Bereitstellen von Zertifikaten für Clients für mobile Geräte

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 kann für das Bereitstellen von Zertifikaten für mobile Geräte verwendet werden. Häufige Szenarien für die Bereitstellung von Zertifikaten für mobile Geräte sind u. a.:

  • Bereitstellen von Stammzertifikaten und allen erforderlichen Zwischenzertifizierungsstellen-Zertifikaten für die Clientinstallation im einheitlichen Modus oder im Serverauthentifizierungsmodus auf mobilen Geräten

  • Bereitstellen von Clientzertifikaten bei der Migration vom gemischten zum einheitlichen Modus

  • Bereitstellen von Zertifikaten für Drittanbieteranwendungen

  • Bereitstellen des Configuration Manager 2007-Standortserversignaturzertifikats

Sie müssen vor der Bereitstellung von Zertifikaten exportierte Zertifikate für Ihre Stammzertifizierungsstelle und alle Zwischenzertifizierungsstellen in der Form von X.509.CER-Dateien erwerben.

Von Configuration Manager 2007 können Zertifikate mithilfe der folgenden Methoden bereitgestellt werden:

  • Konfigurationselement für die Zertifikatinstallation

  • Installation oder Aktualisierung des Clients für mobile Geräte

Weitere Informationen zur Installation von Zertifikaten auf mobilen Geräten finden Sie unter Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate.

Bereitstellen von Zertifikaten mithilfe des Konfigurationselements für die Zertifikatinstallation

Mithilfe des Konfigurationselements für die Zertifikatinstallation können Zertifikate auf mit Configuration Manager 2007 verwalteten Clients für mobile Geräte bereitgestellt werden. Weitere Informationen zum Verwenden des Konfigurationselement-Assistenten finden Sie unter Erstellen von Konfigurationselementen für mobile Geräte.

Zertifikatspeicher auf mobilen Geräten

Windows Mobile-Geräte besitzen folgende Zertifikatspeicher:

  • Stamm: Die Stammzertifikate für das mobile Gerät. Stammspeicher werden hauptsächlich zum Überprüfen verwendet, ob ein angebotenes Zertifikat erfolgreich mit einer vertrauenswürdigen Stammzertifizierungsstelle verknüpft ist. Dieser Speicher wird nicht für die Codeausführung verwendet. Eine Kopie des Standortserver-Signaturzertifikats wird hier gespeichert.

  • Zertifikate von Softwareherausgebern: Mit Zertifikaten von Softwareherausgebern (Software Publishing Certificate, SPC) werden die Berechtigungsstufen für Drittanbietersoftwareprogramme definiert. Es gibt zwei Arten von SPC-Zertifikaten:

    • Privilegiert: Privilegierte Zertifikate verfügen über Managerrechte auf mobilen Geräten und uneingeschränkten Zugriff auf die Registrierung.

    • Nicht privilegiert: Nicht privilegierte Zertifikate verfügen über eingeschränkte Rechte auf mobilen Geräten und haben auf bestimmte Bereiche der Registrierung keinen Zugriff.

  • Zwischenzertifizierungsstellen-Zertifikat: Zwischenzertifizierungsstellen-Zertifikate dienen zur Authentifizierung einer geschlossenen Kette von Zertifizierungsstellen zur Stammzertifizierungsstelle.

Bereitstellen von Zertifikaten während der Installation oder Aktualisierung des Clients für mobile Geräte

Bei der Installation oder Aktualisierung des Configuration Manager 2007-Clients für mobile Geräte wird ein Einschreibungsprogramm für die Bereitstellung von Zertifikaten auf mobilen Geräten verwendet. Weitere Informationen zu den von mobilen Geräten im einheitlichen Modus benötigten Zertifikaten finden Sie unter Informationen zu den im einheitlichen Modus erforderlichen Zertifikaten für Clients für mobile Geräte.

Für das Bereitstellen von Zertifikaten während der Installation oder Aktualisierung des Clients für mobile Geräte wird Folgendes benötigt:

Weitere Informationen zur Installation oder Aktualisierung des Clients für mobile Geräte finden Sie unter Installieren oder Aktualisieren des Clients für die Verwaltung mobiler Geräte.

Zertifikatwerte in den Dateien „DMCommonInstaller.ini“ und „ClientSettings.ini“

Die Dateien „DMCommonInstaller.ini“ und „ClientSettings.ini“ definieren Werte für die Zertifikatbereitstellung und müssen für Ihre spezielle Umgebung bearbeitet werden. Im Folgenden werden Wertekategorien für die Bereitstellung von Zertifikaten für Geräte aufgelistet:

  • Zertifikateinschreibung

  • Importieren von Zertifikaten

  • Erneuern des Standortserver-Signaturzertifikats

Zertifikateinschreibungswerte

Die folgenden Werte in der Datei „DMCommonInstaller.ini“ oder „ClientSettings.ini“ werden während der Installation oder Aktualisierung des Clients zum Definieren der Zertifikateinschreibung verwendet. Definieren Sie diese Werte für die Standortumgebung, wenn Zertifikate eingeschrieben werden müssen:

  • CertEnrollAction=Enroll

  • CertEnrollServer=certserver.contoso.com

  • CertEnrollServerPort=80

    Hinweis

    HTTPS wird von der Configuration Manager 2007-Zertifikateinschreibung für mobile Geräte nicht unterstützt.

  • CertRequestPage=/certsrv/certfnsh.asp

  • CertDownloadPage=/certsrv/certnew.cer

  • CertChainDownloadPage=/certsrv/certnew.p7b

Wenn für „CertEnrollAction“ der Wert „Enroll“ angegeben ist, überprüft die Einschreibungsanwendung („Enroll_ARM.exe“, „Enroll_WinCE5.0_x86.exe“ oder „Enroll_WinCE5.0_ARM.exe“) den privaten Speicher des mobilen Geräts auf ein gültiges Clientauthentifizierungszertifikat. Wenn kein Clientauthentifizierungszertifikat gefunden wird, wird der Benutzer des mobilen Geräts aufgefordert, sich zu authentifizieren, und im privaten Speicher des mobilen Geräts wird ein Clientauthentifizierungszertifikat eingeschrieben. Die Parameter für den Einschreibungsprozess werden mit zusätzlichen Werten der Datei „DMCommonInstaller.ini“ oder „ClientSettings.ini“ definiert. Weitere Informationen finden Sie unter Bearbeiten der Datei „DMCommonInstaller.ini“ für die Verwaltung mobiler Geräte oder Bearbeiten der Datei „ClientSettings.ini“ für die Verwaltung mobiler Geräte.

Importieren von Zertifikatwerten: ImportCerts

Wenn der Wert „ImportCerts“ in der Datei „DMCommonInstaller.ini“ oder „ClientSettings.ini“ auf „True“ festgelegt ist, werden vom Setupprogramm Zertifikatdateien (.CER) aus dem Clientübertragungsverzeichnis in den Stammspeicher des mobilen Geräts importiert. Diese Option wird nicht zum Einrichten des einheitlichen Modus benötigt, wenn sich die erforderlichen Zertifikate bereits auf dem mobilen Gerät befinden. Zertifikate müssen im Format „DER-codiertes binäres X.509“ (Distinguished Encoding Rules) importiert werden. Zertifikate im Format „Base64-codiertes X.509“ werden nicht unterstützt.

Erneuern von Standortserver-Signaturzertifikaten

Der Wert „EnableSSSCRenewal“ in der Datei „DMCommonInstaller.ini“ oder „ClientSettings.ini“ gibt an, ob ein Standortserver-Signaturzertifikat heruntergeladen und installiert werden muss, wenn ein neues Zertifikat auf dem Standortserver verfügbar ist. Wenn der Wert „EnableSSCRenewal“ auf „false“ festgelegt ist, muss der Administrator manuell ein aktualisiertes Standortserver-Signaturzertifikat bereitstellen.

Siehe auch

Konzepte

Informationen zu den im einheitlichen Modus erforderlichen Zertifikaten für Clients für mobile Geräte
Bereitstellen der Zwischenzertifizierungsstellen-Zertifikate für Configuration Manager-Computer
Bearbeiten der Datei „ClientSettings.ini“ für die Verwaltung mobiler Geräte
Bearbeiten der Datei „DMCommonInstaller.ini“ für die Verwaltung mobiler Geräte
Installieren oder Aktualisieren des Clients für die Verwaltung mobiler Geräte

Andere Ressourcen

Eigenschaften von Zertifikatinstallation

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com