Erneuern oder Ändern des Standortserver-Signaturzertifikats

  • Artikel

Letzte Aktualisierung: Februar 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Das Standortserver-Signaturzertifikat eines Configuration Manager 2007-Standorts im einheitlichen Modus signiert die Richtlinien, die auf Configuration Manager-Clients heruntergeladen werden. Auf diese Weise ist für Clients sichergestellt, dass die Richtlinien von einer vertrauenswürdigen Quelle stammen. Configuration Manager-Clients benötigen eine Kopie des Standortserver-Signaturzertifikats. Diese wird aus Active Directory oder vom Verwaltungspunkt abgerufen. Alternativ können Sie das Standortserver-Signaturzertifikat bei der Installation mithilfe einer CCMSetup-Befehlszeilenoption für den Client bereitstellen. Weitere Informationen zum Bereitstellen des Standortserver-Signaturzertifikats für Clients finden Sie unter Entscheiden, wie das Standortserver-Signaturzertifikat den Clients bereitgestellt werden soll (einheitlicher Modus).

Configuration Manager überprüft vor dem Verwenden des Standortserver-Signaturzertifikats seine Gültigkeit. Wenn erkannt wird, dass das Zertifikat innerhalb von 10 Tagen abläuft, wird die Statusmeldungs-ID 5112 mit der Komponente SMS_POLICY-PROVIDER ausgegeben. Diese Statusmeldung wird einmal täglich wiederholt und zeigt die verbleibenden Tage bis zum Ablauf des Zertifikats an.

Wenn Sie das für den Configuration Manager-Standortserver bereitgestellte Standortserver-Signaturzertifikat erneuern oder ändern müssen, müssen Sie Configuration Manager für die Verwendung des neuen Zertifikats konfigurieren. Beachten Sie bei der Auswahl eines neuen Standortserver-Signaturzertifikats die jeweiligen Konsequenzen, die durch die folgenden Maßnahmen entstehen:

  • Erneuern des Standortserver-Signaturzertifikats oder Ausgeben eines neuen Zertifikats bei derselben Stammzertifizierungsstelle

  • Ausgeben eines neuen Standortserver-Signaturzertifikats bei einer anderen Stammzertifizierungsstelle

Erneuern des Standortserver-Signaturzertifikats oder Ausgeben eines neuen Zertifikats bei derselben Stammzertifizierungsstelle

Wenn Sie den Configuration Manager-Standort für die Verwendung eines neuen Standortserver-Signaturzertifikats konfigurieren, das ein neues Schlüsselpaar aufweist (eine empfohlene bewährte Methode), werden alle Clientrichtlinien vom Standortserver neu signiert. Wenn Clients die Richtlinien herunterladen, die vom neuen Standortserver-Signaturzertifikat signiert wurden, wird die Signatur nicht sofort für gültig erklärt, da die Clientkopie des Standortserver-Signaturzertifikats nicht mit dem Zertifikat übereinstimmt, das zum Signieren der Richtlinien verwendet wurde. Wenn das neue Standortserver-Signaturzertifikat mit dem gleichen vertrauenswürdigen Stammzertifikat verbunden ist wie das vorherige Standortserver-Signaturzertifikat, laden Configuration Manager-Clients automatisch eine Kopie des neuen Standortserver-Signaturzertifikats von Active Directory-Domänendiensten oder dem Verwaltungspunkt herunter. Anschließend überprüfen die Clients die vom neuen Standortserver-Signaturzertifikat signierte Richtlinie.

Hinweis

Wählen Sie für die Erneuerung des Standortserver-Signaturzertifikats einen Zeitpunkt mit geringer Aktivität aus, zu dem es akzeptabel ist, dass diese Aktion zu Unterbrechungen des Configuration Manager-Betriebs sowie einer gesteigerten Netzwerkaktivität und Verarbeitung auf dem Verwaltungspunkt oder auf den Domänencontrollern führt. Das erneute Signieren einer großen Anzahl von Richtlinien durch den Standortserver und das Abrufen des neuen Zertifikats durch die Clients kann einen längeren Zeitraum in Anspruch nehmen.

Ausgeben eines neuen Standortserver-Signaturzertifikats bei einer anderen Stammzertifizierungsstelle oder nach der Erneuerung des Stammzertifikats

Wenn Sie den Configuration Manager-Standort für die Verwendung eines neuen Standortserver-Signaturzertifikats konfigurieren (indem Sie entweder eine andere Zertifizierungsstelle angeben oder dieselbe Zertifizierungsstelle verwenden, aber mit einem neuen Stammzertifikat mit einem neuen Schlüsselpaar), lassen Clients das neue Standortserver-Signaturzertifikat nicht zu, wenn sie eine Richtlinie mit dem neuen Zertifikat erhalten. Dieses Verhalten ist eine Sicherheitsmaßnahme, damit Clients keine neuen Standortserver-Signaturzertifikate von kompromittierten Verwaltungspunkten zulassen. In diesem Fall versuchen Clients nicht, das neue Standortserver-Signaturzertifikat herunterzuladen, und weisen die heruntergeladene Richtlinie ab. An den Verwaltungspunkt wird eine Fehlermeldung gesendet, damit der Administrator gewarnt wird, dass die Richtlinienautorisierung nicht ausgeführt wurde. Die Clients werden in diesem Szenario nicht verwaltet, und der Administrator muss eine Wiederherstellungsaktion durchführen.

Wenn Sie das Stammzertifikat geändert haben und ein neues Standortserver-Signaturzertifikat installieren müssen, müssen Sie zunächst die Kopie des aktuellen Standortserver-Signaturzertifikats auf Configuration Manager-Clients löschen, die in der Registrierung gespeichert ist. Hierzu können Sie auf den Clients ein Skript ausführen (z. B. durch Ausführen einer Tasksequenz in Configuration Manager oder mithilfe einer Gruppenrichtlinie). Die Clientkopie des Standortserver-Signaturzertifikats ist bei 32-Bit-Betriebssystemen im folgenden Registrierungsschlüssel gespeichert: HKLM\SOFTWARE\Microsoft\CCM\Security. Bei 64-Bit-Betriebssystemen befindet sich die Kopie im folgenden Registrierungsschlüssel: HKLM\SOFTWARE\Wow6432Node\Microsoft\CCM\Security

Zum Entfernen der Clientkopie des Standortserver-Signaturzertifikats für das Ändern des Stammzertifikats suchen Sie nach dem Wert AllowedRootCAHashCode (Typ „REG_SZ“) und löschen den zugeordneten Datenwert, der als Hexadezimalzeichenfolge angezeigt wird.

Alternativen zum Ändern der Clientregistrierung sind wie folgt:

  • Deinstallieren Sie den Client und installieren Sie ihn erneut.

  • Installieren Sie den Client erneut mithilfe der CCMSetup-Befehlszeilenoption, um dem Client eine Kopie des neuen Standortserver-Signaturzertifikats bereitzustellen.

Siehe auch

Tasks

Konfigurieren des Standortservers mit seinem Standortserver-Signaturzertifikat

Konzepte

Zertifikatanforderungen für den einheitlichen Modus
Entscheiden, wie das Standortserver-Signaturzertifikat den Clients bereitgestellt werden soll (einheitlicher Modus)
Bereitstellen des Standortserver-Signaturzertifikats für den Standortserver