Bereitstellen der Webserverzertifikate für Standortsystemserver

  • Artikel

Letzte Aktualisierung: April 2010

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Die folgenden Standortsysteme erfordern Webserverzertifikate, wenn ein Configuration Manager 2007-Standort für den einheitlichen Modus konfiguriert ist:

  • Verwaltungspunkte (Standardverwaltungspunkt, Proxyverwaltungspunkt, Verwaltungspunkte mit Netzwerklastenausgleich, internetbasierter Verwaltungspunkt)

  • Standardverwaltungspunkte (Server und Freigaben), die mit der Option Übertragung von Inhalten von diesem Verteilungspunkt über BITS, HTTP und HTTPS durch Clients ermöglichen (erforderlich für Geräteclients und internetgestützte Clients) konfiguriert sind.

  • Softwareupdatepunkte

  • Zustandsmigrationspunkte

Hinweis

Für Zweigverteilungspunkte ist kein Webserverzertifikat erforderlich. Sie benötigen jedoch ein Clientzertifikat.

Das Bereitstellen der Webserverzertifikate erfolgt in zwei Schritten:

  1. Installieren des Webserverzertifikats auf dem Server

  2. Konfigurieren von Internetinformationsdiensten (Internet Information Services, IIS) für die Verwendung des Webserverzertifikats

Installieren des Webserverzertifikats auf einem Server

Zum Installieren der Webserverzertifikate stehen verschiedene Möglichkeiten zur Auswahl:

  • Wenn Sie eine Microsoft PKI (Public Key-Infrastruktur) mit einer Unternehmenszertifizierungsstelle verwenden, können Sie die Zertifikate basierend auf der Webservervorlage erstellen und den Servern mithilfe von Gruppenrichtlinien und der automatischen Einschreibung zuweisen.

  • Wenn Sie eine Microsoft PKI mit Webeinschreibung verwenden, die das Speichern von Zertifikaten im lokalen Computerspeicher unterstützt, können Sie von jedem Server mithilfe der Webeinschreibungsseiten ein Webserverzertifikat anfordern.

  • Sie können das Zertifikat von jedem Server über Internetinformationsdienste (IIS) oder durch Ausführen eines Assistenten abrufen. Wenn Sie z. B. IIS 7.0 mit Windows Server 2008 verwenden, wählen Sie auf der Startseite Serverzertifikate aus, und klicken dann auf Zertifikatanforderung erstellen, um eine Datei zur Zertifikatanforderung zu erstellen. Wenn Sie IIS 6.0 mit Windows Server 2003 verwenden, bearbeiten Sie die Eigenschaften der Website, klicken auf die Registerkarte Verzeichnissicherheit, und klicken dann auf Serverzertifikat, um eine Onlineanforderung oder eine Datei zur Zertifikatanforderung zu erstellen.

  • Sie können das Zertifikat mithilfe des Befehlszeilendienstprogramms Microsoft Certreq anfordern und abrufen.

  • Wenn Sie das Zertifikat mit Ihren Zertifikatverwaltungstools erstellen, können Sie es exportieren und auf jedem Server importieren.

Hinweis

Informationen dazu, wie Sie mehr als einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) im Zertifikatfeld Alternativer Antragstellername angeben können (wenn vom Standortsystem beispielsweise Intranet- und Internetclientverbindungen unterstützt werden oder wenn es sich um ein Netzwerklastenausgleich-Standortsystem handelt) finden Sie unter How to Request a Certificate With a Custom Subject Alternative Name (Anfordern eines Zertifikats mit einem benutzerdefinierten alternativen Antragstellernamen; https://go.microsoft.com/fwlink/?LinkId=189292).

Konfigurieren von IIS für die Verwendung des Webserverzertifikats auf einem Server

Nach der Installation des Webserverzertifikats muss IIS so konfiguriert werden, dass das Zertifikat von der Configuration Manager 2007-Website zur Authentifizierung und Verschlüsselung verwendet wird. Die Installation kann über ein Skript oder mit der ISS-Manager-Konsole erfolgen.

Zum Konfigurieren von IIS für die Verwendung des Webserverzertifikats mithilfe der ISS-Manager-Konsole führen Sie einen der folgenden Schritte aus (abhängig von der verwendeten ISS-Version):

  • Für IIS 7.0 mit Windows Server 2008: Erweitern Sie Sites, wählen Sie die von Configuration Manager verwendete Website aus (Standardwebsite oder SMSWEB), klicken Sie auf Bindungen bearbeiten, und konfigurieren Sie dann HTTPS für die Verwendung des Webserverzertifikats.

  • Für IIS 6.0 mit Windows Server 2003: Bearbeiten Sie die Eigenschaften der von Configuration Manager verwendeten Website (Standardwebsite oder SMSWEB). Wählen Sie das Webserverzertifikat aus, das verwendet werden soll, indem Sie auf der Registerkarte Verzeichnissicherheit auf Serverzertifikat klicken. Auf diese Weise wird der Assistent für Webserverzertifikate gestartet, in dem Sie aufgefordert werden, das zu verwendende Webserverzertifikat auszuwählen.

Hinweis

SMSWEB ist der Name der Website, wenn Sie eine benutzerdefinierte Website für Configuration Manager 2007 verwenden. Weitere Informationen zur Verwendung von benutzerdefinierten Websites in Configuration Manager 2007 finden Sie unter Übersicht über benutzerdefinierte Websites in Configuration Manager und unter Konfigurieren von benutzerdefinierten Websites für Configuration Manager-Standorte.

Siehe auch

Konzepte

Bestimmen, ob eine CTL (Certificate Trust List) mit IIS konfiguriert werden muss (einheitlicher Modus)

Andere Ressourcen

Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com