Zertifikatanforderungen für den einheitlichen Modus
Letzte Aktualisierung: Januar 2010
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Die für den einheitlichen Modus eines Configuration Manager 2007-Standorts erforderlichen PKI-Zertifikate (Public Key-Infrastruktur) werden in den folgenden Tabellen aufgelistet. Für diese Informationen wird ein grundlegendes Verständnis von PKI-Zertifikaten vorausgesetzt. Weitere Informationen finden Sie in den Themen zu PKI und zur PKI-Bereitstellung unter Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate.
Wenn Sie eine PKI-Lösung von Microsoft verwenden, kann die Verwaltung dieser Zertifikate durch Zertifikatsvorlagen erleichtert werden. Auf Vorlagen basierte Zertifikate können nur von einer Unternehmenszertifizierungsstelle ausgestellt werden, die auf der Enterprise Edition oder Datacenter Edition von Windows Server 2003 oder Windows Server 2008 ausgeführt wird. Verwenden Sie jedoch nicht Version 3-Vorlagen (Windows Server 2008, Enterprise Edition). Mit diesen Zertifikatvorlagen werden Zertifikate erstellt, die nicht mit Configuration Manager kompatibel sind. Informationen zur Verwendung von Zertifikatsvorlagen für die Bereitstellung der Zertifikate, die für den Configuration Manager im einheitlichen Modus erforderlich sind, finden Sie in folgendem Abschnitt:
Wichtig
Diese Zertifikate müssen vorhanden sein, bevor der Standort im einheitlichen Modus betrieben werden kann. Von Configuration Manager wird versucht, das Standortserver-Signaturzertifikat zu überprüfen, wenn während des Setups der einheitliche Modus ausgewählt oder der Standort nach dem Setup zum einheitlichen Modus migriert wird. Der Configuration Manager kann die anderen Zertifikate, die für den Betrieb im einheitlichen Modus benötigt werden, jedoch nicht überprüfen.
Sie können das Configuration Manager-Tool zur Überprüfung des einheitlichen Modus manuell ausführen, um die Bereitschaft der Clientcomputer für den einheitlichen Modus zu überprüfen. Weitere Informationen zu diesem Tool finden Sie unter Bestimmen, ob Clientcomputer für den einheitlichen Modus bereit sind.Für den einheitlichen Modus erforderliche Zertifikate
| Configuration Manager-Komponente | Zertifikatverwendung | Zu verwendende Microsoft-Zertifikatsvorlage | Spezielle Informationen im Zertifikat | Verwendung des Zertifikats im Configuration Manager |
|---|---|---|---|---|
Primärer Standortserver |
Dokumentsignatur |
Für Dokumentsignaturen gibt es keine Standardvorlage. Sie können jede beliebige Vorlage der Version 2 (v2) verwenden, den ursprünglichen Verwendungszweck entfernen, wenn dieser nicht gebraucht wird, und die Funktion zum Signieren von Dokumenten hinzufügen. |
Der Wert Erweiterte Schlüsselverwendung muss Dokumentsignatur (1.3.6.1.4.1.311.10.3.12) enthalten. Das Feld Antragstellername muss folgende Zeichenfolge enthalten: The site code of this site server is <XXX>. Ersetzen Sie <XXX> durch den Standortcode des Standortservers. Hinweis Es muss genau diese Textzeichenfolge (in Englisch) verwendet, die Groß-/Kleinschreibung exakt beachtet und kein Punkt am Ende gesetzt werden. Außerdem muss der Standortcode am Ende der Zeichenfolge dieselbe Groß-/Kleinschreibung aufweisen, wie in der Configuration Manager-Konsole. SHA-1 ist der einzige unterstützte Hash-Algorithmus. Es wird eine maximale Schlüssellänge von 8096 Bits unterstützt. |
Dieses Zertifikat muss sich im privaten Speicher des Computerzertifikatspeichers befinden. Das Standortserver-Signaturzertifikat signiert die Richtlinien, die Clients von ihrem Verwaltungspunkt herunterladen. Auf diese Weise ist für die Clients sichergestellt, dass die Richtlinien von ihrem zugewiesenen Standort stammen. Dieses Zertifikat ist für sekundäre Standortserver nicht erforderlich. Es muss eine Kopie dieses Zertifikats auf den Clients vorhanden sein, bevor sie mit diesem Zertifikat signierte Richtlinien akzeptieren können. Weitere Informationen finden Sie unter Entscheiden, wie das Standortserver-Signaturzertifikat den Clients bereitgestellt werden soll (einheitlicher Modus). |
Standortsystemrollen:
|
Serverauthentifizierung Hinweis Verwaltungspunkte sowie Zustandsmigrationspunkte erfordern zudem ein Zertifikat, das zur Clientauthentifizierung verwendet werden kann (Details s. nächste Zeile). |
Webserver |
Der Wert Erweiterte Schlüsselverwendung muss Serverauthentifizierung (1.3.6.1.5.5.7.3.1) enthalten. Wenn das Standortsystem Verbindungen aus dem Internet akzeptiert, muss der „Antragstellername“ oder der „Alternative Antragstellername“ den internetbasierten, vollständig qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) enthalten. Wenn das Standortsystem Verbindungen aus dem Intranet akzeptiert, muss der „Antragstellername“ oder der „Alternative Antragstellername“ entweder den Intranet-FQDN (empfohlen) oder den NetBIOS-Namen des Computers enthalten, abhängig davon, wie das Standortsystem konfiguriert ist. Wenn das Standortsystem Verbindungen aus dem Internet und dem Intranet akzeptiert, müssen Internet-FQDN und Intranet-FQDN (oder der NetBIOS-Name des Computers) angegeben werden. Als Trennzeichen zwischen den zwei Namen muss das kaufmännische Und-Zeichen (&) verwendet werden. Wichtig Wenn der Softwareupdatepunkt nur Clientverbindungen aus dem Internet akzeptiert, muss das Zertifikat sowohl den Internet-FQDN als auch den Intranet-FQDN enthalten. SHA-1 ist der einzige unterstützte Hash-Algorithmus. Für dieses Zertifikat ist in Configuration Manager keine maximal unterstützte Schlüssellänge angegeben. Informationen zu Problemen hinsichtlich der Schlüssellänge dieses Zertifikats finden Sie in der PKI- und IIS-Dokumentation. |
Dieses Zertifikat muss sich im privaten Speicher des Computerzertifikatspeichers befinden. Das Webserverzertifikat wird zur Authentifizierung dieser Server auf dem Client und zur Verschlüsselung aller Daten mit SSL (Secure Sockets Layer) verwendet, die zwischen dem Client und diesen Servern übertragen werden. |
Clientcomputer |
Clientauthentifizierung |
Computer oder Arbeitsstation |
Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten. Im Feld „Antragstellername“ oder „Alternativer Antragstellername“ des Clientcomputers muss ein eindeutiger Wert angegeben sein (wenn Sie Microsoft-Zertifikatvorlagen verwenden, ist der „Alternative Antragstellername“ nur für die Arbeitsstationsvorlage verfügbar). Hinweis Wenn Sie mehrere Werte für das Feld „Alternativer Antragstellername“ verwenden, wird nur der erste Wert verwendet. SHA-1 ist der einzige unterstützte Hash-Algorithmus. Es wird eine maximale Schlüssellänge von 2048 Bits unterstützt. |
Der Configuration Manager sucht standardmäßig im privaten Speicher des Computerzertifikatspeichers nach Computerzertifikaten. Informationen zum Ändern dieser Einstellung finden Sie unter Angeben des Clientzertifikatspeichers. Mit diesem Zertifikat wird der Client auf folgenden Servern authentifiziert:
Dieses Zertifikat wird auch auf Verwaltungspunkten und Zustandsmigrationspunkten benötigt. Dies ist selbst dann der Fall, wenn der Configuration Manager 2007-Client nicht auf diesen Standortsystemen installiert ist. Somit kann die Integrität dieser Rollen überwacht und dem Standortserver berichtet werden. Dieses Zertifikat für die Standortsysteme muss sich im privaten Speicher des Computerzertifikatspeichers befinden. |
Clients für mobile Geräte |
Clientauthentifizierung |
Authentifizierte Sitzung |
Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten. SHA-1 ist der einzige unterstützte Hash-Algorithmus. Es wird eine maximale Schlüssellänge von 2048 Bits unterstützt. Wichtig Diese Zertifikate müssen das Format „DER-codiertes binäres X.509“ (Distinguished Encoding Rules) aufweisen. Das Format „Base64-codiertes X.509“ wird nicht unterstützt. |
Dieses Zertifikat muss sich im privaten Speicher befinden. Mit diesem Zertifikat wird der Client für mobile Geräte auf folgenden Servern authentifiziert:
|
Komponenten, die zusätzliche Zertifikate für den einheitlichen Modus erfordern
Es werden zusätzliche Zertifikate benötigt, wenn der Standort im einheitlichen Modus die folgenden optionalen Komponenten unterstützt:
NLB-Verwaltungspunkte (Network Load Balancing, Netzwerklastenausgleich) oder NLB-Softwareupdatepunkte
Proxyserver für internetbasierte Clientverwaltung
Betriebssystembereitstellungsfeature
Mobile Geräte
Die folgenden Abschnitte bieten Informationen zu den Zertifikaten, die für jede dieser zusätzlichen Komponenten notwendig sind.
NLB-Verwaltungspunkte (Network Load Balancing, Netzwerklastenausgleich) oder NLB-Softwareupdatepunkte
Wenn der Standort einen NLB-Verwaltungspunkt oder einen NLB-Softwareupdatepunkt unterstützt, werden die in der folgenden Tabelle aufgelisteten zusätzlichen Zertifikate benötigt.
| Configuration Manager-Komponente | Zertifikatverwendung | Zu verwendende Microsoft-Zertifikatsvorlage | Spezielle Informationen im Zertifikat | Verwendung des Zertifikats im Configuration Manager |
|---|---|---|---|---|
NLB-Cluster für einen Verwaltungspunkt oder einen Softwareupdatepunkt |
Serverauthentifizierung |
Webserver |
|
Mit diesem Zertifikat wird der NLB-Verwaltungspunkt oder der NLB-Softwareupdatepunkt beim Client authentifiziert und alle zwischen dem Client und diesen Servern übertragenen Daten werden mit SSL verschlüsselt. |
Proxywebserver für internetbasierte Clientverwaltung
Wenn der Standort die internetbasierte Clientverwaltung unterstützt und Sie einen Proxywebserver mit SSL-Tunnelabschluss (Bridging) für eingehende Internetverbindungen verwenden, hat der Proxywebserver die in der folgenden Tabelle aufgelisteten Zertifikatanforderungen.
Hinweis
Wenn Sie einen Proxywebserver ohne SSL-Tunnelabschluss (Tunneling) verwenden, benötigt der Proxywebserver keine weiteren Zertifikate.
Weitere Informationen zum Verwenden von Proxywebservern für die internetbasierte Clientverwaltung finden Sie unter Bestimmen der Anforderungen für Proxywebserver zur Verwendung mit internetbasierter Clientverwaltung.
| Netzwerkinfrastrukturkomponente | Zertifikatverwendung | Zu verwendende Microsoft-Zertifikatsvorlage | Spezielle Informationen im Zertifikat | Verwendung des Zertifikats im Configuration Manager |
|---|---|---|---|---|
Proxywebserver, die Clientverbindungen über das Internet akzeptieren |
Serverauthentifizierung und Clientauthentifizierung |
|
Internet-FQDN im Feld „Antragstellername“ oder „Alternativer Antragstellername“ (wenn Sie Microsoft-Zertifikatsvorlagen verwenden, ist der „Alternative Antragstellername“ nur für die Arbeitsstationsvorlage verfügbar). |
Mithilfe dieses Zertifikats werden die folgenden Server auf Internetclients authentifiziert und alle Daten, die zwischen dem Client und diesem Server übertragen werden, mit SSL (Secure Sockets Layer) verschlüsselt:
Die Clientauthentifizierung dient dazu, Clientverbindungen zwischen Configuration Manager 2007-Clients und den internetbasierten Standortsystemen herzustellen. |
Betriebssystembereitstellungsfeature
Wenn der Standort das Betriebssystembereitstellungsfeature unterstützt, sind zusätzlich zum Serverzertifikat und dem Clientzertifikat, die für den Zustandsmigrationspunkt benötigt werden, folgende Zertifikate erforderlich.
Weitere Informationen zu den mit der Betriebssystembereitstellung im einheitlichen Modus verbundenen Zertifikaten finden Sie unter Verwalten von Zertifikaten und Betriebssystembereitstellung im einheitlichen Modus.
| Configuration Manager-Komponente | Zertifikatverwendung | Zu verwendende Microsoft-Zertifikatsvorlage | Spezielle Informationen im Zertifikat | Verwendung des Zertifikats im Configuration Manager |
|---|---|---|---|---|
Betriebssystem-Bereitstellungsclient, wenn Clientzertifikate für das Abschließen der Bereitstellung erforderlich sind. |
Clientauthentifizierung |
Computer oder Arbeitsstation |
Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten. Eindeutiger Wert im Feld Antragstellername. SHA-1 ist der einzige unterstützte Hash-Algorithmus. Es wird eine maximale Schlüssellänge von 2048 Bits unterstützt. |
Das Zertifikat wird verwendet, wenn Tasksequenzen bei der Betriebssystembereitstellung Clientaktionen erfordern, z. B. den Clientrichtlinienabruf oder das Senden von Inventurinformationen. Das Clientzertifikat muss in einem öffentlichen Schlüsselzertifikatstandard-Format (Public Key Certificate Standard, PKCS #12) exportiert werden, und das Kennwort muss bekannt sein, sodass es in Configuration Manager-Startabbilder importiert oder vom PXE-Dienstpunkt zur Verfügung gestellt werden kann. Diese Zertifikate werden nur für die Dauer der Betriebssystembereitstellung verwendet und nicht auf dem Client installiert. Aufgrund dieser temporären Verwendung kann dasselbe Zertifikat für jede Betriebssystembereitstellung verwendet werden, wenn Sie nur ein Clientzertifikat verwenden möchten. PKCS #12-Dateien haben die Dateierweiterung „.PKX“. Weitere Informationen finden Sie unter: |
Stammzertifizierungsstellen-Zertifikate für Betriebssystem-Bereitstellungsclients. |
Stammzertifizierungsstelle für das Standortserverzertifikat und das Serverzertifikat des Verwaltungspunkts. |
Nicht zutreffend. |
Standard-Stammzertifizierungsstellen-Zertifikat |
Das Stammzertifizierungsstellen-Zertifikat muss bereitgestellt werden, um dem Client die Kommunikation mit dem Verwaltungspunkt zu ermöglichen und die Betriebssystembereitstellung abzuschließen. Jeder primäre Standort im einheitlichen Modus, der das Betriebssystembereitstellungsfeature verwendet, muss mit Stammzertifizierungsstellen-Zertifikaten konfiguriert werden. Sekundäre Standorte hingegen verwenden automatisch das am primären Standort angegebene Stammzertifizierungsstellen-Zertifikat. Weitere Informationen finden Sie unter: |
Mobile Geräte
Weitere Informationen zu den von mobilen Geräten benötigten Zertifikaten finden Sie unter Informationen zu den im einheitlichen Modus erforderlichen Zertifikaten für Clients für mobile Geräte.
Informationen zur Zertifikatbereitstellung
Im folgenden Abschnitt erhalten Sie Richtlinien zur Installation von PKI-Zertifikaten, die für den einheitlichen Modus von Configuration Manager 2007 erforderlich sind:
Mithilfe des folgenden Administratorworkflows und der Checkliste werden Sie Schritt für Schritt durch die PKI-Bereitstellung geführt und erhalten Informationen zu den PKI-Zertifikaten, die für den einheitlichen Configuration Manager 2007-Modus erforderlich sind:
Administratorworkflow: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus
Administratorcheckliste: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus
Wenn die PKI-Zertifikate bereitgestellt wurden, können Sie mithilfe des folgenden Administratorworkflows und der Checkliste einen Configuration Manager 2007-Standort im gemischten Modus zum einheitlichen Modus migrieren:
Administratorworkflow: Migrieren eines Standorts zum einheitlichen Modus
Administratorcheckliste: Migrieren eines Standorts zum einheitlichen Modus
Siehe auch
Tasks
Bestimmen, ob Clientcomputer für den einheitlichen Modus bereit sind
Identifizieren von Clientzertifikatproblemen im einheitlichen Modus
Aktivieren oder Deaktivieren der CRL-Prüfung (Certificate Revocation List) auf Clients
Konfigurieren des DNS für Configuration Manager-Standortsystemrollen
Konzepte
Vorteile der Verwendung des einheitlichen Modus
Bestimmen, ob die vorhandene PKI im einheitlichen Modus verwendet werden kann
Erneuern oder Ändern des Standortserver-Signaturzertifikats
Bestimmen, ob die CRL-Prüfung (Certificate Revocation List) auf Clients aktiviert werden muss (einheitlicher Modus)
Bestimmen, ob FQDN-Servernamen verwendet werden
Bestimmen, ob eine CTL (Certificate Trust List) mit IIS konfiguriert werden muss (einheitlicher Modus)
Andere Ressourcen
Konfigurieren des einheitlichen Modus
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com