Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurieren Sie Windows Server als Zertifizierungsstelle (CA) mit Client SDK 5
<a name="win-ca-overview-sdk5"></a>

In einer Public Key-Infrastruktur (PKI) ist eine Zertifizierungsstelle (CA) eine vertrauenswürdige Entität, die digitale Zertifikate ausstellt. Diese digitalen Zertifikate binden einen öffentlichen Schlüssel unter Verwendung von Kryptografie öffentlicher Schlüssel und von digitalen Signaturen an eine Identität (eine Person oder Organisation). Um eine CA zu betreiben, müssen Sie das Vertrauen aufrechterhalten, indem Sie den privaten Schlüssel schützen, der die von Ihrer CA ausgestellten Zertifikate signiert. Sie können den privaten Schlüssel im HSM in Ihrem AWS CloudHSM -Cluster speichern und das HSM zur Durchführung der kryptografischen Signiervorgänge verwenden.

In diesem Tutorial verwenden Sie Windows Server und AWS CloudHSM konfigurieren eine Zertifizierungsstelle. Nach der Installation der AWS CloudHSM -Client-Software für Windows auf Ihrem Windows Server fügen Sie Ihrem Windows Server die Active Directory-Zertifikatsdienste (AD CS)-Rolle hinzu. Wenn Sie diese Rolle konfigurieren, verwenden Sie einen AWS CloudHSM Key Storage Provider (KSP), um den privaten Schlüssel der CA zu erstellen und auf Ihrem AWS CloudHSM Cluster zu speichern. Der KSP ist die Brücke, die Ihren Windows-Server mit Ihrem Cluster verbindet. AWS CloudHSM Im letzten Schritt signieren Sie mit Ihrer Windows Server-CA eine Zertifikatssignierungsanforderung (Certificate Signing Request, CSR).

Weitere Informationen finden Sie unter den folgenden Themen:

**Topics**
+ [Schritt 1: Einrichten der Voraussetzungen](#win-ca-prerequisites-sdk5)
+ [Schritt 2: Erstellen Sie eine Windows Server-Zertifizierungsstelle mit AWS CloudHSM](#win-ca-setup-sdk5)
+ [Schritt 3: Signieren Sie eine Zertifikatssignieranforderung (CSR) mit Ihrer Windows Server-Zertifizierungsstelle mit AWS CloudHSM](#win-ca-sign-csr-sdk5)

## Schritt 1: Einrichten der Voraussetzungen
<a name="win-ca-prerequisites-sdk5"></a>

Um Windows Server als Zertifizierungsstelle (CA) mit einzurichten AWS CloudHSM, benötigen Sie Folgendes:
+ Ein aktiver AWS CloudHSM Cluster mit mindestens einem HSM.
+ Eine Amazon EC2 EC2-Instance, auf der ein Windows Server-Betriebssystem mit installierter AWS CloudHSM Client-Software für Windows ausgeführt wird. In diesem Tutorial wird Microsoft Windows Server 2016 verwendet.
+ Einen Crypto-Benutzer (CU), der den privaten Schlüssel der CA auf dem HSM besitzen und verwalten soll.

**Um die Voraussetzungen für eine Windows Server-CA einzurichten mit AWS CloudHSM**

1. Führen Sie die Schritte unter [Erste Schritte](getting-started.md) aus. Beim Starten der Amazon EC2-Clients wählen Sie ein Windows Server-AMI aus. In diesem Tutorial wird Microsoft Windows Server 2016 verwendet. Wenn Sie diese Schritte ausgeführt haben, verfügen Sie über einen aktiven Cluster mit mindestens einem HSM. Sie haben auch eine Amazon EC2 EC2-Client-Instance, auf der Windows Server ausgeführt wird und auf der die AWS CloudHSM Client-Software für Windows installiert ist.

1. (Optional) Fügen Sie Ihrem Cluster weitere HSMs hinzu. Weitere Informationen finden Sie unter [Hinzufügen eines HSM zu einem Cluster AWS CloudHSM](add-hsm.md).

1. Stellen Sie eine Verbindung mit Ihrer Client-Instance her. Weitere Informationen finden Sie unter [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) im *Amazon EC2 EC2-Benutzerhandbuch*.

1. Erstellen Sie einen Crypto-Benutzer (CU) mithilfe [von Managing HSM users with CloudHSM CLI oder Managing HSM](manage-hsm-users-chsm-cli.md) [users with CloudHSM](manage-hsm-users-cmu.md) Management Utility (CMU). Merken Sie sich den CU-Benutzernamen und das Passwort. Sie benötigen diese im nächsten Schritt.

1. [Legen Sie die Anmeldeinformationen für das HSM fest](ksp-library-authentication.md). Verwenden Sie hierfür den im vorherigen Schritt erstellten CU-Benutzernamen und das entsprechende Passwort.

1. *Wenn Sie in Schritt 5 den Windows Credentials Manager zum Einrichten von HSM-Anmeldeinformationen verwendet haben, laden Sie den folgenden Befehl als NT Authority\$1 [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)SYSTEM herunter, SysInternals um ihn auszuführen:*

   ```
   psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>
   ```

   Ersetzen Sie *<USERNAME>* und *<PASSWORD>* durch die HSM-Anmeldeinformationen.

Um eine Windows Server-Zertifizierungsstelle mit zu erstellen AWS CloudHSM, gehen Sie zu[Erstellen einer Windows Server-CA](#win-ca-setup-sdk5).

## Schritt 2: Erstellen Sie eine Windows Server-Zertifizierungsstelle mit AWS CloudHSM
<a name="win-ca-setup-sdk5"></a>

Um eine Windows Server-CA zu erstellen, fügen Sie Ihrem Windows Server die Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS)-Rolle hinzu. Wenn Sie diese Rolle hinzufügen, verwenden Sie einen AWS CloudHSM Schlüsselspeicheranbieter (KSP), um den privaten Schlüssel der Zertifizierungsstelle zu erstellen und auf Ihrem AWS CloudHSM Cluster zu speichern.

**Anmerkung**  
Wenn Sie Ihre Windows Server-CA erstellen, können Sie sich für das Erstellen einer Stamm-Zertifizierungsstelle oder einer untergeordneten Zertifizierungsstelle entscheiden. Sie treffen diese Entscheidung in der Regel basierend auf dem Entwurf Ihrer Public Key-Infrastruktur und der Sicherheitsrichtlinien Ihrer Organisation. In diesem Tutorial wird der Einfachheit halber erklärt, wie eine Stamm-CA erstellt wird.

**So fügen Sie Ihrem Windows Server die AD-CS-Rolle hinzu und erstellen den privaten Schlüssel der CA**

1. Stellen Sie eine Verbindung mit Ihrem Windows-Server her, sofern noch nicht geschehen. Weitere Informationen finden Sie unter [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) im *Amazon EC2 EC2-Benutzerhandbuch*.

1. Starten Sie auf Ihrem Windows-Server **Server Manager**.

1. Wählen Sie im Dashboard **Server-Manager** die Option **Rollen und Features hinzufügen**.

1. Lesen Sie die Informationen unter **Before you begin (Zur Vorbereitung)** und klicken Sie dann auf **Weiter**.

1. Wählen Sie unter **Installationsart** die **Rollenbasierte oder funktionsbasierte Installation**. Wählen Sie anschließend **Weiter**.

1. Wählen Sie unter **Serverauswahl** die Option **Einen Server aus dem Serverpool auswählen**. Klicken Sie anschließend auf **Weiter**.

1. Gehen Sie für **Serverrollen** wie folgt vor:

   1. Wählen Sie **Active Directory-Zertifikatdienste**.

   1. Wählen Sie für **Sollen für Active Directory-Zertifikatsdienste erforderliche Features hinzugefügt werden?** die Option **Features hinzufügen**.

   1. Klicken Sie auf **Weiter**, um das Auswählen von Serverrollen abzuschließen.

1. Übernehmen Sie für **Features** die Standardwerte und klicken Sie dann auf **Weiter**.

1. Verfahren Sie für **AD CS** wie folgt:

   1. Wählen Sie **Weiter** aus.

   1. Wählen Sie **Zertifizierungsstelle** und klicken Sie dann auf **Weiter**.

1. Lesen Sie unter **Bestätigung** die Informationen zur Bestätigung und klicken Sie dann auf **Installieren**. Schließen Sie das Fenster nicht.

1. Wählen Sie den hervorgehobenen Link **Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren**.

1. Prüfen oder ändern Sie die Anmeldeinformationen unter **Anmeldeinformationen**. Klicken Sie anschließend auf **Weiter**.

1. Wählen Sie für **Rollendienste** die Option **Zertifizierungsstelle**. Klicken Sie anschließend auf **Weiter**.

1. Wählen Sie für **Installationsart** die Option **Eigenständige Zertifizierungsstelle**. Klicken Sie anschließend auf **Weiter**.

1. Wählen Sie für **Zertifizierungsstellentyp** die Option **Stammzertifizierungsstelle**. Klicken Sie anschließend auf **Weiter**.
**Anmerkung**  
Sie können basierend auf dem Entwurf Ihrer Public Key-Infrastruktur und der Sicherheitsrichtlinien Ihrer Organisation entscheiden, ob eine Stammzertifizierungsstelle oder eine untergeordnete Zertifizierungsstelle erstellt werden soll. In diesem Tutorial wird der Einfachheit halber erklärt, wie eine Stamm-CA erstellt wird.

1. Wählen Sie für **Privater Schlüssel** die Option **Neuen privaten Schlüssel erstellen**. Klicken Sie anschließend auf **Weiter**.

1. Führen Sie für **Kryptografie** einen der folgenden Schritte aus:

   1. **Wählen Sie für Select a cryptographic provider** eine der **CloudHSM Key Storage Provider-Optionen** aus dem Menü aus. Dies sind die AWS CloudHSM -Schlüsselspeicher-Provider. Sie können beispielsweise **RSA \$1CloudHSM Key Storage Provider** wählen.

   1. Wählen Sie für **Schlüssellänge** eine der verfügbaren Schlüssellängen aus.

   1. Wählen Sie für **Select the hash algorithm für signing certificates issued by this CA (Wählen Sie den Hashalgorithmus zum Signieren von Zertifikaten aus, die von dieser Zertifizierungsstelle ausgestellt wurden)** einen der verfügbaren Hashalgorithmen aus.

   Wählen Sie **Weiter**.

1. Führen Sie für **Zertifizierungsstelle** einen der folgenden Schritte aus:

   1. (Optional) Bearbeiten Sie den allgemeinen Namen.

   1. (Optional) Geben Sie ein spezifisches Namenssuffix ein.

   Wählen Sie **Weiter**.

1. Geben Sie für **Gültigkeitsdauer** einen Zeitraum in Jahren, Monaten, Wochen oder Tagen ein. Klicken Sie anschließend auf **Weiter**.

1. Für **Zertifikatdatenbank**können Sie die Standardwerte übernehmen. Sie können optional den Speicherort für die Datenbank und das Datenbankprotokoll ändern. Klicken Sie anschließend auf **Weiter**.

1. Überprüfen Sie die Informationen zur Zertifizierungsstelle unter **Bestätigung**. Klicken Sie dann auf **Konfigurieren**.

1. Klicken Sie auf **Schließen** und dann erneut auf **Schließen**.

Sie haben jetzt eine Windows Server-Zertifizierungsstelle mit AWS CloudHSM. Weitere Informationen zum Signieren einer Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) mit Ihrer CA finden Sie unter [Signieren einer CSR](#win-ca-sign-csr-sdk5).

## Schritt 3: Signieren Sie eine Zertifikatssignieranforderung (CSR) mit Ihrer Windows Server-Zertifizierungsstelle mit AWS CloudHSM
<a name="win-ca-sign-csr-sdk5"></a>

Sie können Ihre Windows Server-Zertifizierungsstelle verwenden, AWS CloudHSM um eine Zertifikatssignieranforderung (CSR) zu signieren. Um diese Schritte ausführen zu können, benötigen Sie eine gültige CSR. Es gibt mehrere Möglichkeiten, eine CSR zu erstellen, einschließlich der Folgenden:
+ Verwenden von OpenSSL
+ Verwenden des Windows Server Internet Information Services (IIS) Manager
+ Verwenden des Zertifikate-Snap-In in der Microsoft Management Console
+ Verwenden des Befehlszeilendienstprogramms **certreq** unter Windows

Die Schritte zum Erstellen einer CSR werden in dieser Anleitung allerdings nicht behandelt. Wenn Sie über eine CSR verfügen, können Sie sie mit Ihrer Windows Server-Zertifizierungsstelle signieren.

**So signieren Sie eine CSR mit Ihrer Windows Server-CA**

1. Stellen Sie eine Verbindung mit Ihrem Windows-Server her, sofern noch nicht geschehen. Weitere Informationen finden Sie unter [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) im *Amazon EC2 EC2-Benutzerhandbuch*.

1. Starten Sie auf Ihrem Windows-Server **Server Manager**.

1. Klicken Sie rechts oben im Dashboard **Server-Manager** auf **Extras**, **Zertifizierungsstelle**.

1. Wählen Sie im Fenster **Zertifizierungsstelle** den Namen Ihres Computers aus.

1. Wählen Sie im Menü **Aktion** die Option **Alle Aufgaben**, **Neue Anforderung einreichen**.

1. Wählen Sie Ihre CSR-Datei aus und klicken Sie auf **Öffnen**.

1. Doppelklicken Sie im Fenster **Zertifizierungsstelle** auf **Ausstehende Anforderungen**.

1. Wählen Sie die ausstehende Anforderung aus. Wählen Sie dann im Menü **Aktion** die Option **Alle Aufgaben**, **Ausstellen**.

1. Doppelklicken Sie im Fenster **Zertifizierungsstelle** auf **Ausgestellte Anforderungen**, um das signierte Zertifikat anzuzeigen.

1. (Optional) Um das signierte Zertifikat in eine Datei zu exportieren, führen Sie die folgenden Schritte aus:

   1. Doppelklicken Sie im Fenster **Zertifizierungsstelle** auf das Zertifikat.

   1. Wählen Sie die Registerkarte **Details** und anschließend **In Datei kopieren**.

   1. Befolgen Sie die Anweisungen im **Zertifikatexport-Assistent**.

Sie haben jetzt eine Windows Server-Zertifizierungsstelle mit und ein gültiges Zertifikat AWS CloudHSM, das von der Windows Server-Zertifizierungsstelle signiert wurde.