Angeben der Auswahlkriterien für Clientzertifikate

Letzte Aktualisierung: November 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Wenn Configuration Manager 2007 im einheitlichen Modus betrieben wird, kommunizieren die Clients mit dem Standort mithilfe von Clientzertifikaten, die außerhalb von Configuration Manager 2007 verwaltet werden. Wenn mehrere Zertifikate für die Verwendung zur Verfügung stehen, ist es wichtig, dass das richtige Zertifikat für die Configuration Manager 2007-Clientkommunikation ausgewählt wird. In diesem Fall müssen Sie eine Methode für die Auswahl des Zertifikats angeben.

Für diese Konfiguration können zwei Vorgehensweisen verwendet werden. Wählen Sie die Vorgehensweise aus, die für Ihre Umgebung am besten geeignet ist. Die beiden verfügbaren Vorgehensweisen sind die folgenden:

• Veröffentlichen Sie die Einstellungen in den Active Directory-Domänendiensten. Geben Sie zum Veröffentlichen der Einstellungen in den Active Directory-Domänendiensten die Einstellungen unter Standorteigenschaften: Registerkarte „Standortmodus“ an. Für Clients, die anhand dieser Konfigurationsmethode mit den Einstellungen konfiguriert werden sollen, müssen die folgenden Bedingungen erfüllt sein:

  • Active Directory-Domänendienste müssen mit den Configuration Manager 2007-Schemaerweiterungen erweitert sein.

  • Der Standort muss in den Active Directory-Domänendiensten veröffentlichen.

  • Clients müssen sich im Intranet befinden.

  • Clients müssen sich in derselben Active Directory-Gesamtstruktur befinden wie die Gesamtstruktur des Standortservers.

• Geben Sie die Einstellungen mithilfe der Befehlszeilenoptionen von „CCMSetup.exe“ an. Sie können die CCMSetupoptionen bei der Erstinstallation des Clients oder in einem nach der Installation auszuführenden Skript verwenden. Bei Bereitstellung der Optionen per Skript wird der Client unter Anwendung der neuen Konfiguration neu installiert.

  Wenn der Client bereits installiert ist, können Sie die CCMSetup-Befehle mithilfe des Softwareverteilungsfeatures an den Client senden oder Configuration Manager 2007-Tasksequenzen zu diesem Zweck verwenden. Wenn die mit CCMSetup bereitgestellten Einstellungen mit den in den Active Directory-Domänendiensten veröffentlichten Einstellungen in Konflikt stehen und Clients in den Active Directory-Domänendiensten auf die Einstellungen zugreifen können, haben die Einstellungen der Active Directory-Domänendienste Vorrang vor den mit CCMSetup angegebenen Einstellungen.

Sie können die Einstellungen auch mithilfe Ihrer eigenen Clientverwaltungstools angeben, wobei die Einstellungen möglicherweise in ein Standard-Buildabbild integriert und benutzerdefinierte Skripts zum Bearbeiten der Registrierung bereitgestellt werden.

So geben Sie die Auswahlkriterien für Clientzertifikate durch Veröffentlichen der Einstellungen in den Active Directory-Domänendiensten an

1. Wechseln Sie in der Configuration Manager-Konsole zu System CenterConfiguration Manager > Standortdatenbank > Standortverwaltung.

2. Klicken Sie mit der rechten Maustaste auf <Standortcode> –<Standortname>, und klicken Sie dann auf Eigenschaften.

3. Stellen Sie sicher, dass im Eigenschaftendialogfeld des Standorts auf der Registerkarte Standortmodus für den Standortmodus die Option Einheitlich ausgewählt ist, und suchen Sie dann den Bereich In Active Directory veröffentlichte Clienteinstellungen.

4. Wählen Sie unter Zertifikatskriterien eine der folgenden Optionen aus. Wenn Sie eine Option auswählen, die eine Überprüfung auf Zeichenfolgen- oder Attributübereinstimmung verwendet, geben Sie die betreffende Zeichenfolge oder das betreffende Attribut in das dafür vorgesehene Textfeld ein:

   • Nur Zertifikatzweck überprüfen

   • Antragsteller oder alternativer Name enthält:

   • Antragsteller oder alternativer Name enthält Attribute:

5. Wählen Sie bei der Option Falls mehrere Zertifikate mit den Kriterien übereinstimmen eine der folgenden Optionen aus:

   • Beliebiges passendes Zertifikat auswählen. Wählen Sie diese Option aus, wenn der Client zur Kommunikation mit seinem Standort zufallsgesteuert ein Zertifikat aus der Liste der möglichen Zertifikate auswählen soll, die den Auswahlkriterien entsprechen. Wird jedoch Configuration Manager 2007 SP1 oder höher auf dem Client ausgeführt, wird das Zertifikat mit der längsten Gültigkeitsdauer ausgewählt.

   • Auswahl nicht zulassen und Fehlermeldung senden. Wählen Sie diese Option aus, wenn der Client kein Zertifikat für die Kommunikation mit seinem Standort auswählen soll. In diesem Fall unternimmt der Client keinen Versuch, eine Verbindung mit seinem Verwaltungspunkt herzustellen. Er sendet jedoch eine Fehlermeldung an seinen Fallbackstatuspunkt. Wenn mehrere Zertifikate verwendet werden können, ist diese Option sicherer und zuverlässiger.

6. Klicken Sie auf OK.

   Hinweis

   Weitere Informationen zu den Optionen in diesem Dialogfeld finden Sie unter Standorteigenschaften: Registerkarte „Standortmodus“.

So geben Sie die Auswahlkriterien für Clientzertifikate durch Angeben der Einstellungen über die Befehlszeilenoptionen von „CCMSetup.exe“ an

• Verwenden Sie „CCMSetup.exe“ mit dem Parameter CCMCERTSEL von „client.msi“. Weitere Informationen zu den CCMSetup-Optionen finden Sie unter Informationen zu Clientinstallationseigenschaften von Configuration Manager.

Siehe auch

Tasks

Angeben des Clientzertifikatspeichers

Konzepte

Zertifikatanforderungen für den einheitlichen Modus
Bestimmen, ob Clientzertifikateinstellungen angegeben werden müssen (einheitlicher Modus)

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com