Einführung in Zertifikatprofile in Configuration ManagerIntroduction to certificate profiles in Configuration Manager

Gilt für: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Wichtig

Ab Configuration Manager, Version 2103, gilt dieses Feature für den Zugriff auf Unternehmensressourcen als veraltet.Starting in Configuration Manager version 2103, this company resource access feature is deprecated. Verwenden Sie Microsoft Intune zum Bereitstellen von Ressourcenzugriffsprofilen.Use Microsoft Intune to deploy resource access profiles.

Zertifikatprofile arbeiten mit Active Directory-Zertifikatdiensten und der Rolle des Registrierungsdiensts für Netzwerkgeräte (NDES, Network Device Enrollment Service).Certificate profiles work with Active Directory Certificate Services and the Network Device Enrollment Service (NDES) role. Erstellen Sie Authentifizierungszertifikate für verwaltete Geräte bzw. stellen Sie sie bereit, damit Benutzer einfach auf Organisationsressourcen zugreifen können.Create and deploy authentication certificates for managed devices so that users can easily access organizational resources. Sie können z.B. Zertifikatprofile erstellen und bereitstellen, um Benutzern die erforderlichen Zertifikate zum Herstellen einer Verbindung mit VPN- und Drahtlosverbindungen bereitzustellen.For example, you can create and deploy certificate profiles to provide the necessary certificates for users to connect to VPN and wireless connections.

Zertifikatprofile können Benutzergeräte automatisch für den Zugriff auf Unternehmensressourcen wie WLAN-Netzwerke und VPN-Server konfigurieren.Certificate profiles can automatically configure user devices for access to organizational resources such as Wi-Fi networks and VPN servers. Benutzer können auf diese Ressourcen zugreifen, ohne Zertifikate manuell installieren oder einen Out-of-Band-Prozess verwenden zu müssen.Users can access these resources without manually installing certificates or using an out-of-band process. Mit Zertifikatprofilen werden Ressourcen gesichert, da Sie sicherere Einstellungen verwenden können, die von Ihrer Public Key-Infrastruktur (PKI) unterstützt werden.Certificate profiles help to secure resources because you can use more secure settings that are supported by your public key infrastructure (PKI). Sie können z.B. eine Serverauthentifizierung für alle WLAN- und VPN-Verbindungen erforderlich machen, da Sie die erforderlichen Zertifikate auf den verwalteten Geräten bereitgestellt haben.For example, require server authentication for all Wi-Fi and VPN connections because you've deployed the required certificates on the managed devices.

Zertifikatprofile bieten die folgenden Verwaltungsfunktionen:Certificate profiles provide the following management capabilities:

  • Zertifikatsregistrierung und -erneuerung über eine Zertifizierungsstelle (CA) für Geräte, auf denen verschiedene Betriebssysteme und -versionen ausgeführt werden.Certificate enrollment and renewal from a certification authority (CA) for devices that run different OS types and versions. Diese Zertifikate können dann für WLAN- und VPN-Verbindungen verwendet werden.These certificates can then be used for Wi-Fi and VPN connections.

  • Bereitstellen vertrauenswürdiger Zertifikate der Stamm- oder ZwischenzertifizierungsstelleDeployment of trusted root CA certificates and intermediate CA certificates. Diese Zertifikate konfigurieren eine Vertrauenskette auf Geräten für VPN- und WLAN-Verbindungen, wenn die Serverauthentifizierung erforderlich ist.These certificates configure a chain of trust on devices for VPN and Wi-Fi connections when server authentication is required.

  • Überwachen und Melden der installierten Zertifikate.Monitor and report about the installed certificates.

Beispiel 1: Alle Mitarbeiter müssen eine Verbindung zu WLAN-Hotspots an mehreren Bürostandorten herstellen.Example 1: All employees need to connect to Wi-Fi hotspots in multiple office locations. Um die einfache Benutzerverbindung zu ermöglichen, stellen Sie zunächst die Zertifikate bereit, die für die WLAN-Verbindung erforderlich sind.To enable easy user connection, first deploy the certificates needed to connect to Wi-Fi. Stellen Sie anschließend die WLAN-Profile bereit, die auf das Zertifikat verweisen.Then deploy Wi-Fi profiles that reference the certificate.

Beispiel 2: Sie verfügen über eine PKI.Example 2: You have a PKI in place. Sie möchten zu einer flexibleren und sichereren Methode für die Bereitstellung von Zertifikaten wechseln.You want to move to a more flexible, secure method of deploying certificates. Benutzer müssen von ihren persönlichen Geräten aus auf Unternehmensressourcen zugreifen können, ohne die Sicherheit zu gefährden.Users need to access organizational resources from their personal devices without compromising security. Konfigurieren Sie Zertifikatprofile mit Einstellungen und Protokollen, die von der jeweiligen Geräteplattform unterstützt werden.Configure certificate profiles with settings and protocols that are supported for the specific device platform. Die Geräte können diese Zertifikate dann automatisch von einem mit dem Internet verbundenen Registrierungsserver anfordern.The devices can then automatically request these certificates from an internet-facing enrollment server. Konfigurieren Sie anschließend VPN-Profile, die diese Zertifikate verwenden, damit das Gerät auf die Organisationsressourcen zugreifen kann.Then, configure VPN profiles to use these certificates so that the device can access organizational resources.

TypenTypes

Es gibt drei Arten von Zertifikatprofilen:There are three types of certificate profiles:

  • Vertrauenswürdiges Zertifizierungsstellenzertifikat: Stellen Sie ein vertrauenswürdiges Zertifikat der Stamm- oder Zwischenzertifizierungsstelle bereit.Trusted CA certificate: Deploy a trusted root CA or intermediate CA certificate. Diese Zertifikate bilden eine Vertrauenskette, wenn das Gerät einen Server authentifizieren muss.These certificates form a chain of trust when the device must authenticate a server.

  • Simple Certificate Enrollment-Protokoll (SCEP): Fordern Sie mithilfe des SCEP-Protokolls ein Zertifikat für ein Gerät oder einen Benutzer an.Simple Certificate Enrollment Protocol (SCEP): Request a certificate for a device or user by using the SCEP protocol. Dieser Typ erfordert eine NDES-Rolle (Registrierungsdienst für Netzwerkgeräte) auf einem Server unter Windows Server 2012 R2 oder höher.This type requires the Network Device Enrollment Service (NDES) role on a server running Windows Server 2012 R2 or later.

    Sie müssen ein vertrauenswürdiges Zertifikat der Zertifizierungsstelle erstellen, um ein Zertifikatprofil des Typs Simple Certificate Enrollment Protocol (SCEP) erstellen zu können.To create a Simple Certificate Enrollment Protocol (SCEP) certificate profile, first create a Trusted CA certificate profile.

  • Privater Informationsaustausch (.pfx): Erfordert für ein Gerät oder einen Benutzer ein PFX-Zertifikat (auch als PKCS #12-Zertifikat bezeichnet).Personal information exchange (.pfx): Request a .pfx (also known as PKCS #12) certificate for a device or user. Es gibt zwei Methoden zur Erstellung von PFX-Zertifikatprofilen:There are two methods to create PFX certificate profiles:

    Hinweis

    Configuration Manager aktiviert dieses optionale Feature nicht automatisch.Configuration Manager doesn't enable this optional feature by default. Sie müssen dieses Feature aktivieren, bevor Sie es verwenden.You must enable this feature before using it. Weitere Informationen finden Sie unter Enable optional features from updates (Aktivieren optionaler Features von Updates).For more information, see Enable optional features from updates.

    Sie können Microsoft oder Entrust als Zertifizierungsstellen für PFX-Zertifikate (Personal information exchange) nutzen.You can use Microsoft or Entrust as certificate authorities for Personal information exchange (.pfx) certificates.

Requirements (Anforderungen)Requirements

Um Zertifikatprofile bereitzustellen, die SCEP verwenden, installieren Sie den Zertifikatregistrierungspunkt auf einem Standortsystemserver.To deploy certificate profiles that use SCEP, install the certificate registration point on a site system server. Installieren Sie ebenso ein Richtlinienmodul für den Registrierungsdienst für Netzwerkgeräte, das Configuration Manager-Richtlinienmodul, auf einem Server, der Windows Server 2012 R2 oder höher ausführt.Also install a policy module for NDES, the Configuration Manager Policy Module, on a server that runs Windows Server 2012 R2 or later. Dieser Server erfordert die Rolle „Active Directory-Zertifikatdienste“.This server requires the Active Directory Certificate Services role. Er erfordert auch ein funktionierendes NDES, das für die Geräte, die die Zertifikate benötigen, zugänglich ist.It also requires a working NDES that's accessible to the devices that require the certificates. Wenn sich Ihre Geräte für Zertifikate aus dem Internet anmelden müssen, dann muss Ihr NDES-Server aus dem Internet zugänglich sein.If your devices need to enroll for certificates from the internet, then your NDES server must be accessible from the internet. Zur sicheren Aktivierung des Datenverkehrs zum NDES-Server aus dem Internet können Sie z. B. Azure-Anwendungsproxy verwenden.For example, to safely enable traffic to the NDES server from the internet, you can use Azure Application Proxy.

PFX-Zertifikate erfordern auch einen Zertifikatregistrierungspunkt.PFX certificates also require a certificate registration point. Geben Sie auch die Zertifizierungsstelle (Certificate Authority – CA) für das Zertifikat und die notwendigen Anmeldeinformationen an.Also specify the certificate authority (CA) for the certificate and the relevant access credentials. Sie können entweder Microsoft oder Entrust als Zertifizierungsstelle angeben.You can specify either Microsoft or Entrust as certificate authorities.

Weitere Informationen zur Unterstützung von Richtlinienmodulen durch das SCEP, damit Configuration Manager Zertifikate bereitstellen kann, finden Sie unter Verwenden eines Richtlinienmoduls mit dem Simple Certificate Enrollment-Protokoll.For more information about how NDES supports a policy module so that Configuration Manager can deploy certificates, see Using a Policy Module with the Network Device Enrollment Service.

Configuration Manager unterstützt die anforderungs-, gerätetyp- und betriebssystemabhängige Bereitstellung von Zertifikaten für unterschiedliche Zertifikatspeicher.Depending on the requirements, Configuration Manager supports deploying certificates to different certificate stores on various device types and operating systems. Folgende Geräte und Betriebssysteme werden unterstützt:The following devices and operating systems are supported:

  • Windows 10Windows 10

  • Windows 10 MobileWindows 10 Mobile

  • Windows 8.1Windows 8.1

  • Windows Phone 8.1Windows Phone 8.1

Hinweis

Verwenden Sie die lokale Verwaltung mobiler Geräte von Configuration Manager, um Windows Phone 8.1 und Windows 10 Mobile zu verwalten.Use Configuration Manager on-premises MDM to manage Windows Phone 8.1 and Windows 10 Mobile. Weitere Informationen finden Sie unter Lokale Verwaltung mobiler Geräte.For more information, see On-premises MDM.

Ein typisches Szenario für Configuration Manager ist die Installation vertrauenswürdiger Zertifikate einer Stammzertifizierungsstelle zur Authentifizierung von WLAN- und VPN-Servern.A typical scenario for Configuration Manager is to install trusted root CA certificates to authenticate Wi-Fi and VPN servers. Typische Verbindungen verwenden die folgenden Protokolle:Typical connections use the following protocols:

  • Authentifizierungsprotokolle: EAP-TLS, EAP-TTLS und PEAPAuthentication protocols: EAP-TLS, EAP-TTLS, and PEAP
  • VPN-Tunneling-Protokolle: IKEv2, L2TP/IPsec und Cisco IPsecVPN tunneling protocols: IKEv2, L2TP/IPsec, and Cisco IPsec

Ein Zertifikat einer Stammzertifizierungsstelle des Unternehmens muss auf dem Gerät installiert sein. Nur dann können vom Gerät mithilfe eines SCEP-Zertifikatprofils Zertifikate angefordert werden.An enterprise root CA certificate must be installed on the device before the device can request certificates by using a SCEP certificate profile.

Sie können Einstellungen in einem SCEP-Zertifikatprofil angeben, um benutzerdefinierte Zertifikate für unterschiedliche Umgebungen oder Verbindungsanforderungen anzufordern.You can specify settings in a SCEP certificate profile to request customized certificates for different environments or connectivity requirements. Der Assistent zum Erstellen von Zertifikatprofilen verfügt über zwei Seiten für Parameter für die Anmeldung.The Create Certificate Profile Wizard has two pages for enrollment parameters. Die erste Seite SCEP-Anmeldung enthält Einstellungen für die Anmeldeanforderung sowie zum Installationsort des Zertifikats.The first, SCEP Enrollment, includes settings for the enrollment request and where to install the certificate. Auf der zweiten Seite Zertifikateigenschaften wird das angeforderte Zertifikat beschrieben.The second, Certificate Properties, describes the requested certificate itself.

BereitstellenDeploy

Wenn Sie ein SCEP-Zertifikatprofil bereitstellen, verarbeitet der Configuration Manager-Client die Richtlinie.When you deploy a SCEP certificate profile, the Configuration Manager client processes the policy. Anschließend fordert er vom Verwaltungspunkt ein SCEP-Abfragekennwort an.It then requests a SCEP challenge password from the management point. Das Gerät erstellt ein Schlüsselpaar aus öffentlichem und privatem Schlüssel und erzeugt eine Zertifikatsignieranforderung (CSR).The device creates a public/private key pair, and generates a certificate signing request (CSR). Diese Anforderung wird an den NDES-Server gesendet.It sends this request to the NDES server. Der NDES-Server leitet die Anforderung über das NDES-Richtlinienmodul an das Standortsystem für den Zertifikatregistrierungspunkt weiter.The NDES server forwards the request to the certificate registration point site system via the NDES policy module. Der Zertifikatregistrierungspunkt überprüft die Anforderung, prüft das SCEP-Abfragekennwort und verifiziert, dass die Anforderung nicht manipuliert wurde.The certificate registration point validates the request, checks the SCEP challenge password, and verifies that the request wasn't tampered with. Er genehmigt dann die Anforderung oder lehnt sie ab.It then approves or denies the request. Falls genehmigt, sendet der NDES-Server die Signieranforderung zum Signieren an die verbundene Zertifizierungsstelle (CA).If approved, the NDES server sends the signing request to the connected certificate authority (CA) for signing. Die Zertifizierungsstelle signiert die Anforderung und sendet das Zertifikat dann an das anfordernde Gerät zurück.The CA signs the request, and then it returns the certificate to the requesting device.

Stellen Sie Zertifikatprofile für Benutzer- oder Gerätesammlungen bereit.Deploy certificate profiles to user or device collections. Sie können den Zielspeicher für jedes Zertifikat angeben.You can specify the destination store for each certificate. Die Anwendbarkeitsregeln bestimmen, ob das Gerät das Zertifikat installieren kann.Applicability rules determine whether the device can install the certificate.

Beim Bereitstellen von Zertifikatprofilen für Benutzersammlungen wird durch die Affinität zwischen Benutzer und Gerät bestimmt, auf welchen Geräten der Benutzer die Zertifikate installiert werden.When you deploy a certificate profile to a user collection, user device affinity determines which of the users' devices install the certificates. Wenn Sie ein Zertifikatprofil mit einem Benutzerzertifikat für eine Gerätesammlung bereitstellen, werden die Zertifikate standardmäßig auf jedem der primären Geräte der Benutzer installiert.When you deploy a certificate profile with a user certificate to a device collection, by default each of the users' primary devices install the certificates. Das Verhalten, dass das Zertifikat auf allen Geräten der Benutzer bereitgestellt wird, können Sie auf der Seite SCEP-Anmeldung des Assistenten zum Erstellen von Zertifikatprofilen ändern.To install the certificate on any of the users' devices, change this behavior on the SCEP Enrollment page of the Create Certificate Profile Wizard. Wenn sich die Geräte in einer Arbeitsgruppe befinden, stellt Configuration Manager keine Benutzerzertifikate bereit.If the devices are in a workgroup, Configuration Manager doesn't deploy user certificates.

ÜberwachenMonitor

Sie können Zertifikatprofilbereitstellungen überwachen, indem Sie Konformitätsergebnisse oder -berichte anzeigen.You can monitor certificate profile deployments by viewing compliance results or reports. Weitere Informationen finden Sie unter Überwachen von Zertifikatprofilen.For more information, see How to monitor certificate profiles.

Automatische SperrungAutomatic revocation

Configuration Manager widerruft automatisch Benutzer- und Computerzertifikate, die unter den folgenden Umständen mithilfe von Zertifikatprofilen erstellt wurden:Configuration Manager automatically revokes user and computer certificates that were deployed by using certificate profiles in the following circumstances:

  • Die Verwaltung in Configuration Manager wurde für dieses Gerät außer Kraft gesetzt.The device is retired from Configuration Manager management.

  • Das Gerät wurde in der Configuration Manager-Hierarchie gesperrt.The device is blocked from the Configuration Manager hierarchy.

Zum Sperren der Zertifikate wird vom Standortserver ein Sperrbefehl an die ausstellende Zertifizierungsstelle gesendet.To revoke the certificates, the site server sends a revocation command to the issuing certification authority. Der Grund für die Sperre ist Vorgangsende.The reason for the revocation is Cease of Operation.

Hinweis

Um ein Zertifikat ordnungsgemäß zu sperren, benötigt das Computerkonto für die Site auf oberster Hierarchieebene die Erlaubnis, Zertifikate bei der Zertifizierungsstelle auszustellen und zu verwalten.To properly revoke a certificate, the computer account for the top-level site in the hierarchy needs the permission to issue and manage certificates on the CA.

Sie können zur Verbesserung der Sicherheit auch Zertifizierungsstellen-Manager für die Zertifizierungsstelle einschränken.For improved security, you can also restrict CA managers on the CA. Geben Sie diesem Konto dann nur Berechtigungen für die spezifische Zertifikatvorlage, die Sie für die SCEP-Profile auf der Site verwenden.Then only give this account permissions on the specific certificate template that you use for the SCEP profiles on the site.

Nächste SchritteNext steps