PKI-Zertifikatanforderungen für Configuration ManagerPKI certificate requirements for Configuration Manager

Gilt für: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Die für Configuration Manager erforderlichen PKI-Zertifikate (Public Key-Infrastruktur) sind in den folgenden Tabellen aufgeführt.The public key infrastructure (PKI) certificates that you might require for Configuration Manager are listed in the following tables. Für diese Informationen wird ein grundlegendes Verständnis von PKI-Zertifikaten vorausgesetzt.This information assumes basic knowledge of PKI certificates. Weitere Informationen finden Sie unter Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle.For more information, see Step-by-step example deployment of the PKI certificates for Configuration Manager: Windows Server 2008 Certification Authority.

Weitere Informationen zu Active Directory-Zertifikatdiensten finden Sie in der folgenden Dokumentation:For more about Active Directory Certificate Services, see the following documentation:

Informationen zur Verwendung von CNG-Zertifikaten (Cryptography API: Next Generation) mit Configuration Manager finden Sie unter CNG-Zertifikate: Übersicht.For information about using Cryptography API: Next Generation (CNG) certificates with Configuration Manager, see CNG certificates overview.

Wichtig

Configuration Manager unterstützt SHA-2-Zertifikate (Secure Hash Algorithm 2).Configuration Manager supports Secure Hash Algorithm 2 (SHA-2) certificates. SHA-2-Zertifikate bringen einen entscheidenden Sicherheitsvorteil.SHA-2 certificates bring an important security advantage. Daher wird Folgendes empfohlen:Therefore, we recommend the following:

  • Stellen Sie neue Zertifikate für die Server- und Clientauthentifizierung aus, die mit SHA-2 signiert sind, welches unter anderem SHA-256 und SHA-512 umfasst.Issue new server and client authentication certificates that are signed with SHA-2, which includes SHA-256 and SHA-512, among others.
  • Alle Dienste mit Internetzugriff müssen ein SHA-2-Zertifikat verwenden.All internet-facing services should use a SHA-2 certificate. Wenn Sie beispielsweise ein öffentliches Zertifikat für die Verwendung mit einem Cloudverwaltungsgateway erwerben, sollten Sie sicherstellen, dass es sich dabei um ein SHA-2-Zertifikat handelt.For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate.

Ab dem 14. Februar 2017 werden bestimmte SHA-1-signierte Zertifikate von Windows nicht mehr als vertrauenswürdig eingestuft.Effective February 14, 2017, Windows no longer trusts certain certificates signed with SHA-1. Es wird allgemein empfohlen, neue Zertifikate für die Server- und Clientauthentifizierung auszustellen, die mit SHA-2 signiert sind (welches unter anderem SHA-256 und SHA-512 umfasst).In general, we recommend that you issue new server and client authentication certificates signed with SHA-2 (which includes SHA-256 and SHA-512, among others). Zudem empfehlen wir für alle Dienste mit Internetzugriff die Verwendung eines SHA-2-Zertifikats.Additionally, we recommend that any internet-facing services use a SHA-2 certificate. Wenn Sie beispielsweise ein öffentliches Zertifikat für die Verwendung mit einem Cloudverwaltungsgateway erwerben, sollten Sie sicherstellen, dass es sich dabei um ein SHA-2-Zertifikat handelt.For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate."

In den meisten Fällen wirkt sich die Änderung auf SHA-2-Zertifikate nicht auf Vorgänge aus.In most cases, the change to SHA-2 certificates has no impact on operations. Weitere Informationen hierzu finden Sie unter Windows Enforcement of SHA1 certificates (Erzwingung von SHA-1-Zertifikaten unter Windows).For more information, see Windows Enforcement of SHA1 certificates.

Mit den folgenden Ausnahmen können Sie eine beliebige PKI zum Erstellen, Bereitstellen und Verwalten dieser Zertifikate verwenden:You can use any PKI to create, deploy, and manage these certificates, with the following exceptions:

  • Clientzertifikate, die Configuration Manager auf mobilen Geräten und Macintosh-Computern registriertClient certificates that Configuration Manager enrolls on mobile devices and Mac computers
  • Zertifikate, die Microsoft Intune automatisch zum Verwalten mobiler Geräte erstelltCertificates that Microsoft Intune automatically creates to manage mobile devices

Wenn Sie Active Directory-Zertifikatdienste und Zertifikatvorlagen nutzen, kann Ihnen diese Microsoft PKI-Lösung die Verwaltung der Zertifikate erleichtern.When you use Active Directory Certificate Services and certificate templates, this Microsoft PKI solution can ease the management of certificates. Verwenden Sie in den folgenden Tabellen die Spalte Zu verwendende Microsoft-Zertifikatvorlage , um die Zertifikatvorlage zu identifizieren, mit der die Zertifikatanforderungen am ehesten erfüllt werden.Use the Microsoft certificate template to use column in the following tables to identify the certificate template that most closely matches the certificate requirements. Auf Vorlagen basierende Zertifikate können nur von einer Unternehmenszertifizierungsstelle verwendet werden, die unter der Enterprise Edition oder Datacenter Edition des Serverbetriebssystems ausgeführt wird, z.B. Windows Server 2008 Enterprise und Windows Server 2008 Datacenter.Only an enterprise certification authority that runs on the Enterprise Edition or Datacenter Edition of the server operating system, like Windows Server 2008 Enterprise and Windows Server 2008 Datacenter, can use template-based certificates.

Mithilfe der folgenden Abschnitte können Sie die Zertifikatanforderungen anzeigen.Use the following sections to view the certificate requirements.

PKI-Zertifikate für ServerPKI Certificates for Servers

Configuration Manager-KomponenteConfiguration Manager component ZertifikatzweckCertificate purpose Zu verwendende Microsoft-ZertifikatvorlageMicrosoft certificate template to use Spezifische Informationen im ZertifikatSpecific information in the certificate Verwendung des Zertifikats im Configuration ManagerHow the certificate is used in Configuration Manager
Standortsysteme, auf denen Internetinformationsdienste (IIS) ausgeführt wird und die für HTTPS-Clientverbindungen konfiguriert sind:Site systems that run internet Information Services (IIS) and that are set up for HTTPS client connections:

  • VerwaltungspunktManagement point
  • VerteilungspunktDistribution point
  • SoftwareupdatepunktSoftware update point
  • ZustandsmigrationspunktState migration point
  • AnmeldungspunktEnrollment point
  • AnmeldungsproxypunktEnrollment proxy point
  • Anwendungskatalog-WebdienstpunktApplication Catalog web service point
  • Anwendungskatalog-WebsitepunktApplication Catalog website point
  • Ein ZertifikatregistrierungspunktA certificate registration point
ServerauthentifizierungServer authentication WebserverWeb Server Der Wert „Erweiterte Schlüsselverwendung“ muss Serverauthentifizierung (136155731)Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Wenn das Standortsystem Verbindungen aus dem Internet akzeptiert, muss „Antragstellername“ oder „Alternativer Antragstellername“ den internetbasierten, vollständig qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) enthalten.If the site system accepts connections from the internet, the Subject Name or Subject Alternative Name must contain the internet fully qualified domain name (FQDN).

Wenn das Standortsystem Verbindungen aus dem Intranet akzeptiert, muss der „Antragstellername“ oder der „Alternative Antragstellername“ entweder den Intranet-FQDN (empfohlen) oder den Computernamen enthalten, je nachdem, wie das Standortsystem konfiguriert ist.If the site system accepts connections from the intranet, the Subject Name or Subject Alternative Name must contain either the intranet FQDN (recommended) or the computer's name, depending on how the site system is set up.

Wenn das Standortsystem Verbindungen aus dem Internet und dem Intranet akzeptiert, müssen Internet-FQDN und Intranet-FQDN (oder der Computername) angegeben werden. Als Trennzeichen zwischen den beiden Namen muss das kaufmännische UND-Zeichen (&) verwendet werden.If the site system accepts connections from both the internet and the intranet, both the internet FQDN and the intranet FQDN (or computer name) must be specified by using the ampersand (&) symbol delimiter between the two names.

Hinweis: Wenn der Softwareupdatepunkt nur Clientverbindungen aus dem Internet akzeptiert, muss das Zertifikat sowohl den Internet-FQDN als auch den Intranet-FQDN enthalten.Note: When the software update point accepts client connections from the internet only, the certificate must contain both the internet FQDN and the intranet FQDN.

Der SHA-2-Hashalgorithmus wird unterstützt.The SHA-2 hash algorithm is supported.

Für dieses Zertifikat ist in Configuration Manager keine maximal unterstützte Schlüssellänge angegeben.Configuration Manager does not specify a maximum supported key length for this certificate. Informationen zu Problemen hinsichtlich der Schlüssellänge dieses Zertifikats finden Sie in der PKI- und IIS-Dokumentation.Consult your PKI and IIS documentation for any key-size related issues for this certificate.
Dieses Zertifikat muss sich im privaten Speicher des Computerzertifikatspeichers befinden.This certificate must reside in the Personal store in the Computer certificate store.

Das Webserverzertifikat wird zur Authentifizierung dieser Server auf dem Client und zur Verschlüsselung aller Daten mit SSL (Secure Sockets Layer) verwendet, die zwischen dem Client und diesen Servern übertragen werden.This web server certificate is used to authenticate these servers to the client and to encrypt all data that's transferred between the client and these servers by using Secure Sockets Layer (SSL).
Cloudbasierter VerteilungspunktCloud-based distribution point ServerauthentifizierungServer authentication WebserverWeb Server Der Wert „Erweiterte Schlüsselverwendung“ muss Serverauthentifizierung (136155731)Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Der Antragstellername muss für die jeweilige Instanz des cloudbasierten Verteilungspunkts einen vom Kunden definierten Dienstnamen und Domänennamen im FQDN-Format als allgemeinen Namen enthalten.The Subject Name must contain a customer-defined service name and domain name in an FQDN format as the Common Name for the specific instance of the cloud-based distribution point.

Der private Schlüssel muss exportierbar sein.The private key must be exportable.

Der SHA-2-Hashalgorithmus wird unterstützt.The SHA-2 hash algorithm is supported.

Unterstützte Schlüssellängen: 4.096 Bits.Supported key lengths: 4,096 bits.
Dieses Dienstzertifikat wird zur Authentifizierung des cloudbasierten Verteilungspunktdiensts für Configuration Manager-Clients und zur Verschlüsselung aller Daten per SSL (Secure Sockets Layer) verwendet, die zwischen diesen Komponenten übertragen werden.This service certificate is used to authenticate the cloud-based distribution point service to Configuration Manager clients and to encrypt all data transferred between them by using Secure Sockets Layer (SSL). Dieses Zertifikat muss in einem öffentlichen Schlüsselzertifikatstandard-Format (Public Key Certificate Standard, PKCS #12) exportiert werden, und das Kennwort muss bekannt sein, damit es importiert werden kann, wenn Sie einen cloudbasierten Verteilungspunkt erstellen.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported when you create a cloud-based distribution point.

Hinweis: Dieses Zertifikat wird in Verbindung mit dem Windows Azure-Verwaltungszertifikat verwendet.Note: This certificate is used in conjunction with the Windows Azure management certificate.
Standortsystemserver, auf denen Microsoft SQL Server ausgeführt wirdSite system servers that run Microsoft SQL Server ServerauthentifizierungServer authentication Web serverWeb server Der Wert „Erweiterte Schlüsselverwendung“ muss Serverauthentifizierung (136155731)Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Der Antragstellername muss den vollqualifizierten Intranet-Domänennamen (FQDN) enthalten.The Subject Name must contain the intranet fully qualified domain name (FQDN).

Der SHA-2-Hashalgorithmus wird unterstützt.The SHA-2 hash algorithm is supported.

Es wird eine maximale Schlüssellänge von 2.048 Bits unterstützt.Maximum supported key length is 2,048 bits.
Dieses Zertifikat muss sich im privaten Speicher des Computerzertifikatspeichers befinden.This certificate must be in the Personal store in the Computer certificate store. Es wird von Configuration Manager automatisch in den Speicher für vertrauenswürdige Personen für solche Server in der Configuration Manager-Hierarchie kopiert, für die möglicherweise eine Vertrauensstellung mit dem Server hergestellt werden muss.Configuration Manager automatically copies it to the Trusted People Store for servers in the Configuration Manager hierarchy that might have to establish trust with the server.

Diese Zertifikate werden für die Server-zu-Server-Authentifizierung verwendet.These certificates are used for server-to-server authentication.
SQL Server-Cluster: Standortsystemserver, auf denen Microsoft SQL Server ausgeführt wirdSQL Server cluster: Site system servers that run Microsoft SQL Server ServerauthentifizierungServer authentication Web serverWeb server Der Wert „Erweiterte Schlüsselverwendung“ muss Serverauthentifizierung (136155731)Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Der Antragstellername muss den vollqualifizierten Intranet-Domänennamen (FQDN) des Clusters enthalten.The Subject Name must contain the intranet fully qualified domain name (FQDN) of the cluster.

Der private Schlüssel muss exportierbar sein.The private key must be exportable.

Das Zertifikat muss einen Gültigkeitszeitraum von mindestens zwei Jahren aufweisen, wenn Sie Configuration Manager für die Verwendung des SQL Server-Clusters konfigurieren.The certificate must have a validity period of at least two years when you configure Configuration Manager to use the SQL Server cluster.

Der SHA-2-Hashalgorithmus wird unterstützt.The SHA-2 hash algorithm is supported.

Es wird eine maximale Schlüssellänge von 2.048 Bits unterstützt.Maximum supported key length is 2,048 bits.
Nachdem Sie dieses Zertifikat auf einem Knoten im Cluster angefordert und installiert haben, exportieren Sie das Zertifikat und importieren es dann in jeden Knoten des SQL Server-Clusters.After you have requested and installed this certificate on one node in the cluster, export the certificate and import it to each additional node in the SQL Server cluster.

Dieses Zertifikat muss sich im privaten Speicher des Computerzertifikatspeichers befinden.This certificate must be in the Personal store in the Computer certificate store. Es wird von Configuration Manager automatisch in den Speicher für vertrauenswürdige Personen für solche Server in der Configuration Manager-Hierarchie kopiert, für die möglicherweise eine Vertrauensstellung mit dem Server hergestellt werden muss.Configuration Manager automatically copies it to the Trusted People Store for servers in the Configuration Manager hierarchy that might have to establish trust with the server.

Diese Zertifikate werden für die Server-zu-Server-Authentifizierung verwendet.These certificates are used for server-to-server authentication.
Standortsystemüberwachung für die folgenden Standortsystemrollen:Site system monitoring for the following site system roles:

  • VerwaltungspunktManagement point
  • ZustandsmigrationspunktState migration point
ClientauthentifizierungClient authentication ArbeitsstationsauthentifizierungWorkstation Authentication Der Wert „Erweiterte Schlüsselverwendung“ muss Clientauthentifizierung (136155732)Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Computer müssen einen eindeutigen Wert im Feld Antragstellername oder Alternativer Antragstellername aufweisen.Computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Hinweis: Wenn Sie mehrere Werte für den alternativen Antragstellernamen verwenden, wird nur der erste Wert verwendet.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

Der SHA-2-Hashalgorithmus wird unterstützt.The SHA-2 hash algorithm is supported.

Es wird eine maximale Schlüssellänge von 2.048 Bits unterstützt.Maximum supported key length is 2,048 bits.
Dieses Zertifikat ist auf den aufgelisteten Standortsystemservern erforderlich. Dies ist selbst dann der Fall, wenn der Configuration Manager-Client nicht installiert ist.This certificate is required on the listed site system servers, even if the Configuration Manager client is not installed. Bei dieser Einstellung kann die Integrität dieser Standortsystemrollen überwacht und dem Standort berichtet werden.This setup enables the health of these site system roles to be monitored and reported to the site.

Das Zertifikat für die Standortsysteme muss sich im privaten Speicher des Computerzertifikatspeichers befinden.The certificate for these site systems must reside in the Personal store of the Computer certificate store.
Server, auf denen das Configuration Manager-Richtlinienmodul mit dem Rollendienst „Registrierungsdienst für Netzwerkgeräte“ ausgeführt wirdServers running the Configuration Manager Policy Module with the Network Device Enrollment Service role service ClientauthentifizierungClient authentication ArbeitsstationsauthentifizierungWorkstation Authentication Der Wert „Erweiterte Schlüsselverwendung“ muss Clientauthentifizierung (136155732)Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Es gibt keine speziellen Anforderungen für den Zertifikatantragsteller oder den alternativen Antragstellernamen (SAN).There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Sie können das gleiche Zertifikat für mehrere Server mit dem Registrierungsdienst für Netzwerkgeräte verwenden.You can use the same certificate for multiple servers running the Network Device Enrollment Service.

Die Hashalgorithmen SHA-2 und SHA-3 werden unterstützt.SHA-2 and SHA-3 hash algorithms are supported.

Unterstützte Schlüssellängen: 1.024 Bits und 2.048 Bits.Supported key lengths: 1,024 bits and 2,048 bits.
Standortsysteme mit installiertem VerteilungspunktSite systems that have a distribution point installed ClientauthentifizierungClient authentication ArbeitsstationsauthentifizierungWorkstation Authentication Der Wert „Erweiterte Schlüsselverwendung“ muss Clientauthentifizierung (136155732)Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Es gibt keine speziellen Anforderungen für den Zertifikatantragsteller oder den alternativen Antragstellernamen (SAN).There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Sie können das gleiche Zertifikat für mehrere Verteilungspunkte verwenden.You can use the same certificate for multiple distribution points. Es wird jedoch empfohlen, für jeden Verteilungspunkt ein anderes Zertifikat zu verwenden.However, it's a good idea to use a different certificate for each distribution point.

Der private Schlüssel muss exportierbar sein.The private key must be exportable.

Der SHA-2-Hashalgorithmus wird unterstützt.The SHA-2 hash algorithm is supported.

Es wird eine maximale Schlüssellänge von 2.048 Bits unterstützt.Maximum supported key length is 2,048 bits.
Von diesem Zertifikat werden zwei Zwecke erfüllt:This certificate has two purposes:

  • Durch das Zertifikat wird der Verteilungspunkt gegenüber einem HTTPS-fähigen Verwaltungspunkt authentifiziert, bevor vom Verteilungspunkt Statusmeldungen gesendet werden.It authenticates the distribution point to an HTTPS-enabled management point before the distribution point sends status messages.
  • Wenn die Verteilungspunktoption PXE-Unterstützung für Clients aktivieren aktiviert ist, wird das Zertifikat an Computer gesendet.When the Enable PXE support for clients distribution point option is selected, the certificate is sent to computers. Wenn in den Tasksequenzen des Bereitstellungsprozesses für das Betriebssystem Clientaktionen enthalten sind, wie z.B. Clientrichtlinienabruf oder das Senden von Inventarinformationen, kann somit von den Clientcomputern während der Bereitstellung des Betriebssystems eine Verbindung mit HTTPS-fähigen Verwaltungspunkten hergestellt werden.If task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information, the client computers can connect to a HTTPS-enabled management point during the deployment of the operating system.
Dieses Zertifikat wird nur für die Dauer der Betriebssystembereitstellung verwendet und wird nicht auf dem Client installiert.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. Aufgrund dieser temporären Verwendung kann dasselbe Zertifikat für jede Betriebssystembereitstellung verwendet werden, wenn Sie nur ein Clientzertifikat verwenden möchten.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Dieses Zertifikat muss in einem PKCS #12-Format (Public Key Certificate Standard) exportiert werden.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format. Das Kennwort muss bekannt sein, damit es in die Eigenschaften des Verteilungspunkts importiert werden kann.The password must be known so that it can be imported into the distribution point properties.

Hinweis: Die Anforderungen für dieses Zertifikat entsprechen denen des Clientzertifikats für Startimages, die Betriebssysteme bereitstellen.Note: The requirements for this certificate are the same as the client certificate for boot images that deploy operating systems. Da die Anforderungen identisch sind, können Sie die gleiche Zertifikatdatei verwenden.Because the requirements are the same, you can use the same certificate file.
Standortsystemserver, auf dem der Microsoft Intune-Connector ausgeführt wirdSite system server that runs the Microsoft Intune connector ClientauthentifizierungClient authentication Nicht zutreffend: Dieses Zertifikat wird von Intune automatisch erstellt.Not applicable: Intune automatically creates this certificate. Der Wert Erweiterte Schlüsselverwendung enthält Clientauthentifizierung (1.3.6.1.5.5.7.3.2) .Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Mithilfe von drei benutzerdefinierten Erweiterungen wird das Intune-Abonnement eindeutig identifiziert.Three custom extensions uniquely identify the customer's Intune subscription.

Die Schlüsselgröße beträgt 2.048 Bit, und es wird der SHA-1-Hashalgorithmus verwendet.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Hinweis: Sie können diese Einstellungen nicht ändern.Note: You cannot change these settings. Diese Informationen werden nur zu Informationszwecken bereitgestellt.This information is provided for informational purposes only.
Dieses Zertifikat wird automatisch angefordert und in der Configuration Manager-Datenbank installiert, wenn Sie Microsoft Intune abonnieren.This certificate is automatically requested and installed to the Configuration Manager database when you subscribe to Microsoft Intune. Wenn Sie den Microsoft Intune-Connector installieren, wird dieses Zertifikat auf dem Standortsystemserver installiert, auf dem der Microsoft Intune-Connector ausgeführt wird.When you install the Microsoft Intune connector, this certificate is then installed on the site system server that runs the Microsoft Intune connector. Er wird im Zertifikatspeicher des Computers installiert.It is installed in the Computer certificate store.

Dieses Zertifikat wird zum Authentifizieren der Configuration Manager-Hierarchie für Microsoft Intune mithilfe des Microsoft Intune-Connectors verwendet.This certificate is used to authenticate the Configuration Manager hierarchy to Microsoft Intune by using the Microsoft Intune connector. Für alle Daten, die zwischen diesen Komponenten übertragen werden, wird eine SSL-Verbindung (Secure Sockets Layer) genutzt.All data that is transferred between them uses Secure Sockets Layer (SSL).

Proxywebserver für internetbasierte ClientverwaltungProxy web servers for internet-based client management

Wenn der Standort die internetbasierte Clientverwaltung unterstützt und Sie einen Proxywebserver mit SSL-Tunnelabschluss (Bridging) für eingehende Internetverbindungen verwenden, verfügt der Proxywebserver über die in der folgenden Tabelle aufgelisteten Zertifikatanforderungen.If the site supports internet-based client management, and you are using a proxy web server by using SSL termination (bridging) for incoming internet connections, the proxy web server has the certificate requirements listed in the following table.

Hinweis

Wenn Sie einen Proxywebserver ohne SSL-Tunnelabschluss (Tunneling) verwenden, sind für den Proxywebserver keine weiteren Zertifikate erforderlich.If you are using a proxy web server without SSL termination (tunneling), no additional certificates are required on the proxy web server.

NetzwerkinfrastrukturkomponenteNetwork infrastructure component ZertifikatzweckCertificate purpose Zu verwendende Microsoft-ZertifikatvorlageMicrosoft certificate template to use Spezifische Informationen im ZertifikatSpecific information in the certificate Verwendung des Zertifikats im Configuration ManagerHow the certificate is used in Configuration Manager
Proxywebserver, von denen Clientverbindungen über das Internet akzeptiert werdenProxy web server accepting client connections over the internet Serverauthentifizierung und ClientauthentifizierungServer authentication and client authentication 1.1.
WebserverWeb Server

2.2.
ArbeitsstationsauthentifizierungWorkstation Authentication
Internet-FQDN im Feld „Antragstellername“ oder „Alternativer Antragstellername“.internet FQDN in the Subject Name field or in the Subject Alternative Name field. Wenn Sie Microsoft-Zertifikatvorlagen verwenden, ist der „Alternative Antragstellername“ nur für die Arbeitsstationsvorlage verfügbar.If you are using Microsoft certificate templates, the Subject Alternative Name is available with the workstation template only.

Der SHA-2-Hashalgorithmus wird unterstützt.The SHA-2 hash algorithm is supported.
Mithilfe dieses Zertifikats werden die folgenden Server auf Internetclients authentifiziert und alle Daten, die zwischen dem Client und diesem Server übertragen werden, mit SSL (Secure Sockets Layer) verschlüsselt:This certificate is used to authenticate the following servers to internet clients and to encrypt all data transferred between the client and this server by using SSL:

  • Internetbasierter VerwaltungspunktInternet-based management point
  • Internetbasierter VerteilungspunktInternet-based distribution point
  • Internetbasierter SoftwareupdatepunktInternet-based software update point
Die Clientauthentifizierung dient dazu, Clientverbindungen zwischen Configuration Manager-Clients und den internetbasierten Standortsystemen herzustellen.The client authentication is used to bridge client connections between the Configuration Manager clients and the internet-based site systems.

PKI-Zertifikate für ClientsPKI certificates for clients

Configuration Manager-KomponenteConfiguration Manager component ZertifikatzweckCertificate purpose Zu verwendende Microsoft-ZertifikatvorlageMicrosoft certificate template to use Spezifische Informationen im ZertifikatSpecific information in the certificate Verwendung des Zertifikats im Configuration ManagerHow the certificate is used in Configuration Manager
Windows-ClientcomputerWindows client computers ClientauthentifizierungClient authentication ArbeitsstationsauthentifizierungWorkstation Authentication Der Wert „Erweiterte Schlüsselverwendung“ muss Clientauthentifizierung (136155732)Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Clientcomputer müssen einen eindeutigen Wert im Feld Antragstellername oder Alternativer Antragstellername aufweisen.Client computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Hinweis: Wenn Sie mehrere Werte für den alternativen Antragstellernamen verwenden, wird nur der erste Wert verwendet.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

Der SHA-2-Hashalgorithmus wird unterstützt.The SHA-2 hash algorithm is supported.

Es wird eine maximale Schlüssellänge von 2.048 Bits unterstützt.Maximum supported key length is 2,048 bits.
Der Configuration Manager sucht standardmäßig im privaten Speicher des Computerzertifikatspeichers nach Computerzertifikaten.By default, Configuration Manager looks for computer certificates in the Personal store in the Computer certificate store.

Mit Ausnahme des Softwareupdatepunkts und des Anwendungskatalog-Websitepunkts wird der Client über dieses Zertifikat bei Standortsystemservern authentifiziert, auf denen IIS ausgeführt wird und die zur Verwendung von HTTPS konfiguriert sind.Except for the software update point and the Application Catalog website point, this certificate authenticates the client to site system servers that run IIS and that are set up to use HTTPS.
Clients für mobile GeräteMobile device clients ClientauthentifizierungClient authentication Authentifizierte SitzungAuthenticated Session Der Wert „Erweiterte Schlüsselverwendung“ muss Clientauthentifizierung (136155732)Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

SHA-1SHA-1

Es wird eine maximale Schlüssellänge von 2.048 Bits unterstützt.Maximum supported key length is 2,048 bits.

Hinweise:Notes:

  • Diese Zertifikate müssen das Format „DER-codiertes binäres X.509“ (Distinguished Encoding Rules) aufweisen.These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format.
  • Das Format „Base64-codiertes X.509“ wird nicht unterstützt.Base64 encoded X.509 format is not supported.
Über dieses Zertifikat wird der Client für mobile Geräte bei den Standortsystemservern authentifiziert, mit denen die Kommunikation stattfindet, wie z.B. Verwaltungs- und Verteilungspunkte.This certificate authenticates the mobile device client to the site system servers that it communicates with, like management points and distribution points.
Startabbilder zum Bereitstellen von BetriebssystemenBoot images for deploying operating systems ClientauthentifizierungClient authentication ArbeitsstationsauthentifizierungWorkstation Authentication Der Wert „Erweiterte Schlüsselverwendung“ muss Clientauthentifizierung (136155732)Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Es gelten keine speziellen Anforderungen für den Zertifikatantragsteller oder den alternativen Antragstellernamen (Subject Alternative Name, SAN). Sie können ein Zertifikat für alle Startimages verwenden.There are no specific requirements for the certificate Subject Name field or Subject Alternative Name (SAN), and you can use the same certificate for all boot images.

Der private Schlüssel muss exportierbar sein.The private key must be exportable.

Der SHA-2-Hashalgorithmus wird unterstützt.The SHA-2 hash algorithm is supported.

Es wird eine maximale Schlüssellänge von 2.048 Bits unterstützt.Maximum supported key length is 2,048 bits.
Das Zertifikat wird verwendet, wenn Tasksequenzen bei der Betriebssystembereitstellung Clientaktionen erfordern, z.B. den Clientrichtlinienabruf oder das Senden von Inventurinformationen.The certificate is used if task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information.

Dieses Zertifikat wird nur für die Dauer der Betriebssystembereitstellung verwendet und wird nicht auf dem Client installiert.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. Aufgrund dieser temporären Verwendung kann dasselbe Zertifikat für jede Betriebssystembereitstellung verwendet werden, wenn Sie nur ein Clientzertifikat verwenden möchten.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Dieses Zertifikat muss in einem öffentlichen Schlüsselzertifikatstandard-Format (Public Key Certificate Standard, PKCS #12) exportiert werden, und das Kennwort muss bekannt sein, damit es in die Configuration Manager-Startimages importiert werden kann.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported to the Configuration Manager boot images.

Dieses Zertifikat gilt temporär für die Tasksequenz und nicht verwendet, um den Client zu installieren.This certificate is temporary for the task sequence and not used to install the client. Wenn Sie über eine ausschließliche HTTPS-Umgebung verfügen, muss der Client ein gültiges Zertifikat besitzen, damit er mit dem Standort kommunizieren und die Bereitstellung fortgesetzt werden kann.When you have an environment with HTTPS only, the client must have a valid certificate for the client to communicate with the site and for the deployment to continue. Der Client kann automatisch ein Zertifikat generieren, wenn er dem Active Directory hinzugefügt wird, oder Sie können ein Clientzertifikat mit einer anderen Methode installieren.The client can automatically generate a certificate when the client is joined to Active Directory, or you can install a client certificate by using another method.

Hinweis: Die Anforderungen für dieses Zertifikat sind identisch mit denen des Serverzertifikats für Standortsysteme mit installiertem Verteilungspunkt.Note: The requirements for this certificate are the same as the server certificate for site systems that have a distribution point installed. Da die Anforderungen identisch sind, können Sie die gleiche Zertifikatdatei verwenden.Because the requirements are the same, you can use the same certificate file.
Macintosh-ClientcomputerMac client computers ClientauthentifizierungClient authentication Für Configuration Manager-Registrierung: Authentifizierte SitzungFor Configuration Manager enrollment: Authenticated Session

Für die von Configuration Manager unabhängige Zertifikatinstallation: ArbeitsstationsauthentifizierungFor certificate installation independent from Configuration Manager: Workstation Authentication
Der Wert „Erweiterte Schlüsselverwendung“ muss Clientauthentifizierung (136155732)Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Wenn unter Configuration Manager ein Benutzerzertifikat erstellt wird, wird der Wert für den Antragsteller des Zertifikats automatisch mit dem Benutzernamen der Person gefüllt, die den Macintosh-Computer registriert.For Configuration Manager that creates a User certificate, the certificate Subject value is automatically populated with the user name of the person who enrolls the Mac computer.

Für eine Zertifikatinstallation, bei der keine Configuration Manager-Anmeldung verwendet wird, sondern ein Computerzertifikat unabhängig von Configuration Manager bereitgestellt wird, muss der Wert für den Antragsteller des Zertifikats eindeutig sein.For certificate installation that does not use Configuration Manager enrollment but deploys a Computer certificate independently from Configuration Manager, the certificate Subject value must be unique. Geben Sie beispielsweise den vollqualifizierten Domänennamen (FQDN) des Computers an.For example, specify the FQDN of the computer.

Das Feld für den alternativen Antragstellernamen wird nicht unterstützt.The Subject Alternative Name field is not supported.

Der SHA-2-Hashalgorithmus wird unterstützt.The SHA-2 hash algorithm is supported.

Es wird eine maximale Schlüssellänge von 2.048 Bits unterstützt.Maximum supported key length is 2,048 bits.
Über dieses Zertifikat wird der Macintosh-Clientcomputer bei den Standortsystemservern authentifiziert, mit denen die Kommunikation stattfindet, z.B. Verwaltungs- und Verteilungspunkte.This certificate authenticates the Mac client computer to the site system servers that it communicates with, like management points and distribution points.
Linux- und UNIX-ClientcomputerLinux and UNIX client computers ClientauthentifizierungClient authentication ArbeitsstationsauthentifizierungWorkstation Authentication Der Wert „Erweiterte Schlüsselverwendung“ muss Clientauthentifizierung (136155732)Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Das Feld für den alternativen Antragstellernamen wird nicht unterstützt.The Subject Alternative Name field is not supported.

Der private Schlüssel muss exportierbar sein.The private key must be exportable.

Der SHA-2-Hashalgorithmus wird unterstützt, wenn das Betriebssystem des Clients SHA-2 unterstützt.SHA-2 hash algorithm is supported if the operating system of the client supports SHA-2. Weitere Informationen finden Sie im Abschnitt Linux- und UNIX-Betriebssysteme, die SHA-256 nicht unterstützen des Themas Planen der Clientbereitstellung auf Linux- und UNIX-Computern in Configuration Manager.For more information, see the About Linux and UNIX Operating Systems That do not Support SHA-256 section in Planning for client deployment to Linux and UNIX computers in Configuration Manager.

Unterstützte Schlüssellängen: 2.048 Bits.Supported key lengths: 2,048 bits.

Hinweis: Diese Zertifikate müssen das Format „DER-codiertes binäres X.509“ (Distinguished Encoding Rules) aufweisen.Note: These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format. Das Format „Base64-codiertes X.509“ wird nicht unterstützt.Base64 encoded X.509 format is not supported.
Über dieses Zertifikat wird der Linux- oder UNIX-Clientcomputer bei den Standortsystemservern authentifiziert, mit denen die Kommunikation stattfindet, z.B. Verwaltungs- und Verteilungspunkte.This certificate authenticates the Linux or UNIX client computer to the site system servers that it communicates with, like management points and distribution points. Dieses Zertifikat muss in einem öffentlichen Schlüsselzertifikatstandard-Format (Public Key Certificate Standard, PKCS#12) exportiert werden, und das Kennwort muss bekannt sein, damit Sie es für den Client angeben können, wenn Sie das PKI-Zertifikat angeben.This certificate must be exported in a Public Key Certificate Standard (PKCS#12) format, and the password must be known so you can specify it to the client when you specify the PKI certificate.

Weitere Informationen finden Sie im Abschnitt Planen der Sicherheit und Zertifikate für Linux- und UNIX-Server des Themas Planen der Clientbereitstellung auf Linux- und UNIX-Computern in Configuration Manager.For additional information, see the Planning for Security and Certificates for Linux and UNIX Servers section in Planning for client deployment to Linux and UNIX computers in Configuration Manager.
Stammzertifikate von Zertifizierungsstellen (CA) für die folgenden Szenarien:Root certification authority (CA) certificates for the following scenarios:

  • BetriebssystembereitstellungOperating system deployment
  • Anmeldung mobiler GeräteMobile device enrollment
  • Authentifizierung von ClientzertifikatenClient certificate authentication
Zertifikatkette zu einer vertrauenswürdigen QuelleCertificate chain to a trusted source Nicht zutreffend.Not applicable. Standardstammzertifikat einer ZertifizierungsstelleStandard root CA certificate. Das Stammzertifikat einer Zertifizierungsstelle muss bereitgestellt werden, wenn die Zertifikate des Kommunikationsservers von Clients mit einer vertrauenswürdigen Quelle verkettet werden müssen.The root CA certificate must be provided when clients have to chain the certificates of the communicating server to a trusted source. Dies gilt in den folgenden Szenarien:This applies in the following scenarios:

  • Wenn bei der Bereitstellung eines Betriebssystems Tasksequenzen ausgeführt werden, um eine Verbindung zwischen dem Clientcomputer und einem Verwaltungspunkt herzustellen, der für die Verwendung von HTTPS konfiguriert ist.When you deploy an operating system, and task sequences run that connect the client computer to a management point that is set up to use HTTPS.
  • Wenn Sie ein mobiles Gerät für die Verwaltung von Configuration Manager registrieren.When you enroll a mobile device to be managed by Configuration Manager.
Darüber hinaus muss das Stammzertifikat einer Zertifizierungsstelle für Clients bereitgestellt werden, wenn die Clientzertifikate von einer anderen Zertifizierungsstellenhierarchie ausgestellt wurden als die Verwaltungspunktzertifikate.In addition, the root CA certificate for clients must be provided if the client certificates are issued by a different CA hierarchy than the CA hierarchy that issued the management point certificate.
Durch Microsoft Intune registrierte mobile GeräteMobile devices that are enrolled by Microsoft Intune ClientauthentifizierungClient authentication Nicht zutreffend: Dieses Zertifikat wird von Intune automatisch erstellt.Not applicable: Intune automatically creates this certificate. Der Wert Erweiterte Schlüsselverwendung enthält Clientauthentifizierung (1.3.6.1.5.5.7.3.2) .Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Mithilfe von drei benutzerdefinierten Erweiterungen wird das Intune-Abonnement des Kunden eindeutig identifiziert.Three custom extensions uniquely identify the customer Intune subscription.

Benutzer können den Wert Antragsteller des Zertifikats während der Anmeldung angeben.Users can supply the certificate Subject value during enrollment. Dieser Wert wird von Intune jedoch nicht verwendet, um das Gerät zu identifizieren.However, Intune does not use this value to identify the device.

Die Schlüsselgröße beträgt 2.048 Bit, und es wird der SHA-1-Hashalgorithmus verwendet.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Hinweis: Sie können diese Einstellungen nicht ändern.Note: You cannot change these settings. Diese Informationen werden nur zu Informationszwecken bereitgestellt.This information is provided for informational purposes only.
Dieses Zertifikat wird automatisch angefordert und installiert, wenn authentifizierte Benutzer ihre mobilen Geräte bei Microsoft Intune registrieren.This certificate is automatically requested and installed when authenticated users enroll their mobiles devices by using Microsoft Intune. Das resultierende Zertifikat auf dem Gerät befindet sich im Computerspeicher und dient zum Authentifizieren des angemeldeten mobilen Geräts bei Intune, damit es danach verwaltet werden kann.The resulting certificate on the device resides in the Computer store and authenticates the enrolled mobile device to Intune, so that it can then be managed.

Aufgrund der benutzerdefinierten Erweiterungen im Zertifikat ist die Authentifizierung auf das Intune-Abonnement beschränkt, das für die Organisation eingerichtet wurde.Because of the custom extensions in the certificate, authentication is restricted to the Intune subscription that has been established for the organization.