Site icon Frankys Web

Zertifizierungsstelle: Extended Validation Zertifikate ausstellen (Grüner Balken im IE)

Auch die Windows CA ist in der Lage Extended Validation Zertifikate auszustellen, sodass im Internet Explorer der schicke grüne Balken angezeigt wird. Das Ganze ist sogar erstaunlich einfach:

Um ein Extended Validation (EV) Zertifikat auszustellen, kann eine neue Vorlage erstellt werden, oder eine bestehende abgeändert werden, ich erstelle eine neue Vorlage, dazu dupliziere ich die Vorlage “Webserver”

Die vorgeschlagenen Einstellungen auf dem Reiter “Kompatibilität” sind OK

 

Ich nenne meine Vorlage “Exchange Server EV” und lege ein Gültigkeit von 5 Jahren fest, das kann aber jeder machen wie er will

Ich möchte ein SAN/UC-Zertifikat erstellen, also Haken setzen bei “Vom Antragsteller zugelassene symmetrische….” und falls das Zertifikat man exportiert werden soll, Haken bei “Exportieren von privaten Schlüssel zulassen” setzen

Auf dem Reiter “Sicherheit” bekommt die Gruppe “Exchange Servers” Vollzugriff

Auf dem Reiter “Erweiterungen” den Punkt “Ausstellungsrichtlinien” markieren und auf “Bearbeite“n” klicken

Aktuell gibt es noch keine Richtlinie, daher auf “Hinzufügen” klicken

Im Dialog auf “Neu” klicken

Jetzt einen Namen für die Neue Richtlinie vergeben und einen Pfad für die Zertifikatserklärung angeben (er muss nicht zwingend existieren), jetzt die Objektkennung (OID) kopieren

Jetzt ist die neue Richtlinie sichtbar, das Fenster kann mit “OK” geschlossen werden

Die Zertifikatsvorlage ist fertig

Zum Schluss noch die neue Vorlage veröffentlichen

Die Vorlage ist nun veröffentlicht

Jetzt muss das Stammzertifizierungsstellenzertifikat zusammen mit der OID von vorhin verteilt werden, also eine neue GPO erstellen und das Stammzertifizierungsstellenzertifikat importieren

Sobald das Zertifikat importiert ist, Rechtsklick auf den Eintrag und den Reiter “Erweiterte Überprüfung” auswählen, hier kann nun die OID eingetragen werden

Jetzt nur noch die GPO verknüpfen und fertig. Bei Computern die nicht Mitglied der Domain sind, muss die OID und das Zertifikat manuell hinzugefügt werden. Dazu eine MMC mit dem Snap-In Zertifikate öffnen. Stammzertifizierungsstellenzertifikat importieren.

Jetzt Rechtsklick auf das Zertifikat –> Eigenschaften, auf dem Reiter “Erweiterte Überprüfung” kann die OID hinzugefügt werden.

Jetzt muss muss nur noch der Exchange Server mit einem neuen Zertifikat versehen werden, das über die neue Vorlage ausgestellt wird. Sobald das Zertifikat den Diensten zugeordnet ist, wird der Balken im Internet Explorer für die “Erweiterte Prüfung” Grün

Ja ich geb es zu, das ist Spielerei…

Exit mobile version