Administratorcheckliste: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Die folgende Checkliste enthält die erforderlichen Schritte zum Bereitstellen der PKI-Anforderungen (Public Key-Infrastruktur), damit ein Configuration Manager 2007-Standort im einheitlichen Modus betrieben werden kann.

Schritt	Referenz
Bestätigen Sie, dass die PKI die verschiedenen für Configuration Manager 2007 erforderlichen Zertifikate unterstützt.	Zertifikatanforderungen für den einheitlichen Modus
Stellen Sie sicher, dass die folgenden Computer des Configuration Manager 2007-Standorts über eine gemeinsame vertrauenswürdige Stammzertifizierungsstelle und die erforderlichen Zwischenzertifizierungsstellen verfügen: Standortserver Verwaltungspunkte (Standardverwaltungspunkt, Proxyverwaltungspunkt, internetbasierter Verwaltungspunkt, Verwaltungspunkte mit Netzwerklastenausgleich) Verteilungspunkte Softwareupdatepunkte Zustandsmigrationspunkte Alle Clientcomputer und mobile Clientgeräte Hinweis Verteilungspunkte, die nicht mit der Option Clients gestatten, Inhalte von diesem Verteilungspunkt mit BITS, HTTP und HTTPS zu übertragen konfiguriert wurden, sowie Zweigverteilungspunkte verwenden keine Internetinformationsdienste (Internet Information Services, IIS) und benötigen daher keine Zertifikate. Diese Standortsysteme übertragen Daten mithilfe von Server Message Blocks (SMB) und können nicht durch Verwendung des einheitlichen Modus gesichert werden.	Bereitstellen einer vertrauenswürdigen Stammzertifizierungsstelle für Configuration Manager-Computer Bereitstellen der Zwischenzertifizierungsstellen-Zertifikate für Configuration Manager-Computer
Wenn Sie eine Zertifikatsperrliste (Certificate Revocation List, CRL) verwenden, veröffentlichen Sie diese an einem Ort, auf den alle Computer zugreifen können.	Die Zertifikatsperrprüfung ist standardmäßig für Configuration Manager-Clients aktiviert, kann aber deaktiviert werden. Weitere Informationen finden Sie unter Bestimmen, ob die CRL-Prüfung (Certificate Revocation List) auf Clients aktiviert werden muss (einheitlicher Modus). Die Zertifikatsperrprüfung ist standardmäßig mit IIS aktiviert und kann nicht mit Configuration Manager-Clients deaktiviert werden. Vergewissern Sie sich, dass Standortsysteme im einheitlichen Modus eine Verbindung zu einem CRL-Verteilungspunkt herstellen können, der in ihrem Standortsystemzertifikat aufgelistet ist. Hinweis Weitere Informationen zu CRL-Verteilungspunkten finden Sie in den folgenden Windows PKI-Informationen zum Konfigurieren von CDP- und AIA-Erweiterungen: https://go.microsoft.com/fwlink/?LinkId=103608 (möglicherweise in englischer Sprache).
Stellen Sie das Standortserver-Signaturzertifikat auf dem Standortserver bereit, und bestimmen Sie, wie dieses von Clients abgerufen wird.	Bereitstellen des Standortserver-Signaturzertifikats für den Standortserver Entscheiden, wie das Standortserver-Signaturzertifikat den Clients bereitgestellt werden soll (einheitlicher Modus)
Stellen Sie die Webserverzertifikate auf folgenden Standortsystemen bereit, und konfigurieren Sie IIS mit dem Zertifikat: Verwaltungspunkte (Standardverwaltungspunkt, Proxyverwaltungspunkt, internetbasierter Verwaltungspunkt, Verwaltungspunkte mit Netzwerklastenausgleich) Verteilungspunkte Softwareupdatepunkte Zustandsmigrationspunkte	Bereitstellen der Webserverzertifikate für Standortsystemserver
Optional, jedoch empfohlen: Erstellen oder ändern Sie eine Zertifikatvertrauensliste (Certificate Trust List, CTL) in IIS auf den Standortsystemen mit den bereitgestellten Webserverzertifikaten so, dass die CTL die von Clients verwendeten Stammzertifizierungsstellen enthält.	Bestimmen, ob eine CTL (Certificate Trust List) mit IIS konfiguriert werden muss (einheitlicher Modus)
Stellen Sie Clientzertifikate für Clients und Verwaltungspunkte bereit.	Bereitstellen der Clientcomputerzertifikate für Clients und den Verwaltungspunkt
Stellen Sie bei mobilen Clientgeräten die Clientgerätezertifikate bereit.	Bereitstellen von Zertifikaten für Clients für mobile Geräte
Wenn Sie das Betriebssystembereitstellungsfeature verwenden, führen Sie die folgenden Aufgaben aus: Exportieren Sie Stammzertifizierungsstellen-Zertifikate, die von Betriebssystemclients während des Bereitstellungsprozesses verwendet werden, sodass diese als Standorteinstellung in die Configuration Manager-Konsole importiert werden können. Bereiten Sie ein oder mehrere Clientzertifikate vor, und exportieren Sie diese in eine PKCS #12-Datei, sodass sie in die Betriebssystembereitstellung eingeschlossen werden können.	Vorbereiten der Stammzertifizierungsstellen-Zertifikate für Betriebssystem-Bereitstellungsclients Angeben der Stammzertifizierungsstellen-Zertifikate für Betriebssystem-Bereitstellungsclients Exportieren von Zertifikaten für die Verwendung mit der Betriebssystembereitstellung

Siehe auch

Tasks

Konfigurieren des Standortservers mit seinem Standortserver-Signaturzertifikat
Migrieren des Standortmodus vom gemischten zum einheitlichen Modus

Konzepte

Administratorcheckliste: Migrieren eines Standorts zum einheitlichen Modus
Administratorworkflow: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus
Voraussetzungen für den einheitlichen Modus

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com