Bestimmen, ob die CRL-Prüfung (Certificate Revocation List) auf Clients aktiviert werden muss (einheitlicher Modus)

  • Artikel

Letzte Aktualisierung: Juni 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Die Zertifikatsperrliste (Certificate Revocation List, CRL) ist eine optionale Komponente einer Public Key-Infrastruktur-Bereitstellung (PKI). Diese Datei wird von einer Zertifizierungsstelle erstellt und autorisiert und enthält eine Liste von Zertifikaten, die ausgestellt aber gesperrt wurden. Zertifikate können von einem Zertifizierungsstellenadministrator gesperrt werden, z. B. wenn vermutet wird, dass ein ausgestelltes Zertifikat kompromittiert ist.

Wenn eine Zertifikatsperrliste in einer PKI-Bereitstellung verwendet wird, können Anwendungen den Sperrstatus des verwendeten Zertifikats und der Zertifikate, die eine Kette zur vertrauenswürdigen Stammzertifizierung bilden, überprüfen. Hierbei wird überprüft, ob eins der Zertifikate der Kette in der Zertifikatsperrliste aufgelistet ist. Ist dies der Fall, wird das von der Anwendung verbundene Zertifikat als ungültig eingestuft, auch wenn es aus einer vertrauenswürdigen Quelle stammt und sich innerhalb des Gültigkeitszeitraums befindet.

Wenn die Zertifikatsperrprüfung für Configuration Manager 2007-Clients im einheitlichen Modus aktiviert ist, überprüfen die Clients die Zertifikatsperrliste, sooft sie mit einem der folgenden für den einheitlichen Modus konfigurierten Standortsysteme kommunizieren:

  • Verwaltungspunkte

  • Verteilungspunkte, die keine Standortsystemfreigaben verwenden oder als Zweigverteilungspunkte konfiguriert sind

  • Softwareupdatepunkte

  • Zustandsmigrationspunkte

Wichtig

Clientfunktionen, die als Folge von Tasksequenzaktionen ausgeführt werden, überprüfen die Zertifikatsperrliste immer, wenn auf dem Client Configuration Manager-Versionen vor Configuration Manager 2007 SP2 ausgeführt werden.

Wenn Clients die Zertifikatsperrprüfung verwenden, jedoch die Zertifikatsperrliste nicht finden, gleicht die Aktion der Clients der Aktion, die bei einer Sperrung aller Zertifikate in der Zertifikatskette ausgeführt wird, da nicht überprüft werden kann, ob ein Zertifikat in der Liste fehlt. In diesem Fall kann keine der Verbindungen, die ein Zertifikat erfordern und die Zertifikatsperrliste verwenden, ausgeführt werden. Der Configuration Manager 2007-Client sendet eine Fehlermeldung an den Fallbackstatuspunkt.

Das Überprüfen der Zertifikatsperrliste bei jeder Verwendung des Zertifikats erhöht den Schutz vor gesperrten Zertifikaten. Es führt jedoch zu einer Verbindungsverzögerung und zu zusätzlichen Verarbeitungsvorgängen auf dem Client. Diese zusätzliche Sicherheitsprüfung ist eher für die internetbasierte Clientverwaltung als für Standorte im einheitlichen Modus im Intranet erforderlich.

Welche Standardeinstellung für die Überprüfung der Zertifikatsperrlisten an einem Configuration Manager-Standort aktiviert ist, hängt davon ab, ob der Standort im einheitlichen Modus installiert wurde, oder ob er im gemischten Modus installiert und später zum einheitlichen Modus migriert wurde. Die CRL-Prüfung für Clients ist standardmäßig aktiviert, wenn der Configuration Manager-Standort im einheitlichen Modus installiert wurde, und sie ist standardmäßig deaktiviert, wenn der Configuration Manager-Standort im gemischten Modus installiert und später zum einheitlichen Modus migriert wurde.

Wenden Sie sich an den PKI-Administrator, bevor Sie entscheiden, ob Sie die Zertifikatsperrprüfung auf Clients aktivieren. Ziehen Sie die Aktivierung dieser Option in Configuration Manager 2007 in Betracht, wenn beide der folgenden Bedingungen zutreffen:

  • Die PKI unterstützt die Zertifikatsperrliste, und diese wird an einem Ort veröffentlicht, auf den alle Configuration Manager 2007-Clients zugreifen können (einschließlich Clients im Internet bei der internetbasierten Clientverwaltung).

  • Die Anforderung, die Zertifikatsperrliste für jede Verbindung mit einem Standortsystem zu überprüfen, das mit einem Zertifikat konfiguriert ist, ist größer, als schnellere Verbindungen und eine effiziente Verarbeitung auf dem Client. Sie ist auch größer als das Risiko, dass Clients nicht auf Server zugreifen können, weil die Zertifikatsperrliste nicht verfügbar ist.

Hinweis

Weitere Informationen zur Zertifikatsperrung finden Sie im Abschnitt über das Verwalten von Zertifikatsperrungen in der Windows Server 2003-Produkthilfe (https://go.microsoft.com/fwlink/?LinkId=78786).

Die Zertifikatsperrprüfung wird in IIS standardmäßig aktiviert. Wenn Sie eine Zertifikatsperrliste in der PKI-Bereitstellung verwenden, müssen Sie für die Configuration Manager-Standortsysteme keine zusätzliche Konfiguration ausführen.

Clients für mobile Geräte im einheitlichen Modus verwenden keine Zertifikatsperrlisten. Ihre Zertifikate können jedoch von Standortsystemen im einheitlichen Modus gesperrt und überprüft werden.

Siehe auch

Tasks

Blockieren von Configuration Manager-Clients
Aktivieren oder Deaktivieren der CRL-Prüfung (Certificate Revocation List) auf Clients

Andere Ressourcen

Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com