Bereitstellen der Zwischenzertifizierungsstellen-Zertifikate für Configuration Manager-Computer

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Eine Zwischenzertifizierungsstelle ist eine Zertifizierungsstelle, die der Stammzertifizierungsstelle um eine Ebene oder mehrere Ebenen untergeordnet ist, und normalerweise Zertifikate für andere Zertifizierungsstellen in der PKI-Hierarchie (Public Key-Infrastruktur) ausgibt. Beim anderen Typ der untergeordneten Zertifizierungsstelle handelt es sich um eine ausstellende Zertifizierungsstelle. Zur erfolgreichen Kommunikation im einheitlichen Modus an einem Configuration Manager 2007-Standort müssen die PKI-Zertifikate für Authentifizierung, Verschlüsselung und Signatur eine Kette zum vertrauenswürdigen Stamm bilden. Die Zertifikatverkettung ist ein systemeigener Prozess des Microsoft Windows-Betriebssystems, der das Sammeln der Zertifikate aller untergeordneten Zertifizierungsstellen bis hin zur Stammzertifizierungsstelle sowie die Überprüfung jedes einzelnen Zertifikats des Pfads umfasst. Wenn ein Zertifikat in der Kette nicht gefunden wird oder ungültig ist (z. B. abgelaufen), gilt die gesamte Kette als ungültig, und es kann keine Configuration Manager 2007-Kommunikation stattfinden.

Windows-Computer sind automatisch mit Zwischenzertifizierungsstellen bekannter Drittanbieter konfiguriert. Wenn Sie jedoch die PKI-Lösung eines Drittanbieters verwenden, sollten Sie Computer- und Serverzertifikate zusammen mit der Kette der Zwischenzertifizierungsstellen-Zertifikate installieren. Zertifikate von Zwischenzertifizierungsstellen können während des Zertifikatverkettungsprozesses dynamisch heruntergeladen werden, wenn das ausgegebene Zertifikat im Feld „Zugriff auf Stelleninformationen“ URLs enthält, die auf die betreffende Zwischenzertifizierungsstelle verweisen, wenn die Anwendungen, die dieses Zertifikat verwenden, dieses Verhalten zulassen und wenn Clients Netzwerkzugriff auf die Zwischenzertifizierungsstellen haben.

Im einheitlichen Configuration Manager 2007-Modus können Clients die Zertifikate von Zwischenzertifizierungsstellen bei Bedarf dynamisch herunterladen, wenn sie sich nicht bereits im lokalen Computerspeicher befinden. Die Configuration Manager 2007-Standortsysteme laden Zwischenzertifizierungsstellen-Zertifikate jedoch nicht dynamisch herunter.

Wenn Sie untergeordnete Microsoft-Unternehmenszertifizierungsstellen verwenden, müssen Sie keine Zwischenzertifizierungsstellen-Zertifikate auf den Standortsystemen installieren, da diese in der Struktur automatisch über die Active Directory-Domänendienste repliziert werden. Wenn Sie jedoch die PKI-Lösung eines Drittanbieters verwenden, müssen Sie sicherstellen, dass die Zertifizierungskette zusammen mit dem Serverzertifikat installiert ist.

Informationen zu möglichen Bereitstellungsoptionen für die Installation von Zwischenzertifizierungsstellen-Zertifikaten auf Configuration Manager 2007-Computern, die diese benötigen, finden Sie in der Dokumentation zu Ihrer PKI.

Siehe auch

Konzepte

Zertifikatanforderungen für den einheitlichen Modus

Andere Ressourcen

Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com