+ +

+ + + + + + +

+ + + + +

+ + + + + +

ADCS Active Directory Certificate Services

von Ulrich B. Boddenberg

+ +

+ + + + +

Wissen

Praxis-Artikel rund um Microsoft ADCS – alle frei verfügbar. Architektur, Härtung, ESC-Angriffsvektoren, Auto-Enrollment, HSM, Migration und Post-Quantum.

Zu den Inhalten

+ + + + +

Beratung

Beratung, Projektbegleitung, Quick Health Check deiner ADCS-Umgebung. CA-Hierarchie-Redesign, BSI-/NIS2-Härtung, HSM-Integration, Migration und Algorithmenwechsel.

Zur Beratung

+ + + + +

Fachbücher

Mein Fachbuch zu PKI und Zertifikaten in modernen Microsoft-Umgebungen – ADCS-Architektur, Härtung, Templates, S/MIME, TLS, Codesigning und 47-Tage-Migration. Kompromisslos praxisnah. In Vorbereitung!

Zu den Büchern

+ + + + +

Tools

CertBinder erneuert TLS-Zertifikate atomar über IIS, Exchange, SharePoint, ADFS, SQL Server, RDS und LDAPS hinweg. SMimeManager rollt S/MIME-Zertifikate für Exchange Online/Server sauber aus. Beide on-premises, einmalige Lizenz.

Tools ansehen

+ + + + +

Schulungen

Online-Workshops zu ADCS, Härtung, ESC-Angriffsvektoren, Templates, Migration und Post-Quantum – kompakt, hands-on, ohne MOC-Folienschlacht.

Zu den Schulungen

+ + + + +

+ + + + + + +

+ +

Table of Contents

+ +

+ + + + + + +

+ +

Table of Contents

+ +

+ + + + +

+ + + + + + +

+ + + + +

+ +

Active Directory Certificate Services – der komplette Leitfaden

+ 15 Praxisfragen, 8 Skizzen, fünf Zukunftsthemen. Von Architektur über Härtung bis Post-Quantum. +

+ +

+ + +

+ + + + + + + + + +

+ + + + + + +

+ + + + +

Active Directory Certificate Services (ADCS) – der komplette Leitfaden

Kurzfassung vorab: Active Directory Certificate Services ist die in Windows Server integrierte Zertifizierungsstellen-Infrastruktur (CA). Mit ADCS baust du deine eigene PKI – für Computer-Zertifikate, S/MIME, TLS, Smartcard-Logon, 802.1X, VPN, Codesigning und alles, was sonst noch ein digitales Zertifikat braucht. Klingt erst mal langweilig nach „Boardmittel“, ist in Wahrheit aber eines der sensibelsten Systeme im ganzen Active Directory: Wer die Issuing CA übernimmt, übernimmt häufig die komplette Domäne gleich mit.

Diese Seite ist der zentrale Einstieg in alle ADCS-Themen auf boddenberg.de. Erst die zehn häufigsten Praxisfragen, dann fünf Zukunftsthemen, die in jeden ADCS-Plan gehören. Jede Frage beantworten wir hier kompakt – wer tiefer einsteigen will, folgt dem Link in den passenden Detailartikel (Spoke). Wenn du gerade einen Health-Check, ein Redesign oder eine Migration planst: Am Ende dieser Seite steht, wie du das in einem klar getakteten Paket abbilden kannst.

Die Referenzarchitektur auf einen Blick

Bevor wir in die Fragen einsteigen, das große Bild. Eine saubere ADCS-Umgebung im Mittelstand sieht in 80 Prozent der Fälle so aus: eine Offline Root CA (Tier 0), eine oder mehrere Issuing CAs (Tier 1), dahinter die Veröffentlichungs-Infrastruktur für CRL, OCSP und Auto-Enrollment (Tier 2). Wer es kleiner braucht, kann auch einstufig fahren – wer Codesigning, S/MIME oder eine dedizierte Smartcard-CA separat halten will, geht eher Richtung dreistufig.

Abb. 1: Zweistufige ADCS-Referenzarchitektur mit HSM, Policy-Layer und getrennter Veröffentlichungsschicht.

Die zehn häufigsten Fragen zu ADCS

Reihenfolge ist Absicht: erst das „Was und Warum“, dann das „Wie und Womit“, am Schluss „Was tun, wenn es brennt“. Jede Antwort steht für sich – wer nur die schnelle Auskunft braucht, hat sie nach drei Sätzen.

1. Was ist Active Directory Certificate Services (ADCS) genau?

ADCS ist die in Windows Server integrierte Rolle zum Aufbau einer eigenen Public-Key-Infrastruktur. Du kannst damit eine eigene Zertifizierungsstelle (Certificate Authority, CA) betreiben, Zertifikatsvorlagen (Templates) verwalten, Zertifikate automatisch ausrollen und sie über CRL und OCSP für gültig oder ungültig erklären. Im Gegensatz zu einer öffentlichen CA wie DigiCert oder Sectigo gilt deine ADCS-CA nur innerhalb deines Vertrauensraums – aber da dafür unbegrenzt und kostenlos.

+ + + + + + +

Spoke-Link

Tiefenartikel: „ADCS vs. öffentliche CAs – wann welche Lösung sinnvoll ist“

Tiefenartikel: „Aufbau einer ADCS-Umgebung von Grund auf“

2. Wann brauche ich eine eigene PKI, wann reicht eine externe CA?

Eigene PKI lohnt sich, sobald du Computer-Zertifikate, S/MIME, Smartcard-Logon, 802.1X, VPN-Zertifikate oder NDES/SCEP für Intune brauchst – also alles, wo Zertifikate skalieren müssen. Für TLS auf einer Handvoll Websites reicht Let’s Encrypt oder eine kommerzielle CA. Die Faustregel: Sobald du regelmäßig mehr als 100 Zertifikate ausstellst oder geräte- bzw. nutzergebundene Authentifizierung brauchst, ist ADCS deutlich günstiger und flexibler.

+ + + + + + +

Spoke-Link

Tiefenartikel: „Wirtschaftlichkeit einer eigenen PKI – Kosten, Aufwand, Break-Even“

3. Wie viele CA-Stufen sind sinnvoll – ein-, zwei- oder dreistufig?

Einstufig (nur Issuing CA) ist die Express-Variante: schnell aufgebaut, kompromittierte CA aber auch nur über kompletten Neuaufbau zu retten. Zweistufig (Offline Root + Issuing CA) ist der Mittelstands-Standard und das, was ich in den meisten Projekten umsetze. Dreistufig (Root + Policy CA + Issuing CA) lohnt sich für Konzerne, regulierte Branchen oder wenn du mehrere getrennte Vertrauensdomänen (z. B. intern vs. Partner) sauber abbilden willst.

Abb. 2: CA-Hierarchien im Vergleich – Aufwand, Risiko und Audit-Tauglichkeit der drei Varianten.

+ + + + + + + + + +

Tipp aus der Praxis

Wer einstufig startet, weil „wir sind ja nur klein“, baut zuverlässig nach drei Jahren neu auf – meistens unfreiwillig nach einem Audit. Die Mehrkosten für eine zweistufige Variante sind im Verhältnis zur späteren Migration lächerlich.

Spoke-Link

Tiefenartikel: „ADCS-Architekturen im Vergleich – ein-, zwei- und dreistufig“

4. Was ist eine Offline Root CA und warum offline?

Die Offline Root CA ist die oberste Vertrauensinstanz deiner PKI. Sie signiert ausschließlich die Zertifikate der untergeordneten Issuing CAs – sonst nichts. „Offline“ heißt: Die Maschine ist nicht in der Domäne, nicht im Netz, idealerweise als verschlüsselte VM auf einem Host, der nur für CA-Operationen kurz hochgefahren wird. Grund: Wer die Root übernimmt, übernimmt die komplette PKI – samt allem, was darauf vertraut.

+ + + + + + +

Spoke-Link

Tiefenartikel: „Offline Root CA korrekt aufsetzen – Schritt für Schritt“

Tiefenartikel: „CRL-Veröffentlichung der Offline Root – der elegante Weg ohne Netzwerkanbindung“

5. Welche Schlüssellängen und Algorithmen sind 2026 zeitgemäß?

Aktueller Stand: RSA 4096 für Root- und Issuing-CAs, RSA 2048 oder besser 3072 für Endentitäten, Signatur SHA-256 (mindestens) oder SHA-384. ECC mit P-256 / P-384 ist erlaubt und bei Smartcards oft schon Pflicht. SHA-1 ist seit Jahren tot, RSA 1024 ebenso – wer das noch im Bestand hat, hat ein Migrationsthema, kein Diskussionsthema. Post-Quantum-Algorithmen (ML-DSA, ML-KEM) sind bereits standardisiert, aber für ADCS noch nicht produktiv nutzbar; trotzdem solltest du heute schon kryptoagil planen.

Abb. 3: Algorithmen-Roadmap für ADCS – was tot ist, was Standard ist, was kommt.

+ + + + + + +

Spoke-Link

Tiefenartikel: „Algorithmenwechsel in ADCS – RSA, ECC und der Weg zur Post-Quantum-Readiness“

6. Brauche ich ein HSM für meine Root- und Issuing-CAs?

Kurz: Für die Root CA ja – zumindest sobald du in einem regulierten Umfeld arbeitest (NIS2, BSI IT-Grundschutz, eIDAS, KRITIS). Für Issuing CAs hängt es vom Schutzbedarf ab. Ein YubiHSM 2 kostet im niedrigen vierstelligen Bereich und reicht für viele Mittelstandsszenarien; Thales- oder Utimaco-HSMs sind das, was du in Konzernen siehst. Software-CSPs gehen technisch auch, aber sobald jemand Audit-Fragen stellt, willst du das HSM-Häkchen setzen können.

Abb. 4: HSM-Klassen für ADCS – Positionierung nach Schutzbedarf und Anschaffungskosten.

+ + + + + + +

Spoke-Link

Tiefenartikel: „HSM-Auswahl für ADCS – Thales, Utimaco, YubiHSM im Vergleich“

Tiefenartikel: „Migration einer Software-CA auf HSM-Betrieb“

7. Was sind die größten Sicherheitslücken in ADCS (ESC1–ESC15)?

Die ESC-Reihe (Enterprise Security Configurations) beschreibt typische Fehlkonfigurationen, die eine ADCS-Umgebung zur Übernahme des gesamten AD führen können. ESC1 (Vulnerable Certificate Templates) und ESC8 (Webenrollment ohne HTTPS) sind die häufigsten Treffer in echten Audits, ESC6 (EDITF_ATTRIBUTESUBJECTALTNAME2) der Klassiker mit dem höchsten „Wie konnte das so lange unentdeckt bleiben“-Faktor. Tools wie Certify, Certipy und PSPKIAudit decken die meisten Pfade in wenigen Minuten auf – und genau deshalb sollten sie auch in deiner Hand sein, bevor sie in fremder sind.

+ + + + + + + + + +

Warnung

Wer eine Audit-Phase ohne ESC-Check abschließt, hat keinen Audit, sondern eine Beruhigungstablette. Plane für die Erstanalyse einen halben bis ganzen Tag ein – pro Issuing CA.

Spoke-Link

Tiefenartikel: „ESC1 bis ESC15 erklärt – mit Erkennung und Gegenmaßnahmen“

Tiefenartikel: „ADCS-Härtung nach BSI IT-Grundschutz“

Tiefenartikel: „TameMyCerts als Policy-Modul – wann sinnvoll, wann übertrieben“

8. Wie funktioniert Auto-Enrollment richtig?

Auto-Enrollment ist die Funktion, mit der Computer und Nutzer automatisch Zertifikate aus ADCS bekommen – ohne dass jemand klickt. Eingeschaltet wird das per Group Policy (Computer- und User-Configuration), die Steuerung läuft über Zertifikatsvorlagen mit gesetztem „Autoenroll“-Recht für die passende Gruppe. Die häufigsten Stolperfallen: falsch gesetzte Berechtigungen auf der Template, vergessene Veröffentlichung der Template auf der Issuing CA, Cache-Probleme nach Template-Änderungen (gpupdate /force und certutil -pulse helfen).

Abb. 5: Auto-Enrollment-Ablauf zwischen Client, Domain Controller, Template Store und Issuing CA.

+ + + + + + +

Spoke-Link

Tiefenartikel: „Auto-Enrollment konfigurieren – Templates, GPO, Troubleshooting“

Tiefenartikel: „Zertifikatsvorlagen v2 vs. v3 vs. v4 – wann was?“

9. Was kostet eine ADCS-Implementierung in der Praxis?

Reine Microsoft-Lizenz: null Euro extra, wenn Windows Server bereits vorhanden ist (ADCS ist eine Server-Rolle, keine eigene SKU). Hardware: zwei bis drei VMs, dazu optional ein HSM (etwa 2.000 – 25.000 Euro je nach Modell). Dienstleistung: Ein zweistufiges Standardszenario für den Mittelstand setze ich in 10 bis 15 Personentagen auf – inkl. Härtung, Templates, Auto-Enrollment, Dokumentation und Übergabe. Ein 2-Tage-Health-Check einer bestehenden Umgebung gibt dir Klarheit, was du wirklich brauchst, bevor du in größere Pakete investierst.

+ + + + + + +

Spoke-Link

Leistungsseite: „ADCS Health-Check – 2 Tage, Festpreis“

Leistungsseite: „ADCS-Redesign für Konzerne und Behörden“

10. Wie migriere ich eine bestehende ADCS-Umgebung sauber?

Drei Hauptszenarien: Inplace-Upgrade des CA-Servers (Windows 2012/2016 → 2022/2025) ist möglich, aber riskant. Side-by-Side-Migration auf neuen Host mit Übernahme der CA-Datenbank und der Schlüssel ist der saubere Weg und das, was ich in Projekten standardmäßig empfehle. Komplette Neu-PKI mit paralleler Ausstellung und gestaffeltem Cut-Over ist die aufwendigste, aber sicherste Variante – sinnvoll, wenn die Altumgebung historisch gewachsen oder kompromittiert ist.

Abb. 6: ADCS-Migrationsszenarien im Vergleich – Inplace, Side-by-Side und Neu-PKI.

+ + + + + + +

Spoke-Link

Tiefenartikel: „ADCS-Migration Schritt für Schritt – inkl. CA-Backup und Wiederherstellung“

Tiefenartikel: „Algorithmenwechsel und Hash-Migration ohne Reissuance“

Fünf Zukunftsthemen, die in jeden ADCS-Plan gehören

Bisher ging es um die ADCS-Welt, wie sie heute aussieht. Genauso wichtig ist die Frage, wie sie in zwei, fünf, zehn Jahren aussieht – und welche Entscheidungen du jetzt treffen musst, damit du in fünf Jahren nicht panisch migrierst. Fünf Themen kommen praktisch zeitgleich auf jede On-Prem-PKI zu: Cloud-PKI, Post-Quantum, 47-Tage-TLS mit ACME-Pflicht, eIDAS 2.0 mit EUDI Wallet und Crypto-Agility. Die folgende Zeitachse zeigt, wie sich Regulatorik, Algorithmen und Validity-Perioden parallel entwickeln – und warum „wir machen das später“ keine echte Option mehr ist.

Abb. 7: Krypto-Migrations-Zeitachse 2024–2030+ – Regulatorik, Algorithmen und Validity laufen parallel.

11. Cloud-PKI oder On-Prem ADCS – was läuft in fünf Jahren?

Cloud-PKI-Angebote gibt es inzwischen reichlich: Azure Key Vault Managed HSM und Microsoft Cloud PKI, AWS Private CA, GCP Certificate Authority Service, dazu Anbieter wie Keyfactor, Sectigo, GlobalSign oder DigiCert mit verwalteten Lösungen. Vorteile: keine HSM-Beschaffung, native ACME-Unterstützung, automatische Skalierung, Hochverfügbarkeit ohne eigenes Lab. Nachteile: Datenhoheit, Vendor-Lock-in, laufende Kosten, in regulierten Branchen oft schwierig zu zertifizieren. Meine Erfahrung: Vollständige Cloud-PKI-Migrationen sind die Ausnahme. Standardmodell wird der Hybrid – On-Prem-Issuing für Computer-/User-Zertifikate und Smartcards, Cloud-Service für ACME-getriebene TLS-Zertifikate und IoT-Massen-Enrollment.

+ + + + + + + + + +

Tipp aus der Praxis

Microsoft Cloud PKI (Teil von Intune Suite) ist die einfachste Antwort für reine Intune-Geräte-Zertifikate – aber kein vollwertiger ADCS-Ersatz. Wer denkt, damit den NDES-Server loszuwerden, hat recht; wer denkt, damit die gesamte interne PKI ablösen zu können, hat sich verrechnet.

Spoke-Link

Tiefenartikel: „Cloud-PKI vs. On-Prem ADCS – die ehrliche Entscheidungsmatrix“

Tiefenartikel: „Microsoft Cloud PKI in der Praxis – was es wirklich kann“

12. Wie steige ich in Post-Quantum-Kryptografie ein?

NIST hat im August 2024 die ersten Post-Quantum-Standards finalisiert: ML-DSA (FIPS 204) für digitale Signaturen – der für CAs relevante Algorithmus, ML-KEM (FIPS 203) für Schlüsselkapselung und SLH-DSA (FIPS 205) als hash-basierte Signatur. ADCS unterstützt aktuell nativ noch kein PQC; das wird sich in den kommenden Server-Releases ändern. Der pragmatische Einstieg läuft in drei Phasen: erstens Crypto-Agility schaffen (CBOM-Inventur, siehe Frage 15), zweitens ECC-Migration als Trockenübung für „den nächsten Algorithmenwechsel“ durchziehen, drittens Hybrid-Zertifikate in Pilotprojekten – also klassisch (RSA/ECC) plus PQC parallel signiert, damit beide Vertrauensanker funktionieren.

+ + + + + + + + + +

Warnung

„Harvest now, decrypt later“ ist kein Hollywood-Plot, sondern eine ernsthafte Bedrohung: Verschlüsselte Daten, die heute abgegriffen werden, lassen sich später entschlüsseln, sobald ausreichend leistungsfähige Quantencomputer verfügbar sind. Für langfristig schützenswerte Daten (Patente, Geheimnisse, Personalakten) ist das relevant – heute.

Spoke-Link

Tiefenartikel: „Post-Quantum-Kryptografie für ADCS – Roadmap und Pilotprojekt“

Tiefenartikel: „Hybrid-Zertifikate aufbauen – klassisch und PQC parallel“

13. 47-Tage-TLS und ACME-Pflicht – was bedeutet das für ADCS?

Das CA/B Forum hat im April 2025 beschlossen, dass öffentliche TLS-Zertifikate ab März 2029 maximal 47 Tage gültig sein dürfen – gestaffelt heruntergebrochen über 200 Tage (ab März 2026) und 100 Tage (ab März 2027). Manuelle Verwaltung wird damit faktisch unmöglich; ACME (RFC 8555, im Wesentlichen der Let’s-Encrypt-Mechanismus) wird zum Pflichtprogramm. Konsequenz für ADCS: Native ACME-Unterstützung fehlt bis heute. Wer für interne Dienste auch kürzere Laufzeiten haben möchte – und das wird sich ausbreiten – braucht entweder ein Add-on wie Secardeo certEP, eine Lösung wie Keyfactor / Smallstep, oder eine ACME-Bridge vor die ADCS-CA. Genau die Lücke, die mehrere LLMs aktuell als „native Schwäche von ADCS“ erkennen.

+ + + + + + +

Spoke-Link

Tiefenartikel: „ACME für ADCS – Add-ons und Bridge-Lösungen im Vergleich“

Tiefenartikel: „47-Tage-TLS in der Praxis – was muss bis 2029 umgesetzt sein?“

14. Was bedeuten eIDAS 2.0 und EUDI Wallet für meine ADCS-Umgebung?

Die eIDAS-2.0-Verordnung ist seit Mai 2024 in Kraft, die Implementing Acts sind durch, und ab Ende 2026 müssen die EU-Mitgliedstaaten EUDI Wallets produktiv anbieten. Für interne ADCS-Umgebungen heißt das: Du wirst zunehmend mit Identitäten konfrontiert, die nicht aus deinem AD kommen, sondern aus einer staatlichen Wallet – inklusive qualifizierter elektronischer Siegel und Signaturen. Qualifizierte Vertrauensdienste (TSP) bekommen neue Anforderungen, und Schnittstellen zwischen interner PKI und der Wallet-Welt müssen geplant werden. Das ist primär ein Strategiethema, kein „Heute-machen“-Thema; aber die Strategie sollte stehen, bevor der erste Kunde, Partner oder Mitarbeiter mit einer Wallet-Identität ankommt.

+ + + + + + +

Spoke-Link

Tiefenartikel: „eIDAS 2.0 für PKI-Verantwortliche – was sich ändert und was nicht“

Tiefenartikel: „EUDI Wallet und Unternehmens-PKI – Schnittstellen und Risiken“

15. Crypto-Agility und CBOM – wie inventarisiere ich meine Krypto?

Crypto-Agility ist die Fähigkeit, kryptografische Verfahren austauschen zu können, ohne die Anwendung neu zu schreiben. Voraussetzung dafür ist ein Inventar – die Cryptographic Bill of Materials (CBOM). CycloneDX hat seit Version 1.6 ein eigenes CBOM-Profil, das genau das abbildet: welches System nutzt welchen Algorithmus, welche Schlüssellänge, welches Zertifikat, mit welcher Ablaufzeit. Das BSI verlangt im Kontext von NIS2 zunehmend solche Nachweise, der EU Cyber Resilience Act treibt das Thema ab Dezember 2027 weiter. Praktisch: Eine CBOM-Inventur ist die Voraussetzung für jeden ernsthaften PQC-Migrationsplan – und nebenbei der schnellste Weg, technische Altlasten in der eigenen PKI sichtbar zu machen.

+ + + + + + + + + +

Tipp aus der Praxis

Wer noch keine CBOM hat, fängt nicht mit einem 50-seitigen Template an, sondern mit einer Excel-Tabelle: System, Zweck, Algorithmus, Schlüssellänge, Hash, Zertifikatsablauf, Eigentümer. Das deckt 80 Prozent ab. Die restlichen 20 Prozent kommen, wenn der erste Audit zeigt, welche Spalten noch fehlen.

Spoke-Link

Tiefenartikel: „Crypto-Agility in der Praxis – wie macht man eine PKI austauschbar?“

Tiefenartikel: „CBOM mit CycloneDX 1.6 – die ersten Schritte“

Die fünf Themen auf einen Blick – wo zuerst ansetzen?

Wer alle fünf Themen gleichzeitig angehen will, läuft gegen die Wand. Die Matrix zeigt, was wirklich dringend ist (oben rechts: hoher regulatorischer Druck plus technische Reife) und was strategisch geplant werden muss (oben links: Druck da, aber Reife noch nicht). Meine Empfehlung steht direkt in der Skizze – die Nummerierung ist die Umsetzungsreihenfolge.

Abb. 8: Priorisierungsmatrix der fünf Zukunftsthemen – die Reihenfolge ergibt sich aus Druck und Reife.

Die sechs Spoke-Cluster im Überblick

Die einzelnen Detailartikel sind in sechs inhaltliche Cluster gruppiert. Wer sich systematisch einarbeitet, fährt damit in der Reihenfolge ganz gut; wer ein konkretes Problem hat, springt direkt rein. Der Zukunft-Cluster ist bewusst am Schluss – die operative PKI muss zuerst stehen, bevor man strategisch planen kann.

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +

+ Cluster +	+ Worum es geht +	+ Artikel +
+ Architektur & Planung +	+ Hierarchien, Standalone vs. Enterprise, HSM-Integration, CA-Validity, Hochverfügbarkeit. +	+ 5 +
+ Härtung & Security +	+ BSI-Härtung, ESC1–ESC15, Policy-Modul TameMyCerts, Audit-Logging, Compliance-Mapping. +	+ 5 +
+ Betrieb & Automatisierung +	+ Auto-Enrollment, PowerShell-Verwaltung, Renewal-Strategien, Monitoring, CRL/OCSP. +	+ 5 +
+ Migration & Modernisierung +	+ Versions-Migrationen, Schlüsselübernahme, Algorithmenwechsel, Cloud-PKI vs. On-Prem. +	+ 5 +
+ Spezialthemen +	+ S/MIME für Exchange Online, atomare TLS-Erneuerung, Intune-NDES, Smartcards / WHfB, Codesigning. +	+ 5 +
+ Zukunft & Strategie +	+ Cloud-PKI, Post-Quantum, ACME / 47-Tage-TLS, eIDAS 2.0 / EUDI Wallet, Crypto-Agility / CBOM. +	+ 5 +

Wann lohnt sich externe Beratung – und wann reicht das „so“?

Ehrlich: Die Standard-Installation aus dem Microsoft-Wizard und ein bisschen Templates klickt jeder halbwegs erfahrene Admin in einem Nachmittag zusammen. Spannend wird ADCS in dem Moment, wo es um Härtung, Compliance, Migration oder Vorfallsanalyse geht. Genau dort macht externe Begleitung den Unterschied zwischen „läuft schon irgendwie“ und „würde auch einen BSI-Audit überstehen“.

ADCS-Härtung nach BSI / NIS2: typischer Aufwand 3–5 Tage, Festpreis
ADCS Health-Check (Bestandsaufnahme + Risikobewertung): 2 Tage, Festpreis
ADCS-Redesign / Migration (zweistufige Hierarchie, HSM-Integration, Templates, Auto-Enrollment, Dokumentation): 10–15 Tage
Managed PKI als laufende Begleitung: monatliche Pauschale

+ + + + + + +

Nächster Schritt

Schick mir eine kurze Mail mit deinem Szenario – Größe der Umgebung, vorhandene CA-Hierarchie, Auslöser (Audit, Migration, Vorfall). Du bekommst innerhalb eines Werktags eine Einschätzung, ob ein Health-Check, ein Redesign oder eine punktuelle Beratung am sinnvollsten ist.

Kontakt: ulrich@boddenberg.de · +49 231 222458-121 · boddenberg.de

+ + + + +

Beratung: Wann ich ins Spiel komme

Die meisten ADCS-Umgebungen, die ich sehe, sind nicht kaputt — sie sind nur über Jahre gewachsen, ohne dass jemand systematisch draufgeschaut hat. Eine einstufige CA, weil es 2014 schnell gehen musste. Templates mit zu großzügigen Berechtigungen, weil damals niemand von ESC-Angriffen sprach. SHA-1 da, RSA-1024 dort, irgendwo noch ein Webenrollment-Server mit HTTP. Niemand will das so, aber jeder hat es irgendwo.

Spannend wird’s in dem Moment, wo Audit, Migration, NIS2-Vorbereitung oder ein konkreter Sicherheitsvorfall die Umgebung plötzlich unter Stress setzen. Genau dort bin ich oft der Erste, den jemand anruft — weil ich seit fast drei Jahrzehnten Microsoft-Infrastrukturen baue, in über zwanzig Fachbüchern dokumentiere und in Projekten zwischen Mittelstand und Konzern unterwegs bin. Nicht als Generalist, der ADCS „auch noch macht“, sondern als jemand, der PKI als ein zentrales System versteht und entsprechend behandelt.

Mein Anspruch dabei ist nicht, möglichst viele Tage zu verkaufen, sondern dich möglichst schnell in einen Zustand zu bringen, in dem du nachts ruhig schlafen kannst. Das geht bei einem Mittelständler oft mit einem zweitägigen Health-Check; bei einem regulierten Konzern braucht es ein vollständiges Redesign mit HSM-Integration. Was bei dir sinnvoll ist, finden wir in einem kurzen Vorgespräch heraus — kostenfrei, ohne Vertriebskaskade.

→ Zur Consulting-Seite: Pakete, Ablauf, Festpreise

+ + + + +

Meine Tools, weil Standardlösungen oft nicht reichen

Wer regelmäßig ADCS-Umgebungen baut, kennt die Stellen, an denen Microsoft-Bordmittel an ihre Grenzen stoßen. Genau dort entstehen meine Tools — nicht als Marketing-Produkt, sondern aus Projekten, in denen mir gefehlt hat, was es eigentlich geben müsste. Drei sind aktuell rund um ADCS und PKI im Einsatz oder in Vorbereitung:

CertBinder löst eines der ärgerlichsten Probleme im PKI-Alltag: die atomare TLS-Zertifikatserneuerung über alle Microsoft-Dienste hinweg. Wer ein Wildcard- oder SAN-Zertifikat austauschen muss, klickt sonst durch IIS, Exchange, SharePoint, ADFS, SQL Server, RDS, LDAPS, WSUS und NPS — jeder Dienst hat seine eigene Bind-Logik, jeder Fehler kostet Ausfallzeit. CertBinder erledigt das in einem Schritt, mit klarem Rollback und Protokollierung. Einmalige Lizenz, on-premises, kein Vendor-Lock-in.

SMimeManager rollt S/MIME-Zertifikate für Microsoft 365 und Exchange Online sauber aus — ein Bereich, in dem Microsoft selbst bis heute keine vernünftige End-to-End-Lösung anbietet. Templates, Verteilung, Veröffentlichung im GAL, Lifecycle: alles in einem Werkzeug, ebenfalls als einmalige Lizenz.

PKI-Diagnostiker ist das nächste Tool aus der Diagnostiker-Familie — modular aufgebaut analog zum Entra Diagnostiker und ADFS Diagnostiker, mit Fokus auf ADCS-Bestandsaufnahme, ESC-Vektoren, Template-Analyse, CRL/OCSP-Health und HSM-Status. Aktuell in Entwicklung, geplante Veröffentlichung in den nächsten Monaten.

Alle Tools laufen lokal, sind DSGVO-konform und werden mit einmaliger Lizenz verkauft — kein Subscription-Modell, keine Cloud-Abhängigkeit. Die ausführlichen Produktseiten zeigen jeweils Funktionsumfang, Voraussetzungen und Preise.

→ Zur Tools-Übersicht

+ + + + +

Das Buch zum Thema – erscheint Sommer 2026

Im Sommer 2026 erscheint mein neues Fachbuch: „Zertifikate und PKI in modernen Microsoft-Umgebungen – on-premises, hybrid und Cloud.“ Rund 1.000 Seiten, 71 Kapitel in acht Teilen, im selben praxisnahen Ton wie diese Seite. Kein theoretischer Wälzer, sondern das Handbuch, das du beim Aufbau, der Härtung und der Modernisierung einer PKI tatsächlich neben dem Bildschirm liegen hast.

Die deutsche PKI-Literatur ist bislang fest in der Windows-CA-Welt verankert – als wäre die Cloud nie passiert. In der Praxis sieht jede Umgebung anders aus: ADCS on-premises, Microsoft Cloud PKI in Intune, S/MIME über Exchange Online, öffentliche Zertifikate von D-Trust oder GlobalSign, ACME-Automatisierung für TLS, dazu Machine Identities für Container und APIs. Genau diese hybride Realität deckt das Buch ab – inklusive der Themen, die spätestens 2029 jeden treffen: 47-Tage-TLS, Post-Quantum, EUDI Wallet, Crypto-Agility.

Zwei eigene Kapitel widmen sich CertBinder und SMimeManager – nicht als Werbung, sondern weil beide Werkzeuge aus echten Projekten entstanden sind und ihre Einsatzszenarien ins Buch gehören. Im Anhang warten sechs Checklisten für den Projektalltag, eine PowerShell-Referenz und ein Überblick über die wichtigsten CA-Anbieter im DACH-Raum. Wer eine Vorankündigung haben will, trägt sich auf der Buchseite ein.

→ Buchseite mit Inhaltsverzeichnis und Vorankündigung

+ + + + +

Schulungen und Workshops zum Thema

Wer ADCS und PKI nicht nur einmalig aufbauen lassen, sondern langfristig im eigenen Team verstehen will, kommt um eigene Schulung nicht herum. Aus genau diesem Bedarf sind meine Workshops entstanden: kompakt, hands-on, ohne MOC-Folienschlacht. Anders als bei klassischen Microsoft-Trainings geht es nicht darum, eine Zertifizierungsprüfung zu bestehen, sondern in deiner konkreten Umgebung sicher zu werden – mit Beispielen aus echten Projekten, mit Tooling, das du danach weiter nutzen kannst, und mit dem Hintergrundwissen, das in den offiziellen Kursunterlagen fehlt.

Die Themen reichen vom ADCS-Einstieg für Admins, die gerade die PKI-Verantwortung übernommen haben, über die BSI- und NIS2-Härtung mit Fokus auf ESC-Vektoren bis hin zu Spezialthemen wie Auto-Enrollment und Templates in der Praxis, HSM-Integration, Migration und Algorithmenwechsel, S/MIME-Rollouts für Microsoft 365 oder den Zukunftsthemen 47-Tage-TLS, ACME und Post-Quantum. Halbtages-Sessions für gezielte Schwerpunkte, Zweitages-Workshops für umfassende Einarbeitung, Inhouse-Termine für Teams oder offene Online-Schulungen für einzelne Teilnehmer – das Format richtet sich nach Bedarf, nicht nach Katalog.

Was alle Schulungen gemeinsam haben: kleine Gruppen, du-Anrede, viel Live-Demo, keine generischen Beispiele. Stattdessen die drei Musterunternehmen aus meinen Büchern – Musterwerk GmbH, Sparfuchs & Partner und Trendforge Digital – als durchgängige Fallstudien, an denen jeder Teilnehmer das Gelernte direkt anwendet. Wer hinterher noch Fragen hat, bekommt sie beantwortet – auch Wochen später, nicht nur bis zur Kaffeepause am Schulungstag.

→ Schulungsseite mit Themen, Terminen und Inhouse-Anfrage

+ + + + +

Fachartikel zu ADCS

Hier findest du eine wachsende Sammlung an Fachartikeln zu ADCS und PKI – aus Kundenprojekten, aus Trainings und aus den Stunden, in denen ich mich gefragt habe, warum eigentlich niemand das mal vernünftig aufschreibt. Alles frei verfügbar, ohne Login. Wenn dich etwas tiefer interessiert oder ein konkretes Problem brennt: Du weißt, wo du mich findest.

+ + + + +

+ + +

+ Microsoft Active Directory Certificate Services (ADCS) – Grundlagen, Architektur und Best Practices +

+ +

Sep. 27, 2025

Management Summary Microsoft Active Directory Certificate Services (ADCS) sind das Herzstück der unternehmensinternen Public-Key-Infrastruktur (PKI). Sie ermöglichen die Ausstellung und Verwaltung digitaler Zertifikate für eine Vielzahl geschäftskritischer...

+ + +

+ Microsoft ADCS Beratung – PKI-Optimierung direkt vom Experten +

+ +

Mai 27, 2025

Zu Power Automate biete ich eine eintägige Online-Schulung an, die regelmäßig durchgeführt wird. Hier finden Sie die Schulung zu Power Automate.Als anerkannter PKI-Spezialist und Autor von 20 Fachbüchern unterstütze ich Sie dabei, Ihre Active Directory Certificate...

+ +

+ + + + +

+ + +

+ +

+ + + + +

+ + +

+ + + + + + + + + +

+ + +

Name	+ + Borlabs Cookie +
Anbieter	Eigentümer dieser Website
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Akzeptieren	+ + + + + + + +
Name	+ + Facebook +
Anbieter	Facebook
Zweck	Wird verwendet, um Facebook-Inhalte zu entsperren.
Datenschutzerklärung	+ + https://www.facebook.com/privacy/explanation +
Host(s)	.facebook.com

Akzeptieren	+ + + + + + + +
Name	+ + Google Maps +
Anbieter	Google
Zweck	Wird zum Entsperren von Google Maps-Inhalten verwendet.
Datenschutzerklärung	+ + https://policies.google.com/privacy +
Host(s)	.google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate

Akzeptieren	+ + + + + + + +
Name	+ + Instagram +
Anbieter	Facebook
Zweck	Wird verwendet, um Instagram-Inhalte zu entsperren.
Datenschutzerklärung	+ + https://www.instagram.com/legal/privacy/ +
Host(s)	.instagram.com
Cookie Name	pigeon_state
Cookie Laufzeit	Sitzung

Akzeptieren	+ + + + + + + +
Name	+ + OpenStreetMap +
Anbieter	OpenStreetMap Foundation
Zweck	Wird verwendet, um OpenStreetMap-Inhalte zu entsperren.
Datenschutzerklärung	+ + https://wiki.osmfoundation.org/wiki/Privacy_Policy +
Host(s)	.openstreetmap.org
Cookie Name	_osm_location, _osm_session, _osm_totp_token, _osm_welcome, _pk_id., _pk_ref., _pk_ses., qos_token
Cookie Laufzeit	1-10 Jahre