Bereitstellen von Zertifikaten für Clients für mobile Geräte
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 kann für das Bereitstellen von Zertifikaten für mobile Geräte verwendet werden. Häufige Szenarien für die Bereitstellung von Zertifikaten für mobile Geräte sind u. a.:
Bereitstellen von Stammzertifikaten und allen erforderlichen Zwischenzertifizierungsstellen-Zertifikaten für die Clientinstallation im einheitlichen Modus oder im Serverauthentifizierungsmodus auf mobilen Geräten
Bereitstellen von Clientzertifikaten bei der Migration vom gemischten zum einheitlichen Modus
Bereitstellen von Zertifikaten für Drittanbieteranwendungen
Bereitstellen des Configuration Manager 2007-Standortserversignaturzertifikats
Sie müssen vor der Bereitstellung von Zertifikaten exportierte Zertifikate für Ihre Stammzertifizierungsstelle und alle Zwischenzertifizierungsstellen in der Form von X.509.CER-Dateien erwerben.
Von Configuration Manager 2007 können Zertifikate mithilfe der folgenden Methoden bereitgestellt werden:
Konfigurationselement für die Zertifikatinstallation
Installation oder Aktualisierung des Clients für mobile Geräte
Weitere Informationen zur Installation von Zertifikaten auf mobilen Geräten finden Sie unter Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate.
Bereitstellen von Zertifikaten mithilfe des Konfigurationselements für die Zertifikatinstallation
Mithilfe des Konfigurationselements für die Zertifikatinstallation können Zertifikate auf mit Configuration Manager 2007 verwalteten Clients für mobile Geräte bereitgestellt werden. Weitere Informationen zum Verwenden des Konfigurationselement-Assistenten finden Sie unter Erstellen von Konfigurationselementen für mobile Geräte.
Zertifikatspeicher auf mobilen Geräten
Windows Mobile-Geräte besitzen folgende Zertifikatspeicher:
Stamm: Die Stammzertifikate für das mobile Gerät. Stammspeicher werden hauptsächlich zum Überprüfen verwendet, ob ein angebotenes Zertifikat erfolgreich mit einer vertrauenswürdigen Stammzertifizierungsstelle verknüpft ist. Dieser Speicher wird nicht für die Codeausführung verwendet. Eine Kopie des Standortserver-Signaturzertifikats wird hier gespeichert.
Zertifikate von Softwareherausgebern: Mit Zertifikaten von Softwareherausgebern (Software Publishing Certificate, SPC) werden die Berechtigungsstufen für Drittanbietersoftwareprogramme definiert. Es gibt zwei Arten von SPC-Zertifikaten:
Privilegiert: Privilegierte Zertifikate verfügen über Managerrechte auf mobilen Geräten und uneingeschränkten Zugriff auf die Registrierung.
Nicht privilegiert: Nicht privilegierte Zertifikate verfügen über eingeschränkte Rechte auf mobilen Geräten und haben auf bestimmte Bereiche der Registrierung keinen Zugriff.
Zwischenzertifizierungsstellen-Zertifikat: Zwischenzertifizierungsstellen-Zertifikate dienen zur Authentifizierung einer geschlossenen Kette von Zertifizierungsstellen zur Stammzertifizierungsstelle.
Bereitstellen von Zertifikaten während der Installation oder Aktualisierung des Clients für mobile Geräte
Bei der Installation oder Aktualisierung des Configuration Manager 2007-Clients für mobile Geräte wird ein Einschreibungsprogramm für die Bereitstellung von Zertifikaten auf mobilen Geräten verwendet. Weitere Informationen zu den von mobilen Geräten im einheitlichen Modus benötigten Zertifikaten finden Sie unter Informationen zu den im einheitlichen Modus erforderlichen Zertifikaten für Clients für mobile Geräte.
Für das Bereitstellen von Zertifikaten während der Installation oder Aktualisierung des Clients für mobile Geräte wird Folgendes benötigt:
Wenn Zertifikate erforderlich und noch nicht auf dem mobilen Gerät vorhanden sind, können sie im Rahmen der Installation des Clients für mobile Geräte bereitgestellt werden. Schließen Sie die CER-Dateien in den Bereitstellungsordner des Clients für die Verwaltung mobiler Geräte ein. Diese Zertifikatdateien müssen das Format „DER-codiertes binäres X.509“ (Distinguished Encoding Rules) aufweisen. Das Format „Base64-codiertes X.509“ wird für mobile Geräte nicht unterstützt. Weitere Informationen finden Sie unter Bearbeiten der Datei „DMCommonInstaller.ini“ für die Verwaltung mobiler Geräte oder Bearbeiten der Datei „ClientSettings.ini“ für die Verwaltung mobiler Geräte.
Eine ordnungsgemäß konfigurierte „DMCommonInstaller.ini“ oder „ClientSettings.ini“-Datei. Legen Sie in der Datei „DMCommonInstaller.ini“ oder „ClientSettings.ini“ den Wert „ImportCerts=True“ fest. Weitere Informationen finden Sie unter Bearbeiten der Datei „DMCommonInstaller.ini“ für die Verwaltung mobiler Geräte oder Bearbeiten der Datei „ClientSettings.ini“ für die Verwaltung mobiler Geräte.
Weitere Informationen zur Installation oder Aktualisierung des Clients für mobile Geräte finden Sie unter Installieren oder Aktualisieren des Clients für die Verwaltung mobiler Geräte.
Zertifikatwerte in den Dateien „DMCommonInstaller.ini“ und „ClientSettings.ini“
Die Dateien „DMCommonInstaller.ini“ und „ClientSettings.ini“ definieren Werte für die Zertifikatbereitstellung und müssen für Ihre spezielle Umgebung bearbeitet werden. Im Folgenden werden Wertekategorien für die Bereitstellung von Zertifikaten für Geräte aufgelistet:
Zertifikateinschreibung
Importieren von Zertifikaten
Erneuern des Standortserver-Signaturzertifikats
Zertifikateinschreibungswerte
Die folgenden Werte in der Datei „DMCommonInstaller.ini“ oder „ClientSettings.ini“ werden während der Installation oder Aktualisierung des Clients zum Definieren der Zertifikateinschreibung verwendet. Definieren Sie diese Werte für die Standortumgebung, wenn Zertifikate eingeschrieben werden müssen:
CertEnrollAction=Enroll
CertEnrollServer=certserver.contoso.com
CertEnrollServerPort=80
Hinweis
HTTPS wird von der Configuration Manager 2007-Zertifikateinschreibung für mobile Geräte nicht unterstützt.
CertRequestPage=/certsrv/certfnsh.asp
CertDownloadPage=/certsrv/certnew.cer
CertChainDownloadPage=/certsrv/certnew.p7b
Wenn für „CertEnrollAction“ der Wert „Enroll“ angegeben ist, überprüft die Einschreibungsanwendung („Enroll_ARM.exe“, „Enroll_WinCE5.0_x86.exe“ oder „Enroll_WinCE5.0_ARM.exe“) den privaten Speicher des mobilen Geräts auf ein gültiges Clientauthentifizierungszertifikat. Wenn kein Clientauthentifizierungszertifikat gefunden wird, wird der Benutzer des mobilen Geräts aufgefordert, sich zu authentifizieren, und im privaten Speicher des mobilen Geräts wird ein Clientauthentifizierungszertifikat eingeschrieben. Die Parameter für den Einschreibungsprozess werden mit zusätzlichen Werten der Datei „DMCommonInstaller.ini“ oder „ClientSettings.ini“ definiert. Weitere Informationen finden Sie unter Bearbeiten der Datei „DMCommonInstaller.ini“ für die Verwaltung mobiler Geräte oder Bearbeiten der Datei „ClientSettings.ini“ für die Verwaltung mobiler Geräte.
Importieren von Zertifikatwerten: ImportCerts
Wenn der Wert „ImportCerts“ in der Datei „DMCommonInstaller.ini“ oder „ClientSettings.ini“ auf „True“ festgelegt ist, werden vom Setupprogramm Zertifikatdateien (.CER) aus dem Clientübertragungsverzeichnis in den Stammspeicher des mobilen Geräts importiert. Diese Option wird nicht zum Einrichten des einheitlichen Modus benötigt, wenn sich die erforderlichen Zertifikate bereits auf dem mobilen Gerät befinden. Zertifikate müssen im Format „DER-codiertes binäres X.509“ (Distinguished Encoding Rules) importiert werden. Zertifikate im Format „Base64-codiertes X.509“ werden nicht unterstützt.
Erneuern von Standortserver-Signaturzertifikaten
Der Wert „EnableSSSCRenewal“ in der Datei „DMCommonInstaller.ini“ oder „ClientSettings.ini“ gibt an, ob ein Standortserver-Signaturzertifikat heruntergeladen und installiert werden muss, wenn ein neues Zertifikat auf dem Standortserver verfügbar ist. Wenn der Wert „EnableSSCRenewal“ auf „false“ festgelegt ist, muss der Administrator manuell ein aktualisiertes Standortserver-Signaturzertifikat bereitstellen.
Siehe auch
Konzepte
Informationen zu den im einheitlichen Modus erforderlichen Zertifikaten für Clients für mobile Geräte
Bereitstellen der Zwischenzertifizierungsstellen-Zertifikate für Configuration Manager-Computer
Bearbeiten der Datei „ClientSettings.ini“ für die Verwaltung mobiler Geräte
Bearbeiten der Datei „DMCommonInstaller.ini“ für die Verwaltung mobiler Geräte
Installieren oder Aktualisieren des Clients für die Verwaltung mobiler Geräte
Andere Ressourcen
Eigenschaften von Zertifikatinstallation
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com