Zertifikate verwalten

TLS verwendet Zertifikate, um Vertrauen zwischen zwei Parteien herzustellen. Sie müssen auf jedem Dienst bereitstellenden Server ein geeignetes Zertifikat installieren und sicherstellen, dass Maschinen, die sich mit diesem Server verbinden, diesem Zertifikat vertrauen. Für die Signierung von Zertifikaten gibt es folgende Optionen:

• Selbstsignierte Zertifikate. Diese werden nicht empfohlen. Sie sind schwierig zu verwalten, da Sie dieses Zertifikat manuell auf jede andere Maschine kopieren müssen, die diesem Zertifikat vertrauen soll.
• Unternehmenszertifizierungsstelle. Wenn Sie bereits eine PKI eingerichtet haben, ist dies normalerweise die einfachste Option zum Signieren von Zertifikaten für die Verwendung zwischen internen Geräten.
• Öffentliche Zertifizierungsstelle. Dies erfordert, dass Sie der Zertifizierungsstelle den Besitz der Domäne nachweisen. Sie hat den Vorteil, dass nicht verwaltete Clientgeräte normalerweise so vorkonfiguriert sind, dass sie Zertifikaten von großen öffentlichen Zertifizierungsstellen vertrauen.

Neues Zertifikat erstellen

Befolgen Sie die Richtlinien und Verfahren Ihrer Organisation zur Erstellung von Zertifikaten.

Zertifikat mit Microsoft-Zertifizierungsstelle erstellen

Wenn die Microsoft-Zertifizierungsstelle in eine Active Directory-Domäne oder in die vertrauenswürdige Gesamtstruktur integriert ist, der die Delivery Controller beigetreten sind, können Sie ein Zertifikat über den Zertifikatregistrierungs-Assistenten des MMC-Snap-Ins „Zertifikate“ abrufen. Die Microsoft-Zertifizierungsstelle muss eine Zertifikatvorlage veröffentlicht haben, die für die Verwendung durch Webserver geeignet ist.

Das Stammzertifikat wird mithilfe der Gruppenrichtlinie automatisch auf andere Maschinen in der Domäne bereitgestellt. Daher vertrauen alle anderen Maschinen in der Domäne Zertifikaten, die mit der Microsoft-Zertifizierungsstelle erstellt wurden. Wenn Sie Maschinen haben, die sich nicht in der Domäne befinden, müssen Sie das Stammzertifizierungsstellen-Zertifikat exportieren und in diese Maschinen importieren.

1. Öffnen Sie auf dem Server die MMC-Konsole und fügen Sie das Snap-In „Zertifikate“ hinzu. Wählen Sie bei Aufforderung „Computerkonto“ aus.

2. Erweitern Sie Persönlich > Zertifikate, und verwenden Sie dann den Kontextmenübefehl Alle Aufgaben > Neues Zertifikat anfordern.

   

3. Klicken Sie auf Weiter, um zu beginnen, und erneut auf Weiter, um zu bestätigen, dass Sie das Zertifikat über die Active Directory-Registrierung abrufen.

4. Wählen Sie eine geeignete Vorlage aus, z. B. Webserver exportierbar. Wenn die Vorlage so eingerichtet wurde, dass sie die Werte für den Betreff automatisch bereitstellt, können Sie auf Registrieren klicken, ohne weitere Details anzugeben. Andernfalls klicken Sie auf Weitere Informationen sind für die Registrierung dieses Zertifikats erforderlich. Klicken Sie hier, um die Einstellungen zu konfigurieren.

   

5. Um weitere Details für die Zertifikatvorlage anzugeben, klicken Sie auf die Pfeilschaltfläche Details und konfigurieren Sie Folgendes:

   Antragstellername: Wählen Sie „Common Name“ und fügen Sie den FQDN des Servers hinzu.

   Alternativer Name: Wählen Sie „DNS“ und fügen Sie den FQDN des Servers hinzu.

   

6. Drücken Sie OK.

7. Drücken Sie Registrieren, um das Zertifikat zu erstellen. Es wird in der Liste der Zertifikate angezeigt.

   

Zertifikatsanforderung mit IIS erstellen

Wenn IIS auf dem Server installiert ist, führen Sie die folgenden Schritte aus:

1. Öffnen Sie den Internet Information Services (IIS)-Manager.
2. Wählen Sie den Serverknoten in der Liste „Verbindungen“ aus.
3. Öffnen Sie Serverzertifikate.
4. Wählen Sie im Bereich Aktionen die Option Zertifikatsanforderung erstellen… aus.
5. Geben Sie die Eigenschaften des definierten Namens ein.
6. Belassen Sie auf dem Bildschirm Eigenschaften des kryptografischen Dienstanbieters den Kryptografischen Dienstanbieter als Standard. Wählen Sie eine Schlüssellänge von 2048 oder höher. (/de-de/citrix-virtual-apps-desktops/2411/media/iis-request-certificate-crypto.png)
7. Wählen Sie einen Dateinamen und drücken Sie auf Fertig stellen. (/de-de/citrix-virtual-apps-desktops/2411/media/iis-request-certificate-file-name.png)
8. Laden Sie Ihre CSR an Ihre Zertifizierungsstelle hoch.
9. Sobald Sie das Zertifikat erhalten haben, wählen Sie im Bereich Aktionen die Option Zertifikatanforderung abschließen… aus. (/de-de/citrix-virtual-apps-desktops/2411/media/iis-complete-certificate-request.png)
10. Wählen Sie das Zertifikat aus, geben Sie einen Anzeigenamen ein und drücken Sie auf OK. (/de-de/citrix-virtual-apps-desktops/2411/media/iis-certificate-authority-response.png)

Es gibt keine Möglichkeit, den alternativen Antragstellernamen festzulegen. Daher ist das Zertifikat auf den Server beschränkt, der über den Antragstellernamen angegeben wird.

Erstellen einer Zertifikatsignieranforderung aus dem Zertifikate-Snap-In

Innerhalb des Zertifikate-MMC-Snap-Ins können Sie eine Zertifikatsignieranforderung erstellen. Dadurch wird eine Datei generiert, die Sie an eine Zertifizierungsstelle senden können, die das Zertifikat bereitstellt. Sie müssen das Zertifikat dann importieren, um es mit dem lokalen privaten Schlüssel zu kombinieren.

1. Öffnen Sie auf dem Server die MMC-Konsole und fügen Sie das Zertifikate-Snap-In hinzu. Wählen Sie bei Aufforderung das Computerkonto aus.

2. Erweitern Sie Persönlich > Zertifikate
3. Wählen Sie Alle Aufgaben > Erweiterte Vorgänge > Benutzerdefinierte Anforderung erstellen.
4. Wählen Sie unter Bevor Sie beginnen die Option Weiter aus.
5. Wählen Sie auf dem Bildschirm Zertifikatregistrierungsrichtlinie auswählen eine geeignete vorhandene Richtlinie oder Ohne Registrierungsrichtlinie fortfahren.
6. Wählen Sie auf dem Bildschirm Benutzerdefinierte Anforderung, wenn Sie eine Registrierungsrichtlinie verwenden, eine geeignete Vorlage aus, falls verfügbar, z. B. Webserver exportierbar.
7. Erweitern Sie auf dem Bildschirm Zertifikatinformationen die Option Details und wählen Sie Eigenschaften aus.
8. Geben Sie im Fenster Zertifikateigenschaften auf der Registerkarte Allgemein einen geeigneten Anzeigenamen ein.

9. Auf der Registerkarte Antragsteller:

   1. Wählen Sie unter Antragstellername die Option Allgemeiner Name und geben Sie den FQDN des Servers ein. Sie können einen Platzhalter eingeben. Wählen Sie Hinzufügen.
   2. Fügen Sie unter Antragstellername geeignete Werte für Organisation, Organisationseinheit, Ort, Bundesland und Land hinzu.
   3. Wählen Sie unter Alternativer Name die Option DNS. Fügen Sie den Server-FQDN hinzu. Sie können mehrere Server-FQDNs oder einen Platzhalter-FQDN hinzufügen.

10. Auf der Registerkarte Erweiterungen:

    • Fügen Sie unter Schlüsselverwendung die Optionen Digitale Signatur und Schlüsselverschlüsselung hinzu.
    • Fügen Sie unter Erweiterte Schlüsselverwendung (Anwendungsrichtlinien) die Optionen Serverauthentifizierung und Clientauthentifizierung hinzu.

11. Auf der Registerkarte Privater Schlüssel.

    • Wählen Sie unter Kryptografischen Dienstanbieter (CSP) auswählen einen geeigneten Anbieter aus.
    • Wählen Sie unter Schlüsseloptionen eine geeignete Schlüssellänge aus. Für RSA-Anbieter verwenden Sie mindestens eine Schlüssellänge von 2048. Für höhere Sicherheit können Sie 4096 wählen, dies hat jedoch geringfügige Auswirkungen auf die Leistung.
    • Wählen Sie unter Schlüsseloptionen die Option Privaten Schlüssel exportierbar machen.
12. Wählen Sie OK.
13. Wählen Sie Weiter.
14. Wählen Sie Durchsuchen und speichern Sie Ihre Anforderung.
15. Wählen Sie Fertig stellen.
16. Laden Sie Ihre CSR bei Ihrer Zertifizierungsstelle hoch.
17. Sobald Sie das Zertifikat erhalten haben, importieren Sie es auf demselben Server, damit es mit dem privaten Schlüssel verknüpft ist.

Neues selbstsigniertes Zertifikat erstellen

Ein selbstsigniertes Zertifikat wird während der Installation eines Delivery Controller™ und Web Studio erstellt. Sie können ein neues selbstsigniertes Zertifikat generieren und es verwenden, um das vorhandene zu ersetzen.

Verwenden des IIS-Managers

Wenn IIS auf dem Server installiert ist, können Sie die folgenden Schritte ausführen:

1. Melden Sie sich als Administrator am Server an.

2. Öffnen Sie den IIS-Manager.
3. Öffnen Sie Serverzertifikate.

4. Wählen Sie im Bereich Aktionen die Option Selbstsigniertes Zertifikat erstellen.

   

5. Geben Sie unter Selbstsigniertes Zertifikat erstellen einen Namen für das Zertifikat ein und klicken Sie auf OK. Das selbstsignierte Zertifikat wird dann erstellt.

   

Verwenden von PowerShell

Sie können PowerShell verwenden, um ein selbstsigniertes Zertifikat zu erstellen:

$certSubject = "CN=myddc.example.com" # The FQDN of the server.
$friendlyName = "Self-Signed-3"
$expireYears = 5

## Create new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

# Add to trusted root certificates
$rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
$rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$rootCertStore.Add($certificate)
<!--NeedCopy-->

Vorhandenes Zertifikat importieren

Sie können ein vorhandenes Zertifikat mit einer der folgenden Methoden in den Server importieren.

Zertifikatimport-Assistent

1. Doppelklicken Sie auf die PFX-Datei, oder klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie PFX installieren. Dadurch wird der Zertifikatimport-Assistent geöffnet.

2. Wählen Sie für Speicherort die Option Lokaler Computer.

   

3. Geben Sie bei Bedarf das Kennwort ein.

   

4. Wählen Sie den Zertifikatspeicher aus. Wählen Sie für Serverzertifikate Persönlich. Wenn es sich um ein Stammzertifikat oder ein selbstsigniertes Zertifikat handelt, dem Sie von diesem Computer aus vertrauen möchten, wählen Sie Vertrauenswürdige Stammzertifizierungsstellen.

   

Verwenden Sie die Konsole „Computerzertifikate verwalten“

1. Öffnen Sie die Konsole „Computerzertifikate verwalten“ und navigieren Sie zum entsprechenden Zertifikatspeicher. Für Serverzertifikate ist dies normalerweise Persönlich > Zertifikate. Um einem Stamm- oder selbstsignierten Zertifikat zu vertrauen, wählen Sie Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate.

2. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie > Alle Aufgaben > Importieren….

   

3. Wählen Sie Durchsuchen… und wählen Sie die Datei aus.

4. Geben Sie bei Bedarf das Kennwort ein.

PowerShell verwenden

Um ein Zertifikat zu importieren, verwenden Sie das PowerShell-Cmdlet Import-PfxCertificate. Um beispielsweise das Zertifikat certificate.pfx mit dem Kennwort 123456 in den persönlichen Zertifikatspeicher zu importieren, führen Sie den folgenden Befehl aus:

Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

Um ein vertrauenswürdiges Stammzertifikat zu importieren, setzen Sie CertStoreLocation auf Cert:\LocalMachine\Root\.

Zertifikat ohne privaten Schlüssel exportieren

Um ein Zertifikat zu exportieren, damit Sie es in andere Geräte importieren können, um dem Zertifikat zu vertrauen, sollten Sie den privaten Schlüssel ausschließen.

1. Öffnen Sie die Computerzertifikate verwalten. Navigieren Sie zu Persönlich > Zertifikate und wählen Sie das Zertifikat aus, das Sie exportieren möchten.

2. Wählen Sie im Menü Aktion die Option Alle Aufgaben und dann Exportieren.

   

3. Wählen Sie Nein, den privaten Schlüssel nicht exportieren, und klicken Sie dann auf Weiter.

   

4. Wählen Sie das Format DER-codiert binär X.509 (.CER) (Standard) und klicken Sie auf Weiter.

5. Geben Sie einen Dateinamen ein und klicken Sie auf Weiter.

   

6. Wählen Sie Fertig stellen.

   

Zertifikat mit privatem Schlüssel exportieren

Um ein Zertifikat zu exportieren, damit Sie es auf anderen Servern verwenden können, müssen Sie den privaten Schlüssel einschließen.

1. Öffnen Sie die Computerzertifikatsverwaltung. Navigieren Sie zu Persönlich > Zertifikate und wählen Sie das Zertifikat aus, das Sie exportieren möchten.

2. Wählen Sie im Menü Aktion die Option Alle Aufgaben und dann Exportieren.

   

3. Wählen Sie Ja, den privaten Schlüssel exportieren und dann Weiter.

   

4. Geben Sie auf der Registerkarte Sicherheit ein Kennwort ein und wählen Sie dann Weiter.

   

5. Geben Sie einen Dateinamen ein und wählen Sie Weiter.

   

6. Wählen Sie Fertig stellen.

   

Zertifikat in PEM-Format konvertieren

Standardmäßig exportiert Windows Zertifikate im PKCS#12-Format als .pfx-Datei, die den privaten Schlüssel enthält. Um das Zertifikat auf einem NetScaler® Gateway oder Lizenzserver zu verwenden, müssen Sie das Zertifikat und die privaten Schlüssel in separate Dateien im PEM-Format extrahieren. Dies können Sie mit openssl tun.

Um das Zertifikat im PEM-Format zu exportieren, führen Sie Folgendes aus:

openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

Sie werden nach dem vorhandenen Kennwort und einer neuen Passphrase gefragt.

Um den Schlüssel im PEM-Format zu exportieren, führen Sie Folgendes aus:

openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

Zertifikaten vertrauen

• Wenn Sie ein Zertifikat von einer öffentlichen Zertifizierungsstelle verwenden, sind Geräte normalerweise mit den Stammzertifikaten vorkonfiguriert.
• Wenn Sie eine Unternehmenszertifizierungsstelle verwenden, müssen Sie das Stammzertifikat auf allen Geräten bereitstellen, die diesem Zertifikat vertrauen müssen. Bei Verwendung von Active Directory-Zertifizierungsdiensten werden die Stammzertifikate auch auf allen Computern in der Domäne mithilfe der Gruppenrichtlinie bereitgestellt. Sie müssen das Stammzertifikat manuell auf nicht in die Domäne eingebundenen Computern, wie Ihren NetScaler Gateways oder Computern in anderen Domänen, importieren.
• Wenn Sie ein selbstsigniertes Zertifikat verwenden, muss dieses manuell auf jedem Computer installiert werden, der dem Zertifikat vertrauen muss.

Um ein selbstsigniertes oder vertrauenswürdiges Stammzertifikat aus Windows zu exportieren, siehe Zertifikat ohne privaten Schlüssel exportieren.

Damit Windows dem Zertifikat vertraut, müssen Sie das Zertifikat importieren in den Speicher Vertrauenswürdige Stammzertifizierungsstellen. Bei Verwendung von PowerShell geben Sie den Speicher Cert:\LocalMachine\Root\ ein.

Damit NetScaler dem Zertifikat vertraut, müssen Sie zuerst das Zertifikat in das PEM-Format konvertieren, dann das Stammzertifikat installieren.