"

Ein erster Test durch Aufruf der CAWE kann nun über die folgende Adresse erfolgen:

http://{Servername-CAWE}/certsrv

Zu diesem Zeitpunkt sind noch keine Delegierungseinstellungen erfolgt, und es ist noch kein SSL-Zertifikat verfügbar. Dies bedeutet, dass die Anmeldedaten im Klartext übertragen werden, und dass noch keine Zertifikate beantragt werden können. Beides wird im weiteren Verlauf der Anleitung konfiguriert.

Einrichten von Secure Sockets Layer für die CAWE

Auch wenn die CAWE ohne Secure Sockets Layer (SSL) funktioniert, wird empfohlen, ein Zertifikat zu beantragen und Verbindungen nur noch per SSL zuzulassen. Wie eine Zertifikatvorlage für ein solches Zertifikat konfiguriert werden kann, ist im Artikel "Konfigurieren einer Secure Socket Layer (SSL) Zertifikatvorlage für Web Server" beschrieben.

Die Aktivierung von SSL für die CAWE ist im Artikel "Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren" beschrieben.

Die Identität innerhalb des SSL-Zertifikats muss entweder dem vollqualifizierten Servernamen entsprechen, oder dem Alias, sollte die CAWE mit einem solchen betrieben werden.

Konfigurieren des Dienstkontos für die CAWE

Die Konfiguration der Dienstkonten für die CAWE ist in den folgenden Artikeln beschrieben:

Weiterführende Links:

Externe Quellen

Install-AdcsWebEnrollment (Microsoft)
Certification Authority Web Enrollment Guidance (Microsoft)
How to configure the Windows Server 2008 CA Web Enrollment Proxy (Microsoft, archive.org)