Autor: Claus Greck [MVP], MCSEboard.de

Neben dem VPN-Client und dem VPN-Server benötigt man noch eine Zertifizierungsstelle, welche die Zertifikate für VPN-Server und VPN-Client ausstellt. Diese wird in diesem Tutorial auf einem separaten Windows Server 2003 eingerichtet, man könnte sie bei Bedarf natürlich aber auch auf dem VPN-Server selber einrichten. Es wird hier eine Eigenständige Stammzertifizierungsstelle auf einem Stand Alone Server eingerichtet, man könnte genauso gut eine Stammzertifizierungsstelle des Unternehmens einrichten. 

Wichtiger Hinweis: Das in diesem Tutorial vorgestellte Vorgehen der Einrichtung einer Zertifizierungsstelle entspricht nicht einer professionellen PKI-Lösung, sondern dient nur als Mittel zum Zweck für den Hausgebrauch.

Falls man für die Zertifikatsanforderung vom Client aus einen Browser benutzen möchte, was die Sache deutlich vereinfacht, müssen zuvor auf dem Windows Server 2003 die Internetinformationsdienste (IIS) installiert werden. Bei der Auswahl ist darauf zu achten, dass man auch die Active Server Pages (ASP, nicht  ASP.NET) mit installiert. 

Auf dem Server, der als Zertifizierungsstelle dienen soll, muss zuerst die Zertifizierungsstellensoftware installiert werden. Unter  Start->Systemsteuerung->Software wählt man links den Punkt Windows Komponenten hinzufügen/entfernen aus und wählt dann den Punkt Zertifizierungsstelle. Den Hinweis darauf, dass der Computer nach der Einrichtung weder umbenannt werden, noch die Domänenmitgliedschaft geändert werden kann, bestätigen.

Als Schlüsselstärke für den öffentlichen Schlüssel wurde 2048 Bit gewählt, man könnte auch einen schwächeren oder stärkeren Schlüssel benutzen, mit zunehmender Schlüsselstärke steigt die Sicherheit, aber auch der Rechenaufwand für den Prozessor. Der Schlüssel sollte jedoch nicht weniger als 1024 Bit Länge haben.

Es muss nun der Name der Zertifizierungsstelle eingegeben werden, so wie er nachher auf dem Zertifikat erscheint. Technisch spielt er jedoch keine Rolle, er muss auch nicht auf den Computernamen lauten.

Es folgen die Auswahl für die Pfade von Datenbank und Log-Dateien, und der Hinweis, dass die Internetinformationsdienste neu gestartet werden müssen. Es werden dann Dateien von der Windows Server 2003 CD benötigt.