Erstellen von Zertifikatprofilen

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Wichtig

Ab Version 2203 wird dieses Feature für den Zugriff auf Unternehmensressourcen nicht mehr unterstützt. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung des Ressourcenzugriffs.

Verwenden Sie Zertifikatprofile in Configuration Manager, um verwaltete Geräte mit den Zertifikaten bereitzustellen, die sie für den Zugriff auf Unternehmensressourcen benötigen. Richten Sie vor dem Erstellen von Zertifikatprofilen die Zertifikatinfrastruktur ein, wie unter Einrichten der Zertifikatinfrastruktur beschrieben.

In diesem Artikel wird beschrieben, wie Sie vertrauenswürdige Stamm- und SCEP-Zertifikatprofile (Simple Certificate Enrollment Protocol) erstellen. Informationen zum Erstellen von PFX-Zertifikatprofilen finden Sie unter Erstellen von PFX-Zertifikatprofilen.

So erstellen Sie ein Zertifikatprofil:

  1. Starten Sie den Assistenten zum Erstellen von Zertifikatprofilen.
  2. Geben Sie allgemeine Informationen zum Zertifikat an.
  3. Konfigurieren Sie ein vertrauenswürdiges Zertifizierungsstellenzertifikat.
  4. Konfigurieren Sie SCEP-Zertifikatinformationen.
  5. Geben Sie unterstützte Plattformen für das Zertifikatprofil an.

Starten des Assistenten

So starten Sie das Zertifikatprofil erstellen:

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Kompatibilität, erweitern Sie Konformitätseinstellungen, erweitern Sie Unternehmensressourcenzugriff, und wählen Sie dann den Knoten Zertifikatprofile aus.

  2. Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Erstellen die Option Zertifikatprofil erstellen aus.

Allgemein

Geben Sie auf der Seite Allgemein des Assistenten zum Erstellen von Zertifikatprofilen die folgenden Informationen an:

  • Name: Geben Sie einen eindeutigen Namen für das Zertifikatprofil ein. Sie können maximal 256 Zeichen verwenden.

  • Beschreibung: Geben Sie eine Beschreibung an, die eine Übersicht über das Zertifikatprofil bietet. Fügen Sie außerdem weitere relevante Informationen hinzu, die sie in der Configuration Manager-Konsole identifizieren können. Sie können maximal 256 Zeichen verwenden.

  • Geben Sie den Typ des Zertifikatprofils an, das Sie erstellen möchten:

    • Vertrauenswürdiges Zertifizierungsstellenzertifikat: Wählen Sie diesen Typ aus, um eine vertrauenswürdige Stammzertifizierungsstelle (Ca) oder ein Zwischenzertifizierungsstellenzertifikat bereitzustellen, um eine Zertifikatkette der Vertrauensstellung zu bilden, wenn der Benutzer oder das Gerät ein anderes Gerät authentifizieren muss. Das Gerät kann z. B. ein RADIUS-Server (Remote Authentication Dial-In User Service) oder ein VPN-Server (Virtual Private Network) sein.

      Konfigurieren Sie außerdem ein vertrauenswürdiges Zertifizierungsstellenzertifikatprofil, bevor Sie ein SCEP-Zertifikatprofil erstellen können. In diesem Fall muss das Zertifikat der vertrauenswürdigen Zertifizierungsstelle für die Zertifizierungsstelle gelten, die das Zertifikat an den Benutzer oder das Gerät ausgibt.

    • Scep-Einstellungen (Simple Certificate Enrollment Protocol): Wählen Sie diesen Typ aus, um ein Zertifikat für einen Benutzer oder ein Gerät mit dem Simple Certificate Enrollment-Protokoll und dem NDES-Rollendienst (Network Device Enrollment Service) anzufordern.

    • Personal Information Exchange PKCS #12 (PFX)-Einstellungen – Importieren: Wählen Sie diese Option aus, um ein PFX-Zertifikat zu importieren. Weitere Informationen finden Sie unter Importieren von PFX-Zertifikatprofilen.

    • Personal Information Exchange PKCS #12 (PFX)-Einstellungen – Erstellen: Wählen Sie diese Option aus, um PFX-Zertifikate mithilfe einer Zertifizierungsstelle zu verarbeiten. Weitere Informationen finden Sie unter Erstellen von PFX-Zertifikatprofilen.

Zertifikat der vertrauenswürdigen Zertifizierungsstelle

Wichtig

Konfigurieren Sie vor dem Erstellen eines SCEP-Zertifikatprofils mindestens ein vertrauenswürdiges Zertifizierungsstellenzertifikatprofil.

Wenn Sie nach der Bereitstellung des Zertifikats einen dieser Werte ändern, wird ein neues Zertifikat angefordert:

  • Schlüsselspeicheranbieter
  • Name der Zertifikatvorlage
  • Zertifikattyp
  • Format des Antragstellernamens
  • Alternativer Antragstellername
  • Gültigkeitsdauer des Zertifikats
  • Schlüsselverwendung
  • Schlüsselgröße
  • Erweiterte Schlüsselverwendung
  • Zertifikat der Stammzertifizierungsstelle

  1. Geben Sie auf der Seite Zertifikat der vertrauenswürdigen Zertifizierungsstelle des Assistenten zum Erstellen von Zertifikatprofilen die folgenden Informationen an:

    • Zertifikatdatei: Wählen Sie Importieren aus, und navigieren Sie dann zur Zertifikatdatei.

    • Zielspeicher: Wählen Sie für Geräte mit mehr als einem Zertifikatspeicher aus, wo das Zertifikat gespeichert werden soll. Bei Geräten, die nur über einen Speicher verfügen, wird diese Einstellung ignoriert.

  2. Verwenden Sie den Wert zertifikatfingerabdruck , um zu überprüfen, ob Sie das richtige Zertifikat importiert haben.

SCEP-Zertifikate

1. SCEP-Server

Geben Sie auf der Seite SCEP-Server des Assistenten zum Erstellen von Zertifikatprofilen die URLs für die NDES-Server an, die Zertifikate über SCEP ausstellen. Sie können automatisch eine NDES-URL basierend auf der Konfiguration des Zertifikatregistrierungspunkts zuweisen oder URLs manuell hinzufügen.

2. SCEP-Registrierung

Schließen Sie die Seite SCEP-Registrierung des Assistenten zum Erstellen von Zertifikatprofilen ab.

  • Wiederholungen: Geben Sie an, wie oft das Gerät die Zertifikatanforderung automatisch an den NDES-Server wiederholt. Diese Einstellung unterstützt das Szenario, in dem ein Zertifizierungsstellen-Manager eine Zertifikatanforderung genehmigen muss, bevor sie akzeptiert wird. Diese Einstellung wird in der Regel für Umgebungen mit hoher Sicherheit verwendet oder wenn Sie über eine eigenständige ausstellende Zertifizierungsstelle anstelle einer Unternehmenszertifizierungsstelle verfügen. Sie können diese Einstellung auch zu Testzwecken verwenden, damit Sie die Zertifikatanforderungsoptionen überprüfen können, bevor die ausstellende Zertifizierungsstelle die Zertifikatanforderung verarbeitet. Verwenden Sie diese Einstellung mit der Einstellung Wiederholungsverzögerung (Minuten).

  • Wiederholungsverzögerung (Minuten):Geben Sie das Intervall in Minuten zwischen jedem Registrierungsversuch an, wenn Sie die Genehmigung des Zertifizierungsstellen-Managers verwenden, bevor die ausstellende Zertifizierungsstelle die Zertifikatanforderung verarbeitet. Wenn Sie die Vorgesetztengenehmigung zu Testzwecken verwenden, geben Sie einen niedrigen Wert an. Anschließend warten Sie nicht lange darauf, dass das Gerät die Zertifikatanforderung wiederholt, nachdem Sie die Anforderung genehmigt haben.

    Wenn Sie die Vorgesetztengenehmigung in einem Produktionsnetzwerk verwenden, geben Sie einen höheren Wert an. Dieses Verhalten bietet dem Zertifizierungsstellenadministrator genügend Zeit, um ausstehende Genehmigungen zu genehmigen oder zu verweigern.

  • Erneuerungsschwellenwert (%): Geben Sie den Prozentsatz der Zertifikatlebensdauer an, der verbleibt, bevor das Gerät eine Verlängerung des Zertifikats anfordert.

  • Schlüsselspeicheranbieter (Key Storage Provider, KSP): Geben Sie an, wo der Schlüssel für das Zertifikat gespeichert wird. Wählen Sie einen der folgenden Werte aus:

    • Installation in Trusted Platform Module (TPM), falls vorhanden: Installiert den Schlüssel im TPM. Wenn das TPM nicht vorhanden ist, wird der Schlüssel beim Speicheranbieter für den Softwareschlüssel installiert.

    • Bei der Installation auf trusted Platform Module (TPM) tritt andernfalls ein Fehler auf: Installiert den Schlüssel im TPM. Wenn das TPM-Modul nicht vorhanden ist, schlägt die Installation fehl.

    • Installation auf Windows Hello for Business andernfalls fehlschlägt: Diese Option ist für Windows 10 oder höhere Geräte verfügbar. Damit können Sie das Zertifikat im Windows Hello for Business speichern, der durch die mehrstufige Authentifizierung geschützt ist. Weitere Informationen finden Sie unter Windows Hello for Business.

      Hinweis

      Diese Option unterstützt keine Smartcardanmeldung für die erweiterte Schlüsselverwendung auf der Seite Zertifikateigenschaften.

    • Bei Softwareschlüsselspeicheranbieter installieren: Installiert den Schlüssel für den Softwareschlüssel beim Speicheranbieter.

  • Geräte für die Zertifikatregistrierung: Wenn Sie das Zertifikatprofil für eine Benutzersammlung bereitstellen, lassen Sie die Zertifikatregistrierung nur auf dem primären Gerät des Benutzers oder auf jedem Gerät zu, bei dem sich der Benutzer anmeldet.

    Wenn Sie das Zertifikatprofil für eine Gerätesammlung bereitstellen, lassen Sie die Zertifikatregistrierung nur für den primären Benutzer des Geräts oder für alle Benutzer zu, die sich beim Gerät anmelden.

3. Zertifikateigenschaften

Geben Sie auf der Seite Zertifikateigenschaften des Assistenten zum Erstellen von Zertifikatprofilen die folgenden Informationen an:

  • Name der Zertifikatvorlage: Wählen Sie den Namen einer Zertifikatvorlage aus, die Sie in NDES konfiguriert und einer ausstellenden Zertifizierungsstelle hinzugefügt haben. Damit Sie erfolgreich zu Zertifikatvorlagen navigieren können, benötigt Ihr Benutzerkonto die Berechtigung Lesen für die Zertifikatvorlage. Wenn Sie nach dem Zertifikat nicht suchen können, geben Sie dessen Namen ein.

    Wichtig

    Wenn der Name der Zertifikatvorlage Nicht-ASCII-Zeichen enthält, wird das Zertifikat nicht bereitgestellt. (Ein Beispiel für diese Zeichen stammt aus dem chinesischen Alphabet.) Um sicherzustellen, dass das Zertifikat bereitgestellt wird, erstellen Sie zunächst eine Kopie der Zertifikatvorlage auf der Zertifizierungsstelle. Benennen Sie dann die Kopie mithilfe von ASCII-Zeichen um.

    • Wenn Sie den Namen der Zertifikatvorlage auswählen, werden einige Felder auf der Seite automatisch aus der Zertifikatvorlage ausgefüllt. In einigen Fällen können Sie diese Werte nur ändern, wenn Sie eine andere Zertifikatvorlage auswählen.

    • Wenn Sie den Namen der Zertifikatvorlage eingeben , stellen Sie sicher, dass der Name genau mit einer der Zertifikatvorlagen übereinstimmt. Sie muss mit den Namen übereinstimmen, die in der Registrierung des NDES-Servers aufgeführt sind. Stellen Sie sicher, dass Sie den Namen der Zertifikatvorlage und nicht den Anzeigenamen der Zertifikatvorlage angeben.

      Navigieren Sie zum folgenden Registrierungsschlüssel, um die Namen von Zertifikatvorlagen zu suchen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Die Zertifikatvorlagen werden als Werte für EncryptionTemplate, GeneralPurposeTemplate und SignatureTemplate aufgelistet. Standardmäßig ist der Wert für alle drei Zertifikatvorlagen IPSECIntermediateOffline, was dem Vorlagenanzeigenamen von IPSec (Offlineanforderung) zugeordnet ist.

      Warnung

      Wenn Sie den Namen der Zertifikatvorlage eingeben, können Configuration Manager den Inhalt der Zertifikatvorlage nicht überprüfen. Möglicherweise können Sie Optionen auswählen, die von der Zertifikatvorlage nicht unterstützt werden, was zu einer fehlerhaften Zertifikatanforderung führen kann. Wenn dieses Verhalten auftritt, wird eine Fehlermeldung für w3wp.exe in der Datei CPR.log angezeigt, dass der Vorlagenname in der Zertifikatsignieranforderung (Certificate Signing Request, CSR) und die Abfrage nicht übereinstimmen.

      Wenn Sie den Namen der Zertifikatvorlage eingeben, die für den Wert GeneralPurposeTemplate angegeben ist, wählen Sie die Schlüsselverschlüsselung und die Optionen Digitale Signatur für dieses Zertifikatprofil aus. Wenn Sie nur die Schlüsselverschlüsselungsoption in diesem Zertifikatprofil aktivieren möchten, geben Sie den Namen der Zertifikatvorlage für den Schlüssel EncryptionTemplate an. Wenn Sie in diesem Zertifikatprofil nur die Option Digitale Signatur aktivieren möchten, geben Sie den Namen der Zertifikatvorlage für den SignatureTemplate-Schlüssel an.

  • Zertifikattyp: Wählen Sie aus, ob Sie das Zertifikat auf einem Gerät oder einem Benutzer bereitstellen möchten.

  • Format des Antragstellernamens: Wählen Sie aus, wie Configuration Manager den Antragstellernamen in der Zertifikatanforderung automatisch erstellt. Wenn das Zertifikat für einen Benutzer gilt, können Sie auch die E-Mail-Adresse des Benutzers in den Antragstellernamen einschließen.

    Hinweis

    Wenn Sie IMEI-Nummer oder Seriennummer auswählen, können Sie zwischen verschiedenen Geräten unterscheiden, die sich im Besitz desselben Benutzers befinden. Beispielsweise könnten diese Geräte einen gemeinsamen Namen, aber keine IMEI-Nummer oder Seriennummer verwenden. Wenn das Gerät keine IMEI oder Seriennummer meldet, wird das Zertifikat mit dem allgemeinen Namen ausgestellt.

  • Alternativer Antragstellername: Geben Sie an, wie Configuration Manager die Werte für den alternativen Antragstellernamen (Subject Alternative Name, SAN) in der Zertifikatanforderung automatisch erstellt. Wenn Sie beispielsweise einen Benutzerzertifikattyp ausgewählt haben, können Sie den Benutzerprinzipalnamen (UPN) in den alternativen Antragstellernamen einschließen. Wenn sich das Clientzertifikat bei einem Netzwerkrichtlinienserver authentifiziert, legen Sie den alternativen Antragstellernamen auf den UPN fest.

  • Gültigkeitsdauer des Zertifikats: Wenn Sie einen benutzerdefinierten Gültigkeitszeitraum für die ausstellende Zertifizierungsstelle festlegen, geben Sie die verbleibende Zeit an, bevor das Zertifikat abläuft.

    Tipp

    Legen Sie einen benutzerdefinierten Gültigkeitszeitraum mit der folgenden Befehlszeile fest:certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE Weitere Informationen zu diesem Befehl finden Sie unter Zertifikatinfrastruktur.

    Sie können einen Wert angeben, der niedriger als der Gültigkeitszeitraum in der angegebenen Zertifikatvorlage, aber nicht höher ist. Wenn der Gültigkeitszeitraum des Zertifikats in der Zertifikatvorlage beispielsweise zwei Jahre beträgt, können Sie einen Wert von einem Jahr angeben, aber keinen Wert von fünf Jahren. Zudem muss der Wert niedriger als die verbleibende Gültigkeitsdauer des Zertifikats der ausstellenden Zertifizierungsstelle sein.

  • Schlüsselverwendung: Geben Sie Schlüsselverwendungsoptionen für das Zertifikat an. Wählen Sie aus den folgenden Optionen aus:

    • Schlüsselverschlüsselung: Lässt den Schlüsselaustausch nur zu, wenn der Schlüssel verschlüsselt ist.

    • Digitale Signatur: Lässt den Schlüsselaustausch nur zu, wenn der Schlüssel durch eine digitale Signatur geschützt ist.

    Wenn Sie nach einer Zertifikatvorlage gesucht haben, können Sie diese Einstellungen nur ändern, wenn Sie eine andere Zertifikatvorlage auswählen.

    Konfigurieren Sie die ausgewählte Zertifikatvorlage mit einer oder beiden der beiden oben genannten Schlüsselverwendungsoptionen. Andernfalls wird die folgende Meldung in der Protokolldatei des Zertifikatregistrierungspunkts Crp.log: Schlüsselverwendung in CSR und Anforderung nicht übereinstimmen angezeigt.

  • Schlüsselgröße (Bits):Wählen Sie die Größe des Schlüssels in Bits aus.

  • Erweiterte Schlüsselverwendung: Fügen Sie Werte für den beabsichtigten Zweck des Zertifikats hinzu. In den meisten Fällen erfordert das Zertifikat die Clientauthentifizierung , damit sich der Benutzer oder das Gerät bei einem Server authentifizieren kann. Sie können alle anderen Schlüsselverwendungen nach Bedarf hinzufügen.

  • Hashalgorithmus: Wählen Sie einen der verfügbaren Hashalgorithmustypen aus, die mit diesem Zertifikat verwendet werden sollen. Wählen Sie die höchste Sicherheitsebene aus, die die verbundenen Geräten unterstützen.

    Hinweis

    SHA-2 unterstützt SHA-256, SHA-384 und SHA-512. SHA-3 unterstützt nur SHA-3.

  • Zertifikat der Stammzertifizierungsstelle: Wählen Sie ein Zertifikatprofil der Stammzertifizierungsstelle aus, das Sie zuvor konfiguriert und für den Benutzer oder das Gerät bereitgestellt haben. Dieses Zertifizierungsstellenzertifikat muss das Stammzertifikat für die Zertifizierungsstelle sein, die das Zertifikat ausgibt, das Sie in diesem Zertifikatprofil konfigurieren.

    Wichtig

    Wenn Sie ein Zertifikat der Stammzertifizierungsstelle angeben, das nicht für den Benutzer oder das Gerät bereitgestellt wird, initiiert Configuration Manager nicht die Zertifikatanforderung, die Sie in diesem Zertifikatprofil konfigurieren.

Unterstützte Plattformen

Wählen Sie auf der Seite Unterstützte Plattformen des Assistenten zum Erstellen von Zertifikatprofilen die Betriebssystemversionen aus, in denen Sie das Zertifikatprofil installieren möchten. Wählen Sie Alle auswählen aus, um das Zertifikatprofil auf allen verfügbaren Betriebssystemen zu installieren.

Nächste Schritte

Das neue Zertifikatprofil wird im Arbeitsbereich Bestand und Kompatibilität im Knoten Zertifikatprofile angezeigt. Sie können sie für Benutzer oder Geräte bereitstellen. Weitere Informationen finden Sie unter Bereitstellen von Profilen.