Einrichten von Zertifikaten für die vertrauenswürdige Kommunikation mit der lokalen MDM

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Configuration Manager lokale Verwaltung mobiler Geräte (Mobile Device Management, MDM) müssen Sie die Standortsystemrollen für die vertrauenswürdige Kommunikation mit verwalteten Geräten konfigurieren. Sie benötigen zwei Arten von Zertifikaten:

  • Ein Webserverzertifikat in IIS auf den Servern, auf denen die erforderlichen Standortsystemrollen gehostet werden. Wenn ein Server mehrere Standortsystemrollen hostet, benötigen Sie nur ein Zertifikat für diesen Server. Wenn sich jede Rolle auf einem separaten Server befindet, benötigt jeder Server ein separates Zertifikat.

  • Das vertrauenswürdige Stammzertifikat der Zertifizierungsstelle ,die die Webserverzertifikate ausstellt. Installieren Sie dieses Stammzertifikat auf allen Geräten, die eine Verbindung mit den Standortsystemrollen herstellen müssen.

Bei in die Domäne eingebundenen Geräten können diese Zertifikate automatisch auf allen Geräten installiert werden, wenn Sie Active Directory-Zertifikatdienste verwenden. Installieren Sie für Geräte, die nicht in die Domäne eingebunden sind, das vertrauenswürdige Stammzertifikat auf andere Art.

Für massenregistrierte Geräte können Sie das Zertifikat in das Registrierungspaket einschließen. Für vom Benutzer registrierte Geräte müssen Sie das Zertifikat per E-Mail, Webdownload oder einer anderen Methode hinzufügen.

Wenn Sie einen öffentlichen und global vertrauenswürdigen Zertifikatanbieter verwenden, um die Serverzertifikate auszustellen, können Sie vermeiden, das vertrauenswürdige Stammzertifikat manuell auf jedem Gerät installieren zu müssen. Die meisten Geräte vertrauen diesen Behörden nativ. Diese Methode ist eine nützliche Alternative für vom Benutzer registrierte Geräte, anstatt das Zertifikat auf andere Weise zu installieren.

Wichtig

Es gibt viele Möglichkeiten, die Zertifikate für die vertrauenswürdige Kommunikation zwischen Geräten und den Standortsystemservern für lokale MDM einzurichten. Die Informationen in diesem Artikel sind ein Beispiel für eine Möglichkeit, dies zu tun. Diese Methode erfordert Active Directory-Zertifikatdienste mit einer Zertifizierungsstelle und der Webregistrierungsrolle der Zertifizierungsstelle. Weitere Informationen finden Sie unter Active Directory-Zertifikatdienste.

Veröffentlichen der Zertifikatsperrliste

Standardmäßig verwendet die Active Directory-Zertifizierungsstelle LDAP-basierte Zertifikatsperrlisten (CERTIFICATE Revocation Lists, CRLs). Es ermöglicht Verbindungen mit der Zertifikatsperrliste für in die Domäne eingebundene Geräte. Fügen Sie eine HTTP-basierte Zertifikatsperrliste hinzu, damit nicht in die Domäne eingebundene Geräte den von der Zertifizierungsstelle ausgestellten Zertifikaten vertrauen können.

  1. Wechseln Sie auf dem Server, auf dem die Zertifizierungsstelle für Ihren Standort ausgeführt wird, zum Startmenü , wählen Sie Verwaltung und dann Zertifizierungsstelle aus.

  2. Klicken Sie in der Zertifizierungsstelle-Konsole mit der rechten Maustaste auf CertificateAuthority, und wählen Sie dann Eigenschaften aus.

  3. Wechseln Sie unter CertificateAuthority-Eigenschaften zur Registerkarte Erweiterungen . Stellen Sie sicher, dass Erweiterung auswählen auf CRL Distribution Point (CDP) festgelegt ist.

  4. Wählen Sie aus http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl. Wählen Sie dann die folgenden Optionen aus:

    • In CRLs einschließen. Clients verwenden diese Option, um Delta-CRL-Speicherorte zu finden.

    • Fügen Sie ausgestellte Zertifikate in CDP-Erweiterung ein.

    • In die IDP-Erweiterung ausgestellter CRLs einschließen

  5. Wechseln Sie zur Registerkarte Modul beenden . Wählen Sie Eigenschaften und dann Die Veröffentlichung von Zertifikaten im Dateisystem zulassen aus. Es wird ein Hinweis zum Neustarten der Active Directory-Zertifikatdienste angezeigt.

  6. Klicken Sie mit der rechten Maustaste auf Widerrufene Zertifikate, wählen Sie Alle Aufgaben und dann Veröffentlichen aus.

  7. Wählen Sie im Fenster Zertifikatsperrliste veröffentlichen die Option Nur Delta-Zertifikatsperrliste und dann OK aus, um das Fenster zu schließen.

Erstellen der Zertifikatvorlage

Die Zertifizierungsstelle verwendet die Webserverzertifikatvorlage, um Zertifikate für die Server auszustellen, die die Standortsystemrollen hosten. Diese Server sind SSL-Endpunkte für die vertrauenswürdige Kommunikation zwischen den Standortsystemrollen und registrierten Geräten.

  1. Erstellen Sie eine Domänensicherheitsgruppe mit dem Namen ConfigMgr MDM-Server. Fügen Sie der Gruppe die Computerkonten der Standortsystemserver hinzu.

  2. Klicken Sie in der Zertifizierungsstelle-Konsole mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus. Durch diese Aktion wird die Zertifikatvorlagenkonsole geladen.

  3. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag, der Webserver in der Spalte Anzeigename der Vorlage anzeigt, und wählen Sie dann Vorlage duplizieren aus.

  4. Wählen Sie im Fenster Doppelte Vorlagewindows 2003 Server, Enterprise Edition oder Windows 2008 Server Enterprise Edition aus, und wählen Sie dann OK aus.

    Tipp

    Configuration Manager unterstützt Windows 2008 Server-Zertifikatvorlagen, die auch als CNG-Zertifikate (Cryptography: Next Generation) bezeichnet werden. Weitere Informationen finden Sie unter Übersicht über CNG v3-Zertifikate.

    Wenn Ihre Zertifizierungsstelle auf Windows Server 2012 oder höher ausgeführt wird, wird in diesem Fenster die Option für die Zertifikatvorlagenversion nicht angezeigt. Nachdem Sie die Vorlage dupliziert haben, wählen Sie die Version auf der Registerkarte Kompatibilität der Vorlageneigenschaften aus.

  5. Geben Sie im Fenster Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Vorlagennamen ein. Die Zertifizierungsstelle verwendet diesen Namen, um die Webzertifikate zu generieren, die auf Configuration Manager-Standortsystemen verwendet werden. Geben Sie beispielsweise ConfigMgr MDM-Webserver ein.

  6. Wechseln Sie zur Registerkarte Antragstellername , und wählen Sie Aus Active Directory-Informationen erstellen aus. Geben Sie für das Format des Antragstellernamens DEN DNS-Namen an. Wenn Benutzerprinzipalname (UPN) ausgewählt ist, deaktivieren Sie die Option für alternativen Antragstellernamen.

  7. Wechseln Sie zur Registerkarte Sicherheit .

    1. Entfernen Sie die Berechtigung Registrieren aus den Sicherheitsgruppen Domänenadministratoren und Unternehmensadministratoren .

    2. Wählen Sie Hinzufügen aus, und geben Sie den Namen Ihrer Sicherheitsgruppe ein. Beispiel: ConfigMgr MDM-Server. Wählen Sie OK aus, um das Fenster zu schließen.

    3. Wählen Sie die Berechtigung Registrieren für diese Gruppe aus. Entfernen Sie die Leseberechtigung nicht.

  8. Wählen Sie OK aus, um Ihre Änderungen zu speichern, und schließen Sie die Konsole Zertifikatvorlagen.

  9. Klicken Sie in der Konsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neu und dann Ausstellende Zertifikatvorlage aus.

  10. Wählen Sie im Fenster Zertifikatvorlagen aktivieren die neue Vorlage aus. Beispiel: ConfigMgr MDM-Webserver. Wählen Sie dann OK aus, um das Fenster zu speichern und zu schließen.

Anfordern des Zertifikats

In diesem Prozess wird beschrieben, wie Sie das Webserverzertifikat für IIS anfordern. Führen Sie diesen Prozess für jeden Standortsystemserver aus, der eine der Rollen für lokale MDM hostet.

  1. Öffnen Sie auf dem Standortsystemserver, der eine der Rollen hostet, eine Eingabeaufforderung als Administrator. Geben Sie einmmc, um eine leere Microsoft Management Console zu öffnen.

  2. Wechseln Sie im Konsolenfenster zum Menü Datei , und wählen Sie Snap-In hinzufügen/entfernen aus.

    1. Wählen Sie Zertifikate aus der Liste der verfügbaren Snap-Ins aus, und wählen Sie Hinzufügen aus.

    2. Wählen Sie im Snap-In-Fenster Zertifikate die Option Computerkonto aus. Wählen Sie Weiter und dann Fertig stellen aus, um den lokalen Computer zu verwalten.

    3. Wählen Sie OK aus, um das Fenster Snap-In hinzufügen oder entfernen zu beenden.

  3. Erweitern Sie Zertifikate (lokaler Computer), und wählen Sie den persönlichen Speicher aus. Wechseln Sie zum Menü Aktion , wählen Sie Alle Aufgaben und dann Neues Zertifikat anfordern aus. Diese Aktion kommuniziert mit den Active Directory-Zertifikatdiensten, um mithilfe der zuvor erstellten Vorlage ein neues Zertifikat zu erstellen.

    1. Wählen Sie im Assistenten für die Zertifikatregistrierung auf der Seite Vorab die Option Weiter aus.

    2. Wählen Sie auf der Seite Zertifikatregistrierungsrichtlinie auswählen die Option Active Directory-Registrierungsrichtlinie und dann Weiter aus.

    3. Wählen Sie Ihre Webserverzertifikatvorlage (ConfigMgr MDM-Webserver) und dann Registrieren aus.

    4. Nachdem das Zertifikat angefordert wurde, wählen Sie Fertig stellen aus.

Jeder Server benötigt ein eindeutiges Webserverzertifikat. Wiederholen Sie diesen Vorgang für jeden Server, der eine der erforderlichen Standortsystemrollen hostet. Wenn ein Server alle Standortsystemrollen hostet, müssen Sie nur ein Webserverzertifikat anfordern.

Binden des Zertifikats

Der nächste Schritt besteht darin, das neue Zertifikat an den Webserver zu binden. Führen Sie diesen Prozess für jeden Server aus, der den Registrierungspunkt und die Standortsystemrollen des Registrierungsproxypunkts hostet. Wenn ein Server alle Standortsystemrollen hostet, müssen Sie diesen Vorgang nur einmal ausführen.

Hinweis

Sie müssen diesen Prozess nicht für die Standortsystemrollen Verteilungspunkt und Geräteverwaltungspunkt ausführen. Sie erhalten während der Registrierung automatisch das erforderliche Zertifikat.

  1. Wechseln Sie auf dem Server, auf dem der Registrierungspunkt oder Registrierungsproxypunkt gehostet wird, zum Startmenü , wählen Sie Verwaltung aus, und wählen Sie IIS-Manager aus.

  2. Wählen Sie in der Liste der Verbindungen die Standardwebsite und dann Bindungen bearbeiten aus.

    1. Wählen Sie im Fenster Websitebindungen die Option https und dann Bearbeiten aus.

    2. Wählen Sie im Fenster Websitebindung bearbeiten das neu registrierte Zertifikat für das SSL-Zertifikat aus. Wählen Sie OK aus, um zu speichern, und wählen Sie dann Schließen aus.

  3. Wählen Sie in der IIS-Manager-Konsole in der Liste verbindungen den Webserver aus. Wählen Sie im Bereich Aktion auf der rechten Seite Neu starten aus. Durch diese Aktion wird der Webserverdienst neu gestartet.

Exportieren des vertrauenswürdigen Stammzertifikats

Active Directory-Zertifikatdienste installiert automatisch das erforderliche Zertifikat von der Zertifizierungsstelle auf allen in die Domäne eingebundenen Geräten. Um das Zertifikat abzurufen, das für nicht in die Domäne eingebundene Geräte für die Kommunikation mit den Standortsystemrollen erforderlich ist, exportieren Sie es aus dem Zertifikat, das an den Webserver gebunden ist.

  1. Wählen Sie im IIS-Manager die Standardwebsite aus. Wählen Sie im Bereich Aktion auf der rechten Seite Bindungen aus.

  2. Wählen Sie im Fenster Websitebindungen die Option https und dann Bearbeiten aus.

  3. Wählen Sie das Webserverzertifikat und dann Anzeigen aus.

  4. Wechseln Sie in den Eigenschaften des Webserverzertifikats zur Registerkarte Zertifizierungspfad . Wählen Sie den Stamm des Zertifizierungspfads und dann Zertifikat anzeigen aus.

  5. Wechseln Sie in den Eigenschaften des Stammzertifikats zur Registerkarte Details , und wählen Sie dann In Datei kopieren aus.

  6. Wählen Sie im Zertifikatexport-Assistenten auf der Seite Willkommen die Option Weiter aus.

  7. Wählen Sie DER-codierte binär X.509 (. CER) als Format, und wählen Sie Weiter aus.

  8. Geben Sie einen Pfad und dateinamen ein, um dieses vertrauenswürdige Stammzertifikat zu identifizieren. Klicken Sie für den Dateinamen auf Durchsuchen..., wählen Sie einen Speicherort zum Speichern der Zertifikatdatei aus, benennen Sie die Datei, und wählen Sie Weiter aus.

  9. Überprüfen Sie die Einstellungen, und wählen Sie Fertig stellen aus, um das Zertifikat in eine Datei zu exportieren.

Abhängig vom Entwurf Ihrer Zertifizierungsstelle müssen Sie möglicherweise zusätzliche untergeordnete Zertifizierungsstellen-Stammzertifikate exportieren. Wiederholen Sie diesen Vorgang, um die anderen Zertifikate im Zertifizierungspfad des Webserverzertifikats zu exportieren.

Nächster Schritt

Einrichten der Geräteregistrierung