Exportieren von Zertifikaten für die Verwendung mit der Betriebssystembereitstellung

Letzte Aktualisierung: August 2013

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Wenn der Configuration Manager 2007-Standort im einheitlichen Modus betrieben wird, müssen Betriebssystembereitstellungen, die mit dem Verwaltungspunkt kommunizieren müssen, so konfiguriert werden, dass ein PKI-Zertifikat (Public Key-Infrastruktur) verwendet wird. Weitere Informationen zu den Zertifikatanforderungen für die Betriebssystembereitstellung finden Sie unter Informationen zu im einheitlichen Modus erforderlichen Zertifikaten und zur Betriebssystembereitstellung.

Wenn Sie die Betriebssystembereitstellungen mit dem erforderlichen Zertifikat konfigurieren möchten, importieren Sie eine PKCS-Datei (Public Key Certificate Standard, PKCS #12). Diese Datei wird außerhalb von Configuration Manager 2007 erstellt. Sie können diese Datei aber mithilfe der folgenden Prozeduren erstellen.

Bevor Sie diese Prozeduren ausführen, muss das Zertifikat bereits für einen Computer bereitgestellt worden sein. Die Zertifikatanforderungen lauten wie folgt:

  • Die vorgesehene Verwendung muss die Clientauthentifizierung einschließen.

  • Der private Schlüssel muss exportiert werden können.

Weitere Informationen zur Bereitstellung von Computerzertifikaten für die Configuration Manager-Kommunikation im einheitlichen Modus finden Sie unter Bereitstellen der Clientcomputerzertifikate für Clients und den Verwaltungspunkt.

Wichtig

Das für Betriebssystembereitstellungen erforderliche Computerzertifikat ist nicht mit dem für Configuration Manager 2007-Clients an einem Standort im einheitlichen Modus erforderlichen Zertifikat identisch.

Bei der Erstellung und Bereitstellung des Zertifikats für Betriebssystembereitstellungen ist Folgendes zu berücksichtigen:

  • Wenn Sie eine Microsoft PKI-Lösung und eine Enterprise Edition von Windows Server 2003-Zertifikatdiensten mit Vorlagen für die automatische Einschreibung verwenden, können Sie entweder die Computer- oder die Arbeitsstationsvorlage verwenden. Sie müssen die Vorlage aber so ändern (duplizieren und Kopie ändern), dass auf der Registerkarte Anforderungsverarbeitung der Zertifikatvorlage die Option Exportieren von privatem Schlüssel zulassen aktiviert ist.

  • Im Gegensatz zu den meisten Computerzertifikaten ist dieses Zertifikat nicht auf einen bestimmten Computer beschränkt (oder nur zu diesem zugehörig), sondern kann temporär von allen Computern verwendet werden, die Ziel von Betriebssystembereitstellungen am Standort im einheitlichen Modus sind. Aufgrund dieses Verhaltens können Sie das Zertifikat mit einem eindeutigen Identifizierungsattribut (z. B. benutzerdefinierter oder alternativer Antragstellername) erstellen und nur für Betriebssystembereitstellungen verwenden. Sollte das Zertifikat je kompromittiert werden, kann es leicht identifiziert und gesperrt werden, ohne dass andere Computer davon betroffen wären.

  • Sie können auch einen außergewöhnlich langen Gültigkeitszeitraum konfigurieren, um den Verwaltungsaufwand der Neukonfiguration der Betriebssystembereitstellungen in Übereinstimmung mit dem Zertifikatablaufdatum zu reduzieren.

Wenn das Zertifikat an einen Computer bereitgestellt wird, können Sie wie folgt vorgehen, um es zu exportieren und bei Betriebssystembereitstellungen zu verwenden. Wenn Sie einen PXE-Dienstpunkt verwenden, importieren Sie das exportierte Zertifikat als Teil der Datenbankkonfigurationseigenschaften. Wenn Sie Startmedien erstellen, importieren Sie das exportierte Zertifikat auf der Seite „Sicherheit“ des Tasksequenzmedien-Assistenten.

So exportieren Sie ein Zertifikat für die Verwendung bei der Betriebssystembereitstellung von Computern, die unter Windows 7 oder Windows Vista ausgeführt werden

  1. Melden Sie sich auf dem Windows 7- oder Windows Vista-Computer, auf dem das Zertifikat installiert ist, als lokaler Administrator an, klicken Sie auf Start, geben Sie im Feld Suchen den Suchbegriff mmc ein, und drücken Sie die Eingabetaste.

  2. Klicken Sie in der leeren Konsole auf Datei und anschließend auf Snap-In hinzufügen/entfernen.

  3. Wählen Sie im Dialogfeld Snap-In hinzufügen/entfernen die Option Zertifikate aus, und klicken Sie dann auf Hinzufügen.

  4. Wählen Sie auf der Seite Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie auf Weiter.

  5. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist. Klicken Sie anschließend auf Fertig stellen.

  6. Klicken Sie auf OK, um das Dialogfeld Eigenständiges Snap-In hinzufügen zu schließen.

  7. Doppelklicken Sie in der Konsole auf Zertifikate (Lokaler Computer).

  8. Erweitern Sie in der Konsole Persönlich.

  9. Suchen Sie das Zertifikat, das bei der Betriebssystembereitstellung verwendet werden soll.

  10. Klicken Sie mit der rechten Maustaste auf das benötigte Zertifikat, klicken Sie auf Alle Tasks und dann auf Exportieren, um den Zertifikatexport-Assistenten zu starten.

  11. Klicken Sie auf der Seite „Willkommen“ des Zertifikatexport-Assistenten auf Weiter.

  12. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel exportieren aus, und klicken Sie auf Weiter.

    Hinweis

    Ist diese Option nicht verfügbar, wurde das Zertifikat ohne Option zum Exportieren des privaten Schlüssels erstellt. In diesem Szenario können Sie das Zertifikat nicht im erforderlichen Format exportieren.

  13. Wählen Sie auf der Seite Format der zu exportierenden Datei die Option Privater Informationsaustausch - PKCS #12 (.PFX) aus.

    Hinweis

    Wählen Sie optional Privaten Schlüssel nach erfolgreichem Export löschen aus. Dadurch wird gewährleistet, dass das Zertifikat nach dem Export nicht auf dem Computer verwendet werden kann. Das Zertifikat kann dann nur für Betriebssystembereitstellungen verwendet werden. Sie können das Zertifikat auch nach Abschluss des Exports manuell vom Computer löschen.

  14. Geben Sie auf der Seite Kennwort ein sicheres Kennwort zum Schutz des exportierten Zertifikats mit seinem privaten Schlüssel an, und klicken Sie auf Weiter.

  15. Geben Sie auf der Seite Zu exportierende Datei den Namen der Datei an, die exportiert werden soll, und klicken Sie auf Weiter.

  16. Um den Assistenten zu schließen, klicken Sie im Dialogfeld Zertifikatexport-Assistent auf Fertig stellen.

  17. Speichern Sie die Datei an einem sicheren Ort, und gewährleisten Sie, dass Sie von der Configuration Manager-Konsole darauf zugreifen können.

So exportieren Sie ein Zertifikat für die Verwendung bei der Betriebssystembereitstellung von Computern, die unter Windows XP Professional oder Windows Server 2003 ausgeführt werden

  1. Klicken Sie auf dem Windows XP Professional- oder Windows Server 2003-Computer, auf dem das Zertifikat installiert ist, auf Start, klicken Sie auf Ausführen, geben Sie im Dialogfeld AusführenMMC ein, und klicken Sie auf OK.

  2. Klicken Sie in der leeren Konsole auf Datei und anschließend auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf Hinzufügen.

  4. Wählen Sie unter Verfügbare Snap-InsZertifikate aus, und klicken Sie auf Hinzufügen.

  5. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto, und klicken Sie auf Weiter.

  6. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist. Klicken Sie anschließend auf Fertig stellen.

  7. Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf OK.

  8. Erweitern Sie in der Konsole Zertifikate (Lokaler Computer).

  9. Erweitern Sie Persönlich, und klicken Sie auf Zertifikate.

  10. Suchen Sie im Ergebnisbereich nach dem Zertifikat, das bei Betriebssystembereitstellungen verwendet werden soll.

  11. Klicken Sie mit der rechten Maustaste auf das benötigte Zertifikat, klicken Sie auf Alle Tasks und dann auf Exportieren.

  12. Klicken Sie im Assistenten zum Exportieren von Zertifikaten auf Weiter.

  13. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel exportieren aus, und klicken Sie auf Weiter.

    Hinweis

    Ist diese Option nicht verfügbar, wurde das Zertifikat ohne Option zum Exportieren des privaten Schlüssels erstellt. In diesem Szenario können Sie das Zertifikat nicht im erforderlichen Format exportieren.

  14. Wählen Sie auf der Seite Format der zu exportierenden Datei die Option Privater Informationsaustausch - PKCS #12 (.PFX) aus.

    Hinweis

    Wählen Sie optional Privaten Schlüssel nach erfolgreichem Export löschen aus. Dadurch wird gewährleistet, dass das Zertifikat nach dem Export nicht auf dem Computer verwendet werden kann. Das Zertifikat kann dann nur für Betriebssystembereitstellungen verwendet werden. Sie können das Zertifikat auch nach Abschluss des Exports manuell vom Computer löschen.

  15. Geben Sie auf der Seite Kennwort ein sicheres Kennwort zum Schutz des exportierten Zertifikats mit seinem privaten Schlüssel an, und klicken Sie auf Weiter.

  16. Geben Sie auf der Seite Zu exportierende Datei den Namen der Datei an, die exportiert werden soll, und klicken Sie auf Weiter.

  17. Klicken Sie im Dialogfeld Zertifikatexport-Assistent auf OK, um den Assistenten zu schließen.

  18. Speichern Sie die Datei an einem sicheren Ort, und gewährleisten Sie, dass Sie von der Configuration Manager-Konsole darauf zugreifen können.

Siehe auch

Tasks

Vorbereiten der Stammzertifizierungsstellen-Zertifikate für Betriebssystem-Bereitstellungsclients

Konzepte

Configuration Manager-Standortmodi
Informationen zu im einheitlichen Modus erforderlichen Zertifikaten und zur Betriebssystembereitstellung
Bereitstellen der Clientcomputerzertifikate für Clients und den Verwaltungspunkt

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com