Microsoft ADCS einrichten

In Windows-Unternehmensumgebungen ist die PKI-Lösung von Microsoft eingebaut: ADCS – Active Directory Certificate Services. Als FISI-Azubi in einem Windows-Unternehmen wirst du damit früher oder später arbeiten. ADCS ist tief in das Active Directory integriert – Domänen-Computer und Benutzer können automatisch Zertifikate erhalten, ohne dass jemand manuell einen CSR erstellt. Das nennt sich Auto-Enrollment.

Stell dir ADCS wie einen Zertifikatsautomaten vor, der genau weiß wer im Active Directory wer ist. Wenn ein Computer der Domäne beitritt, kann er sich automatisch ein Computer-Zertifikat holen. Wenn sich ein Benutzer anmeldet, bekommt er sein Benutzer-Zertifikat. Alles gesteuert über Gruppenrichtlinien (GPO).

1) ADCS-Komponenten im Überblick

ADCS besteht aus mehreren installierbaren Rollen auf dem Windows Server. Nicht alle sind immer nötig – für eine einfache interne PKI reicht die Certification Authority. Für eine vollständige Enterprise-PKI kommen OCSP und Web Enrollment hinzu. Die folgende Übersicht zeigt welche Rolle welche Funktion hat:

ADCS-Rollen – Überblick

Certification Authority (CA)

Kernrolle – immer benötigt

Die eigentliche CA. Stellt Zertifikate aus, verwaltet Widerruf, gibt CRLs heraus. Kann als Enterprise CA (AD-integriert) oder Standalone CA betrieben werden. Enterprise CA ist der Normalfall in Unternehmen.

Certificate Enrollment Web Service

CES / CEP

Erlaubt Zertifikatsbeantragung über HTTPS statt direkt über RPC. Wichtig für Geräte außerhalb der Domäne oder in anderen Forests.

Online Responder (OCSP)

OCSP Responder

Beantwortet OCSP-Anfragen für Widerrufsstatus-Checks. Moderner Ersatz für CRL-Downloads. Sollte für produktive PKIs immer installiert werden.

Certification Authority Web Enrollment

Web Enrollment

Einfaches Webinterface unter https://server/certsrv/ zur manuellen Zertifikatsbeantragung. Für Benutzer ohne Group Policy Auto-Enrollment nützlich.

Enterprise CA vs. Standalone CA: Die Enterprise CA ist ins Active Directory integriert und kennt die Domänenbenutzer und -computer. Sie kann Auto-Enrollment, Zertifikats-Templates und GPO-gesteuerte Verteilung nutzen. Die Standalone CA ist unabhängig vom AD – sinnvoll für Root CAs die offline stehen sollen.

2) ADCS installieren und konfigurieren – Schritt für Schritt

Die Installation läuft über den Server-Manager oder PowerShell. Der folgende Guide zeigt eine typische zweistufige interne PKI: zuerst eine Offline-Root-CA auf einem separaten Server, dann eine Enterprise-Issuing-CA die ins Active Directory integriert wird. Die Tabs führen dich durch die Phasen:

ADCS-Installation – wähle eine Phase

1. Rolle installieren

2. CA konfigurieren

3. Templates

4. GPO Auto-Enroll

ADCS-Rolle per PowerShell installieren:Install-WindowsFeature Adcs-Cert-Authority -IncludeManagementToolsOptional: Web-Enrollment und OCSP-Responder:Install-WindowsFeature Adcs-Web-Enrollment, Adcs-Online-Cert

Nach der Installation: Konfiguration starten. Im Server Manager erscheint ein Warn-Symbol neben dem Benachrichtigungs-Flag. „Konfigurieren Sie die Active Directory-Zertifikatdienste" anklicken.

Alternativ per PowerShell konfigurieren (nächster Tab). PowerShell-Ansatz ist für reproduzierbare Setups und Skripte besser geeignet.

Enterprise CA konfigurieren (AD-integriert):Install-AdcsCertificationAuthority ` -CAType EnterpriseRootCA ` -CACommonName "Firma-Root-CA" ` -KeyLength 4096 ` -HashAlgorithm SHA256 ` -CryptoProviderName "RSA#Microsoft Software Key Storage Provider"

OCSP-Responder konfigurieren:Install-AdcsOnlineResponder -Force

Web Enrollment aktivieren:Install-AdcsWebEnrollment -ForceDanach erreichbar unter: https://SERVERNAME/certsrv/

Zertifikats-Templates definieren welche Art von Zertifikaten ausgestellt werden. Verwaltung über: certtmpl.msc (Certificate Templates Console). Standard-Templates vorhanden: WebServer, User, Computer, SmartcardUser usw.

Template duplizieren und anpassen (Empfehlung: nie Standard-Templates direkt editieren). Wichtige Einstellungen: Key Usage, gültige Algorithmen, Gültigkeitsdauer, Sicherheitsgruppen die das Template nutzen dürfen.

Template an der CA veröffentlichen:Add-CATemplate -TemplateName "MeinWebserver"Erst nach Veröffentlichung können Zertifikate nach diesem Template ausgestellt werden.

Auto-Enrollment per GPO konfigurieren. Gruppenrichtlinien-Editor öffnen (gpmc.msc). Neue GPO erstellen oder bestehende bearbeiten.

Pfad: Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Richtlinien für öffentliche Schlüssel → Automatische Zertifikatregistrierung. Aktivieren + „Zertifikate erneuern" und „Abgelaufene Zertifikate aktualisieren" ankreuzen.

GPO auf die betreffenden OUs anwenden. Beim nächsten GPO-Update erhalten Domänencomputer automatisch ihre Zertifikate – ohne manuelle Aktion. Sofortige Aktualisierung:gpupdate /force

Wichtiger Hinweis für die Praxis: ADCS-Fehler sind oft schwer zu debuggen. Das wichtigste Werkzeug ist das Event Log unter „Application and Services Logs → Microsoft → Windows → CertificationAuthority". Dort stehen genaue Fehlercodes für abgelehnte Zertifikatsanträge.

Zusammenfassung

ADCS ist Microsofts integrierte PKI-Lösung. Enterprise CA ist AD-integriert und unterstützt Auto-Enrollment per GPO. Installation per PowerShell oder Server Manager. Zertifikats-Templates steuern was ausgestellt werden darf. Event Log ist das wichtigste Diagnose-Werkzeug. Typische Architektur: Offline-Root-CA + Online-Issuing-CA.

Microsoft ADCS einrichten

1) ADCS-Komponenten im Überblick

2) ADCS installieren und konfigurieren – Schritt für Schritt

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title