Anfordern von Zertifikaten

Zertifikatanforderungen müssen von einem Benutzer, Computer oder Dienst mit Zugriff auf den privaten Schlüssel ausgeführt werden, der dem zum entsprechenden Zertifikat gehörenden öffentlichen Schlüssel zugeordnet ist. Je nach Richtlinien öffentlicher Schlüssel des Systemadministrators, können Zertifikate automatisch, ohne Eingreifen des Benutzers, von Computern und Diensten angefordert werden. Darüber hinaus können Administratoren über ihr Zertifikat für Registrierungs-Agents Smartcard-Benutzerzertifikate und Smartcardzertifikate zum Anmelden am System im Namen anderer Benutzer anfordern.

Es gibt zwei Hauptmethoden zum expliziten Anfordern von Zertifikaten unter einem Betriebssystem der Windows Server 2003-Produktfamilie.

Anfordern von Zertifikaten mithilfe des Zertifikatanforderungs-Assistenten

Wenn Sie Zertifikate von einer Windows Server 2003-Zertifizierungsstelle für Organisationen anfordern, können Sie den im Zertifikat-Snap-In enthaltenen Zertifikatanforderungs-Assistenten verwenden. Dieser Assistent hilft beim Ausführen der folgenden Schritte:

  • Auswählen einer Zertifizierungsstelle, an die die Anforderung gesendet wird.
    Zertifikate können mit dem Zertifikatanforderungs-Assistenten nur über in Ihrer Windows-Domäne verfügbare Zertifizierungsstellen für Organisationen ausgestellt werden.
  • Auswählen der geeigneten Zertifikatvorlage für das neue Zertifikat.
    Zertifikatvorlagen sind vordefinierte Konfigurationen, mit denen die für eine Zertifikatanforderung häufig benötigten Einstellungsoptionen bereitgestellt werden. Zertifikatvorlagen beschreiben den Verwendungszweck des angeforderten Zertifikats. Die Liste der verfügbaren Zertifikatvorlagen wird durch die Zertifikattypen festgelegt, für deren Ausstellung die Zertifizierungsstelle konfiguriert ist; des Weiteren ist entscheidend, ob dem Benutzer vom Systemadministrator Zugriffsrechte für die entsprechende Zertifikatvorlage erteilt wurden
  • (Optional) Verwenden von Erweiterte Optionen im Zertifikatanforderungs-Assistenten zum Auswählen des Kryptografiedienstanbieters (Cryptographic Service Provider, CSP) für das zur Zertifikatanforderung zugeordnete Schlüsselpaar.

Nur bei Basiszertifikaten, die mit dem verschlüsselnden Dateisystem (Encrypting File System, EFS) oder dem EFS-Wiederherstellungs-Agent erstellt wurden, sind bei Verwendung des Zertifikatanforderungs-Assistenten die zugeordneten privaten Schlüssel als für den Export verfügbar gekennzeichnet. Die Anforderung eines anderen Zertifikattyps und das Bereitstellen des privaten Schlüssels für den Export in eine PKCS #12-Datei ist nur über die Option für die erweiterte Anforderung auf den Webseiten der Windows Server 2003-Zertifikatdienste möglich.

Anweisungen zum Öffnen und Verwenden des Zertifikatanforderungs-Assistenten finden Sie unter Anfordern eines Zertifikats.

Der Zertifikatanforderungs-Assistent kann auch zum Anfordern eines neuen Zertifikats von einer Zertifizierungsstelle für Unternehmen verwendet werden, wobei ein vorhandenes Schlüsselpaar, das bereits einem anderen Zertifikat zugeordnet wurde, erforderlich ist. Weitere Informationen finden Sie unter Anfordern eines Zertifikats mit demselben Schlüssel.

Anfordern von Zertifikaten auf den Webseiten der Windows Server 2003-Zertifikatdienste

Jede auf einem Computer unter Windows Server 2003 installierte Zertifizierungsstelle enthält Webseiten, auf die Benutzer zugreifen können, um grundlegende oder erweiterte Zertifikatanforderungen zu übermitteln. Diese Webseiten finden Sie in der Standardeinstellung unter http://Servername/certsrv, wobei Servername der Name des Computers unter Windows Server 2003 ist.

Zertifikate von einer eigenständigen Windows Server 2003-Zertifizierungsstelle müssen über die Webseiten der Zertifikatdienste angefordert werden. Webseiten können auch zum Anfordern von Zertifikaten von Windows Server 2003-Organisationszertifizierungsstellen verwendet werden, wenn Sie nicht im Zertifikatanforderungs-Assistenten verfügbare optionale Anforderungsfunktionen festlegen möchten (z. B. Kennzeichnen eines Schlüssels als exportierbar, Festlegen der Schlüssellänge, Auswählen des Hashalgorithmus oder Speichern der Anforderung in einer PKCS #10-Datei).

Bearbeiten von Zertifikatanforderungen

An Windows Server 2003-Zertifizierungsstellen für Organisationen gesendete Zertifikatanforderungen werden sofort bearbeitet (und nicht auf den Status Ausstehend festgelegt). Ohne Verzögerung wird die Zertifikatanforderung entweder abgelehnt oder erteilt. Wenn die Zertifikatforderung erteilt wurde, wird das Zertifikat ausgestellt, und Sie werden zum Installieren aufgefordert.

An eine eigenständige Windows Server 2003-Zertifizierungsstelle gesendete Zertifikatanforderungen werden entweder sofort bearbeitet oder standardmäßig so lange als ausstehend behandelt, bis der Administrator der Zertifizierungsstelle die Anforderung annimmt oder ablehnt. Im Falle einer austehenden Anforderung muss die zertifikatanfordernde Seite die Webseiten der Zertifikatdienste verwenden, um den Status der ausstehenden Zertifikate zu überprüfen.