Bestimmen, ob eine CTL (Certificate Trust List) mit IIS konfiguriert werden muss (einheitlicher Modus)

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Eine Zertifikatvertrauensliste (Certificate Trust List, CTL) ist eine definierte Liste von vertrauenswürdigen Stammzertifizierungsstellen. Wenn die CTL zusammen mit einer Gruppenrichtlinie und einer PKI-Bereitstellung verwendet wird, können Sie die vorhandenen vertrauenswürdigen Stammzertifizierungsstellen ergänzen, die in Ihrem Netzwerk konfiguriert sind (z. B. von Microsoft Windows automatisch installiert oder mit Windows-Organisations-Stammzertifizierungsstellen hinzugefügt). Ist die CTL jedoch in den Internetinformationsdiensten (IIS) konfiguriert, definiert die CTL eine Teilmenge dieser vertrauenswürdigen Stammzertifizierungsstellen.

Diese Teilmenge ermöglicht Administratoren eine größere Sicherheitssteuerung, da die CTL die Clientzertifikate beschränkt. Es werden nur Zertifikate zugelassen, die von den in der CTL aufgelisteten Zertifizierungsstellen ausgestellt wurden. Beispiel: Windows wird mit einer Anzahl von bekannten Zertifikaten von Drittanbieter-Zertifizierungsstellen geliefert, z. B. VeriSign und Thawte. Standardmäßig stufen Computer mit ISS Zertifikate dieser bekannten Zertifizierungsstellen als vertrauenswürdig ein. Wenn Sie ISS nicht mit einer CTL konfigurieren, werden alle Computer mit Clientzertifikaten, die von diesen Zertifizierungsstellen ausgestellt wurden, als gültige Configuration Manager-Clients zugelassen. Wenn Sie ISS mit einer CTL konfigurieren, die diese Zertifizierungsstellen nicht enthält, werden Clientverbindungen mit Zertifikaten dieser Zertifizierungsstellen abgelehnt. Damit Configuration Manager-Clients jedoch für den Standort im einheitlichen Modus zugelassen werden, müssen Sie IIS mit einer CTL konfigurieren, die die von Configuration Manager-Clients verwendeten Zertifizierungsstellen angibt.

Eine CTL wird in IIS als Websiteeigenschaft definiert, daher müssen Sie die CTL für jeden Standortserver in einem Configuration Manager 2007-Standort im einheitlichen Modus konfigurieren, der für die SSL-Kommunikation (Secure Sockets Layer) konfiguriert ist. Sie können die CTL nicht mit einer Gruppenrichtlinie konfigurieren und verwalten. Folgende Systemrollen verwenden die SSL-Kommunikation:

  • Verwaltungspunkte:

    • Standardverwaltungspunkt

    • Verwaltungspunkte mit Netzwerklastenausgleich

    • Proxyverwaltungspunkt

    • Internetbasierter Verwaltungspunkt

  • Verteilungspunkte, die keine Zweigverteilungspunkte sind oder Standortsystemfreigaben verwenden

  • Softwareupdatepunkte

  • Zustandsmigrationspunkte

Zum Verwenden einer CTL mit Configuration Manager 2007 im einheitlichen Modus bearbeiten Sie die Eigenschaften der Website (Standardwebsite oder benutzerdefinierte Webseite „SMSWeb“), nachdem Sie die Website mit dem Zertifikat für den einheitlichen Modus konfiguriert haben. Verwenden Sie den Assistenten für Zertifikatvertrauenslisten zum Erstellen oder Bearbeiten einer CTL, und geben Sie dann die Stammzertifizierungsstellen an, die von Clients des Standorts im einheitlichen Modus verwendet werden. Weitere Informationen zum Erstellen und Bearbeiten von CTLs in IIS 6.0 finden Sie in der IIS 6.0-Dokumentation im Abschnitt über CTLs (https://go.microsoft.com/fwlink/?LinkId=80247, möglicherweise in englischer Sprache).

Es wird empfohlen (ist jedoch nicht erforderlich), dass Sie für den einheitlichen Modus von Configuration Manager 2007 in ISS eine CTL verwenden, da dies eine höheren Sicherheitsstufe bietet, als wenn die von Configuration Manager-Clients verwendeten Zertifizierungsstellen nicht explizit definiert sind.

Das Verwenden einer CTL mit IIS und Configuration Manager 2007 im einheitlichen Modus bietet die folgenden Vorteile:

  • Diese Lösung ist sicherer, da nur die in der CTL angegebenen vertrauenswürdigen Stammzertifizierungsstellen (und nicht alle im Netzwerk verwendeten Stammzertifizierungsstellen) vom Configuration Manager als vertrauenswürdig eingestuft werden, einschließlich der standardmäßig von Windows installierten Zertifizierungsstellen.

Das Verwenden einer CTL mit IIS und Configuration Manager 2007 im einheitlichen Modus weist die folgenden Nachteile auf:

  • Diese Konfiguration führt zu einem höheren Verwaltungsaufwand, da die CTL in IIS für jeden Configuration Manager-Standortsystemserver erstellt und verwaltet wird, der mit Configuration Manager-Clients über SSL kommuniziert.

  • Wenn die CTL nicht ordnungsgemäß konfiguriert und verwaltet wird, kann dies dazu führen, dass Clients nicht verwaltet werden.

Siehe auch

Konzepte

Administratorcheckliste: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus
Vorteile der Verwendung des einheitlichen Modus
Übersicht über benutzerdefinierte Websites in Configuration Manager
Bestimmen, ob die CRL-Prüfung (Certificate Revocation List) auf Clients aktiviert werden muss (einheitlicher Modus)

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com