Aktivieren oder Deaktivieren der CRL-Prüfung (Certificate Revocation List) auf Clients

  • Artikel

Letzte Aktualisierung: Juni 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Gehen Sie wie folgt vor, um die Zertifikatsperrprüfung auf Configuration Manager 2007-Clientcomputern an einem Standort im einheitlichen Modus zu aktivieren bzw. zu deaktivieren.

Hinweis

Clients für mobile Geräte verwenden keine Zertifikatsperrlisten.

Wenn ein Configuration Manager-Standort im einheitlichen Modus installiert ist, müssen Clients der Standardeinstellung entsprechend die Zertifikatsperrliste (Certificate Revocation List, CRL) überprüfen, bevor eine erfolgreiche Kommunikationsverbindung mit den Standortsystemen im einheitlichen Modus hergestellt werden kann. Wenn ein Configuration Manager-Standort im gemischten Modus installiert und dann in den einheitlichen Modus migriert wurde, ist diese Einstellung standardmäßig deaktiviert. Informationen zum Prüfen dieser Einstellung für einzelne Clients finden Sie unter Identifizieren der Clientkonfigurationsdetails für den einheitlichen Modus und internetbasierte Clientverwaltung. Die CRL-Prüfung kann nicht für Standortsysteme im einheitlichen Modus in Configuration Manager 2007 konfiguriert werden. Diese Einstellung ist standardmäßig eingeschaltet und wird mit der IIS-Konfiguration geerbt.

Wichtig

Die Veröffentlichung und Wartung der CRL ist integraler Bestandteil der Public Key-Infrastruktur (PKI) und erfolgt außerhalb von Configuration Manager 2007. Führen Sie die CRL-Prüfung erst dann auf Configuration Manager-Clients aus, wenn Sie sich vergewissert haben, dass Ihre Infrastruktur diesen Vorgang unterstützt. Wenn Sie beispielsweise die internetbasierte Clientverwaltung verwenden und die ausstellende Zertifizierungsstelle sich im Intranet befindet, müssen Sie sicherstellen, dass die Zertifikatsperrliste über das Internet zugänglich ist.

Es gibt zwei unterstützte Verfahren zur Konfiguration der CRL-Prüfung auf Clients. Wählen Sie die Vorgehensweise aus, die für Ihre Umgebung am besten geeignet ist. Clientfunktionen, die als Folge von Tasksequenzaktionen ausgeführt werden, überprüfen die Zertifikatsperrliste jedoch immer, wenn auf dem Client Configuration Manager-Versionen vor Configuration Manager 2007 SP2 ausgeführt werden. Die beiden verfügbaren Vorgehensweisen sind die folgenden:

  • Konfigurieren Sie die Option als Standorteigenschaft. Clientcomputer, die auf die in den Active Directory-Domänendiensten veröffentlichten Standorteigenschaften zugreifen können, werden automatisch in regelmäßigen Abständen mit dieser Option konfiguriert (u. a. zur Zuweisungszeit am Standort, bei jedem Start des Clients und alle 25 Stunden). Mit der Clientpushinstallations-Methode installierte Clients werden nur während der Installation mit dieser Option konfiguriert.

    Damit installierte Clients mithilfe der Active Directory-Domänendienste mit dieser Einstellung konfiguriert werden, müssen folgende Voraussetzungen erfüllt sein:

    • Active Directory-Domänendienste müssen mit den Configuration Manager 2007-Schemaerweiterungen erweitert sein.

    • Der Standort muss in den Active Directory-Domänendiensten veröffentlichen.

    • Clients müssen sich im Intranet befinden.

    • Clients müssen sich in derselben Active Directory-Gesamtstruktur befinden wie die Gesamtstruktur des Standortservers.

  • Geben Sie die Einstellungen mithilfe der Befehlszeilenoptionen von „CCMSetup.exe“ an. Sie können die CCMSetupoptionen bei der Erstinstallation des Clients oder in einem nach der Installation auszuführenden Skript verwenden. Bei Bereitstellung der Optionen per Skript wird der Client unter Anwendung der neuen Konfiguration neu installiert. Wenn der Client bereits installiert ist, können Sie die CCMSetup-Befehle mithilfe des Softwareverteilungsfeatures an den Client senden oder eine Configuration Manager 2007-Tasksequenz zu diesem Zweck verwenden.

    Hinweis

    Wenn die mit CCMSetup bereitgestellten Einstellungen mit den in den Active Directory-Domänendiensten veröffentlichten Einstellungen in Konflikt stehen und Clients in den Active Directory-Domänendiensten auf die Einstellungen zugreifen können, haben die Einstellungen der Active Directory-Domänendienste Vorrang vor den mit CCMSetup angegebenen Einstellungen.

Sie können die Einstellungen auch mithilfe Ihrer eigenen Clientverwaltungstools angeben, wobei die Einstellungen möglicherweise in ein Standard-Buildabbild integriert und benutzerdefinierte Skripts zum Bearbeiten der Registrierung bereitgestellt werden.

So konfigurieren Sie die Zertifikatsperrprüfung (CRL) auf Clients durch Konfigurieren der Einstellung als Standorteigenschaft

  1. Wechseln Sie in der Configuration Manager-Konsole zu System CenterConfiguration Manager > Standortdatenbank > Standortverwaltung.

  2. Klicken Sie mit der rechten Maustaste auf <Standortcode> -<Standortcode>, und klicken Sie dann auf Eigenschaften.

  3. Aktivieren oder deaktivieren Sie im Dialogfeld „Standorteigenschaften“ der Registerkarte Standortmodus die Option CRL-Prüfung für Clients zulassen.

  4. Klicken Sie auf OK.

So konfigurieren Sie CRL auf Clients durch Angeben der Einstellung mithilfe der „CCMSetup.exe“-Befehlszeilenoptionen

  • So aktivieren Sie die CRL-Prüfung Verwenden Sie „CCMSetup.exe“ mit der Befehlszeileneigenschaft /native:CRL (für die Kommunikation im einheitlichen Modus oder die CRL-Prüfung) oder /native:CRLANDFALLBACK (für die Kommunikation im einheitlichen Modus und die CRL-Prüfung und HTTP-Kommunikation für Roaming und Standortzuweisungen).

    So deaktivieren Sie die CRL-Prüfung Verwenden Sie „CCMSetup.exe“ mit der Befehlszeileneigenschaft /native: (für die Kommunikation im einheitlichen Modus ohne CRL-Prüfung) oder /native:FALLBACK (für die Kommunikation im einheitlichen Modus und HTTP-Kommunikation für Roaming und Standortzuweisungen ohne CRL-Prüfung).

    Weitere Information zu den CCMSetup-Installationseigenschaften finden Sie unter Informationen zu Clientinstallationseigenschaften von Configuration Manager.

Siehe auch

Tasks

Identifizieren der Clientkonfigurationsdetails für den einheitlichen Modus und internetbasierte Clientverwaltung
Installieren von Configuration Manager-Clients mittels Clientpush

Konzepte

Bestimmen, ob die CRL-Prüfung (Certificate Revocation List) auf Clients aktiviert werden muss (einheitlicher Modus)

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com