CA Operations Manager Pro

ISW CA Operations Manager Pro 2.0: Zertifikate domänenweit von einer einzigen Admin-Workstation

Zertifikate
IT-Service Walter · Windows-PKI

ISW CA Operations Manager Pro 2.0: Zertifikate domänenweit von einer einzigen Admin-Workstation indivuell verteilen.

Die Windows-Zertifizierungsstelle per WinRM fernverwalten – jetzt inklusive Remote-Enrollment, ganz ohne RDP auf den Zielservern.

Eine Windows-Zertifizierungsstelle (AD CS) ist ein Tier-0-System – so kritisch wie ein Domänencontroller. Jede interaktive RDP-Anmeldung darauf vergrößert die Angriffsfläche und hinterlässt Anmeldedaten im Speicher des Servers. Der ISW CA Operations Manager pro verwaltet Ihre CA deshalb komplett per WinRM vom Admin-Arbeitsplatz aus: ausstellen, genehmigen, zurückrufen, sperren, berichten – ohne sich jemals am Server anzumelden.

Mit Version 2.0 kommt die größte Neuerung hinzu: das domänenweite Anfordern und Ausstellen von Zertifikaten – gesteuert von genau einer Workstation.

Das Highlight: Zertifikatsanforderung domänenweit – ein Arbeitsplatz für alle Server

Sie fordern ein Zertifikat im Namen eines beliebigen Servers in Ihrer Domäne an, ohne sich dort jemals anzumelden. Der private Schlüssel wird direkt auf dem Zielserver erzeugt und verlässt ihn nie – über die Leitung wandern ausschließlich die Signieranforderung (CSR) und das fertige Zertifikat. Kein RDP, kein Kopieren von PFX-Dateien, kein Schlüssel-Export übers Netz. Den kompletten Ablauf erledigt das Tool automatisch – von einem einzigen, abgesicherten Arbeitsplatz.

Neu in Version 2.0

Remote-Enrollment
Individuelle Zertifikate im Namen eines Zielservers anfordern und ausstellen mit SAN – per WinRM, ohne Anmeldung am Server.
Schlüssel bleibt am Server
Der private Schlüssel entsteht auf dem Zielserver und verlässt ihn nicht. Nur CSR und Zertifikat werden übertragen.
Optional exportierbar
Auf Wunsch wird der Schlüssel bei der Erzeugung als exportierbar markiert – sonst bleibt er fest an den Host gebunden.
Automatische Freigabe
Genehmigungspflichtige Anträge werden auf Wunsch sofort freigegeben und das Zertifikat zurückgespielt.
Verbindungstest
Der WinRM-Zugang zum Zielserver lässt sich vor jeder Anforderung mit einem Klick prüfen.
Bericht je Anforderung
Jede Anforderung erzeugt einen revisionssicheren Aktions-Bericht (HTML/PDF) – optional direkt per Mail, auch an den Anforderer.

So läuft eine Anforderung ab

Fünf Schritte, vollautomatisch – Sie füllen nur den Dialog aus:

  1. Schlüssel & CSR erzeugen auf dem Zielserver – der private Schlüssel bleibt dort im Maschinen-Store.
  2. Einreichen der Anforderung lokal auf der CA – das Tool ermittelt die RequestID.
  3. Freigeben (optional) – verlangt die Vorlage eine Genehmigung, wird sie auf Wunsch automatisch erteilt.
  4. Abholen des ausgestellten Zertifikats von der CA.
  5. Importieren auf dem Zielserver – das Zertifikat wird an den dort liegenden privaten Schlüssel gebunden.

Clever gelöst: Die Zertifikatvorlage wird erst beim Einreichen auf der CA gesetzt – so muss der Zielserver beim Erzeugen kein Active Directory kontaktieren. Das vermeidet den gefürchteten WinRM-Double-Hop und funktioniert auch ohne Kerberos-Delegation.

Ihre Vorteile auf einen Blick

Kein RDP auf Tier-0-Systeme – kleinere Angriffsfläche, weniger Gelegenheit für Credential-Diebstahl.

Eine Workstation für die gesamte Domäne – alle Server zentral bedienen, statt sich an jedem einzeln anzumelden.

Der private Schlüssel verlässt den Zielserver nie – keine PFX-Dateien auf USB-Sticks oder im Mail-Postfach.

Least-Privilege – es genügt die CA-Rolle „Zertifikate ausstellen und verwalten“ plus WinRM-Zugriff.

Massive Zeitersparnis – keine certreq-Syntax, keine Seriennummern, keine Handarbeit beim Schlüssel-Handling.

Revisionssicher – SHA-256-Audit-Kette und automatische Berichte (PDF/XLSX) für ISO 27001, BSI IT-Grundschutz und DSGVO.

Und der Rest? Bleibt natürlich an Bord

Neben dem neuen Remote-Enrollment deckt der CA Operations Manager den gesamten Zertifikats-Lebenszyklus ab: Anforderungen genehmigen & exportieren (PEM/DER), Zertifikate zurückrufen mit Grund und Kommentar, Hold setzen & aufheben, Anträge löschen, CRL veröffentlichen samt Status-Anzeige, Multi-CA-Profile für mehrere Mandanten, Smart-Filter für große Bestände, geplante Berichte per Aufgabenplanung sowie AES-256 für alle sensiblen Daten.

Fazit: Version 2.0 macht den ISW CA Operations Manager zum zentralen PKI-Cockpit. Vom Anfordern über das Genehmigen bis zum Zurückrufen läuft die komplette Zertifikatsverwaltung von einem einzigen, abgesicherten Arbeitsplatz – domänenweit, revisionssicher und ohne einen einzigen RDP-Login auf einem Tier-0-Server. Ideal für MSPs mit vielen Mandanten und für jede Unternehmens-PKI, die interaktive Server-Zugriffe konsequent minimieren will.

Standortlizenz einmalig 499,00 € inkl. 19 % MwSt.

Mehr Infos & Download: isw-adtools.de  ·  Fachblog: der-windows-papst.de

© 2026 IT-Service Walter, Euskirchen · Microsoft, Windows und Active Directory sind Marken der Microsoft Corporation.