Auch die Windows CA ist in der Lage Extended Validation Zertifikate auszustellen, sodass im Internet Explorer der schicke grüne Balken angezeigt wird. Das Ganze ist sogar erstaunlich einfach:
Um ein Extended Validation (EV) Zertifikat auszustellen, kann eine neue Vorlage erstellt werden, oder eine bestehende abgeändert werden, ich erstelle eine neue Vorlage, dazu dupliziere ich die Vorlage “Webserver”
Die vorgeschlagenen Einstellungen auf dem Reiter “Kompatibilität” sind OK
Ich nenne meine Vorlage “Exchange Server EV” und lege ein Gültigkeit von 5 Jahren fest, das kann aber jeder machen wie er will
Ich möchte ein SAN/UC-Zertifikat erstellen, also Haken setzen bei “Vom Antragsteller zugelassene symmetrische….” und falls das Zertifikat man exportiert werden soll, Haken bei “Exportieren von privaten Schlüssel zulassen” setzen
Auf dem Reiter “Sicherheit” bekommt die Gruppe “Exchange Servers” Vollzugriff
Auf dem Reiter “Erweiterungen” den Punkt “Ausstellungsrichtlinien” markieren und auf “Bearbeite“n” klicken
Aktuell gibt es noch keine Richtlinie, daher auf “Hinzufügen” klicken
Im Dialog auf “Neu” klicken
Jetzt einen Namen für die Neue Richtlinie vergeben und einen Pfad für die Zertifikatserklärung angeben (er muss nicht zwingend existieren), jetzt die Objektkennung (OID) kopieren
Jetzt ist die neue Richtlinie sichtbar, das Fenster kann mit “OK” geschlossen werden
Die Zertifikatsvorlage ist fertig
Zum Schluss noch die neue Vorlage veröffentlichen
Die Vorlage ist nun veröffentlicht
Jetzt muss das Stammzertifizierungsstellenzertifikat zusammen mit der OID von vorhin verteilt werden, also eine neue GPO erstellen und das Stammzertifizierungsstellenzertifikat importieren
Sobald das Zertifikat importiert ist, Rechtsklick auf den Eintrag und den Reiter “Erweiterte Überprüfung” auswählen, hier kann nun die OID eingetragen werden
Jetzt nur noch die GPO verknüpfen und fertig. Bei Computern die nicht Mitglied der Domain sind, muss die OID und das Zertifikat manuell hinzugefügt werden. Dazu eine MMC mit dem Snap-In Zertifikate öffnen. Stammzertifizierungsstellenzertifikat importieren.
Jetzt Rechtsklick auf das Zertifikat –> Eigenschaften, auf dem Reiter “Erweiterte Überprüfung” kann die OID hinzugefügt werden.
Jetzt muss muss nur noch der Exchange Server mit einem neuen Zertifikat versehen werden, das über die neue Vorlage ausgestellt wird. Sobald das Zertifikat den Diensten zugeordnet ist, wird der Balken im Internet Explorer für die “Erweiterte Prüfung” Grün
Ja ich geb es zu, das ist Spielerei…