Beispiel für schrittweise Bereitstellung der für Configuration Manager im einheitlichen Modus erforderlichen PKI-Zertifikate: Windows Server 2003-Zertifizierungsstelle

  • Artikel

Letzte Aktualisierung: Mai 2010

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Diese schrittweise Anleitung für die Bereitstellung mit einer Windows Server 2003-Zertifizierungsstelle enthält Verfahren zum Erstellen und Bereitstellen von PKI-Zertifikaten (Public Key-Infrastruktur), die für den einheitlichen Modus in Configuration Manager 2007 erforderlich sind. Der einheitliche Modus bietet die größte Sicherheit für einen Configuration Manager 2007-Standort und ist Voraussetzung für die internetbasierte Clientverwaltung. Weitere Informationen zum einheitlichen Modus in Configuration Manager finden Sie unter Vorteile der Verwendung des einheitlichen Modus.

Die in diesem Beispiel beschriebenen Vorgehensweisen beziehen sich auf eine Microsoft PKI-Lösung, bei der eine Unternehmenszertifizierungsstelle und Zertifikatvorlagen verwendet werden. Die Schritte sollten nur in einem Testnetzwerk zur Überprüfung eines Konzepts angewendet werden.

Da die erforderlichen Zertifikate auf unterschiedliche Weise bereitgestellt werden, entnehmen Sie die Informationen zu den erforderlichen Vorgehensweisen und bewährten Methoden der entsprechenden Dokumentation für die PKI-Bereitstellung, um die erforderlichen Zertifikate für eine Produktionsumgebung bereitzustellen. Weitere Informationen zu den möglichen Bereitstellungsmethoden finden Sie unter Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate.

Hinweis

Zur Unterstützung von Configuration Manager 2007 wird eine Microsoft PKI-Lösung empfohlen, sie ist jedoch nicht erforderlich. Configuration Manager 2007 verwendet PKI-Standardzertifikate und unterstützt Version 3 des x.509-Zertifikatformat. Wenn sich mit der vorhandenen PKI-Bereitstellung die von Configuration Manager 2007 für den einheitlichen Modus benötigten Zertifikate erstellen, bereitstellen und verwalten lassen, können Sie die vorhandene PKI verwenden. Ausführlichere Informationen zur Bereitstellung finden Sie in der PKI-Dokumentation.

In diesem Abschnitt werden folgende Themen behandelt:

Dieses Beispiel enthält die folgenden Abschnitte, in denen die Erstellung und Bereitstellung der Basiszertifikate beschrieben wird, die für die Verwendung eines Configuration Manager 2007-Standorts für Intranetverbindungen im einheitlichen Modus erforderlich sind:

Voraussetzungen für ein Testnetzwerk

Übersicht

Bereitstellen des Standortserver-Signaturzertifikats

Bereitstellen des Webserverzertifikats

Bereitstellen des Clientzertifikats

Voraussetzungen für ein Testnetzwerk

Im Beispiel wird Folgendes vorausgesetzt:

  • Im Testnetzwerk werden die Active Directory-Domänendienste mit Microsoft Windows Server 2003 ausgeführt. Zudem ist das Netzwerk als eine einzelne Domäne bzw. Gesamtstruktur installiert.

  • Sie verfügen über einen Domänencontroller, auf dem Windows Server 2003 Enterprise Edition Service Pack 1, ausgeführt wird und die folgenden Elemente installiert sind:

    • Gruppenrichtlinien-Verwaltungskonsole

    • Internetinformationsdienste (IIS)

    • Als Unternehmens-Stammzertifizierungsstelle installierte Zertifikatdienste

    Hinweis

    IIS muss zur Konfiguration der Webeinschreibung vor der Installation der Zertifikatdienste installiert werden.

  • Sie verfügen über einen Computer mit Windows Server 2003 (Standard Edition oder Enterprise Edition) Service Pack 1, der als Mitgliedsserver festgelegt wurde und auf dem die Internetinformationsdienste (IIS) installiert sind.

  • Sie verfügen über einen Windows Professional XP-Client, auf dem das aktuelle Service Pack installiert ist. Dieser Computer ist mit einem aus ASCII-Zeichen bestehenden Computernamen konfiguriert und gehört der Domäne an.

  • Sie können sich mit einem Administratorkonto der Stammdomäne oder der Unternehmensdomäne anmelden und dieses Konto für alle in dieser Beispielbereitstellung aufgeführten Verfahren verwenden.

Hinweis

Für die Verwaltung der Gruppenrichtlinie in den Active Directory-Domänendiensten wird als Add-On die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) empfohlen. Weitere Informationen zur Gruppenrichtlinien-Verwaltungskonsole und die aktuelle Version zum Herunterladen finden Sie auf der Webseite zur Unternehmensverwaltung mit der Gruppenrichtlinien-Verwaltungskonsole (https://go.microsoft.com/fwlink/?LinkId=79386).

Übersicht

PKI-Zertifikate müssen vor der Installation von Configuration Manager 2007 im einheitlichen Modus installiert werden. Die Installation und Konfiguration von Configuration Manager 2007 ist nicht Gegenstand dieses Beispiels. Es wird jedoch beschrieben, wie Sie Computern Zertifikate bereitstellen, die für die Verwendung von Configuration Manager 2007 im einheitlichen Modus erforderlich sind.

In der folgenden Tabelle finden Sie die drei erforderlichen PKI-Zertifikattypen inklusive einer Beschreibung zur Verwendung an einem Configuration Manager 2007-Standort im einheitlichen Modus:

Zertifikatanforderung Zertifikatbeschreibung

Standortserver-Signaturzertifikat

Dieses Zertifikat wird auf dem Server installiert, der als Configuration Manager 2007-Standortserver verwendet wird. Es wird zum Signieren von Clientrichtlinien verwendet.

Webserverzertifikat

Dieses Zertifikat wird auf Servern installiert, die als Configuration Manager 2007-Standortsysteme verwendet werden und beispielsweise für die Rolle des Verwaltungs- oder Verteilungspunkts konfiguriert sind. Es wird zum Verschlüsseln von Daten und zum Authentifizieren des Servers auf Clients verwendet.

Clientzertifikat

Dieses Zertifikat wird auf Computern installiert, die als Configuration Manager 2007-Clients verwendet werden, sowie auf dem Verwaltungspunkt. Es wird zum Authentifizieren des Clients auf Standortsystemen verwendet. Auf dem Verwaltungspunkt dient es der Überwachung der Serverintegrität.

Weitere Informationen zu den Zertifikaten finden Sie unter Zertifikatanforderungen für den einheitlichen Modus.

Führen Sie die Schritte in diesem Beispiel durch, um folgende Ziele zu erreichen:

  • Stellen Sie ein Configuration Manager 2007-Standortserver-Signaturzertifikat für den Mitgliedsserver bereit, sodass er als Configuration Manager 2007-Standortserver im einheitlichen Modus verwendet werden kann.

  • Stellen Sie ein Webserverzertifikat für den Mitgliedsserver bereit, sodass er als Configuration Manager 2007-Standortsystemserver im einheitlichen Modus verwendet werden kann, auf dem die folgenden Configuration Manager-Standortsystemrollen ausgeführt werden können: Verwaltungspunkt, Verteilungspunkt, Softwareupdatepunkt und Zustandsmigrationspunkt.

  • Stellen Sie ein Clientzertifikat für eine Arbeitsstation und den Mitgliedsserver bereit, sodass die Arbeitsstation als Configuration Manager 2007-Client im einheitlichen Modus verwendet werden und der Verwaltungspunkt den Status an den Standortserver melden kann.

Bereitstellen des Standortserver-Signaturzertifikats

Dieser Schritt beinhaltet vier Prozeduren:

  • Erstellen und Ausstellen der Standortserver-Signaturzertifikatsvorlage bei der Zertifizierungsstelle

  • Anfordern des Standortserver-Signaturzertifikats für den Server, auf dem der Configuration Manager 2007-Standortserver ausgeführt wird

  • Genehmigen des Standortserver-Signaturzertifikats bei der Zertifizierungsstelle

  • Installieren des Standortserver-Signaturzertifikats auf dem Server, auf dem der Configuration Manager 2007-Standortserver ausgeführt wird

Erstellen und Ausstellen der Standortserver-Signaturzertifikatsvorlage bei der Zertifizierungsstelle

So erstellen Sie die Standortserver-Signaturzertifikatvorlage und stellen sie aus

  1. Klicken Sie auf dem Domänencontroller, auf dem die Windows Server 2003-Konsole ausgeführt wird, auf Start > Programme > Verwaltung > Zertifizierungsstelle.

  2. Erweitern Sie den Namen der Zertifizierungsstelle, und klicken Sie dann auf Zertifikatvorlagen.

  3. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten, um die Verwaltungskonsole für Zertifikatvorlagen zu laden.

  4. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag, für den in der Spalte Vorlagenanzeigename der Name Computer angezeigt wird, und klicken Sie dann auf Doppelte Vorlage.

  5. Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Namen für die Standortserver-Signaturzertifikatvorlage ein, z. B. ConfigMgr-Standortserver-Signaturzertifikat.

  6. Klicken Sie auf der Registerkarte Antragstellername auf Informationen werden in der Anforderung angegeben.

  7. Wählen Sie auf der Registerkarte Erweiterungen die Option Anwendungsrichtlinien aus, und klicken sie dann auf Bearbeiten.

  8. Wählen Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten die Option Clientauthentifizierung aus, drücken Sie die Umschalttaste. Wählen Sie die Option Serverauthentifizierung aus, und klicken Sie auf Entfernen.

  9. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf Hinzufügen.

  10. Wählen Sie im Dialogfeld Anwendungsrichtlinie hinzufügen als einzige Anwendungsrichtlinie die Option Dokumentsignatur aus, und klicken Sie dann auf OK.

  11. Im Dialogfeld mit den Eigenschaften der neuen Vorlage wird nun als Beschreibung von Anwendungsrichtlinien Folgendes angezeigt:Dokumentsignatur.

  12. Wählen Sie auf der Registerkarte Ausstellungsvoraussetzungen die Option Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle aus.

  13. Klicken Sie auf OK, und schließen Sie die Administratorkonsole für Zertifikatsvorlagen certtmpl – [Certificate Templates].

  14. Klicken Sie in der Konsole Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu und dann auf Auszustellende Zertifikatvorlage.

  15. Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neu erstellte Vorlage mit der Bezeichnung ConfigMgr-Standortserver-Signaturzertifikat aus, und klicken Sie dann auf OK.

    Hinweis

    Wenn Sie die Schritte 14 bis 15 nicht ausgeführt können, prüfen Sie, ob die Enterprise Edition von Windows Server 2003 verwendet wird. Mit Windows Server Standard Edition und Zertifikatdiensten können Sie zwar Vorlagen konfigurieren, aber das Bereitstellen von Zertifikaten mit geänderten Zertifikatsvorlagen ist nur mit Windows Server 2003 Enterprise möglich.

  16. Lassen Sie die Konsole Zertifizierungsstelle geöffnet.

Anfordern des Standortserver-Signaturzertifikats für den Server, auf dem der Configuration Manager 2007-Standortserver ausgeführt wird

So fordern Sie das Standortserver-Signaturzertifikat an

  1. Laden Sie auf dem Mitgliedsserver Internet Explorer, und stellen Sie eine Verbindung mit dem Webeinschreibungsdienst mit der Adresse http://*<Server>/*certsrv her, wobei <Server> der Name oder die IP-Adresse der Unternehmenszertifizierungsstelle ist.

  2. Wählen Sie auf der Seite Willkommen die Option Zertifikat anfordern aus.

  3. Wählen Sie auf der Seite Zertifikat anfordern die Option Erweiterte Zertifikatanforderung aus.

  4. Wählen Sie auf der Seite Erweiterte Zertifikatanforderung die Option Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen aus.

  5. Geben Sie auf der Seite Erweiterte Zertifikatanforderung Folgendes an:

    • Wählen Sie im Abschnitt Zertifikatsvorlage das Standortserver-Signaturzertifikat des ConfigMgr für die Zertifikatsvorlage aus.

      Hinweis

      Wenn diese Zertifikatvorlage nicht angezeigt wird, sollten Sie sicherstellen, dass Sie den Mitgliedsserver neu gestartet haben (falls der Server ausgeführt wurde), nachdem Sie die Sicherheitsgruppe im vorher beschriebenen Verfahren konfiguriert haben.

    • Geben Sie im Abschnitt Identifikationsinformationen für Offlinevorlage in das Textfeld Name Folgendes ein: The site code of this site server is <xxx>, wobei <xxx> für den Standortcode des Standorts steht. Geben Sie diese Textzeichenfolge (in Englisch) exakt so wie angegeben ein. Beachten Sie die Groß-/Kleinschreibung und setzen Sie weder Komma noch Punkt am Ende der Zeichenfolge. Beim Standortcode (<xxx>) muss ebenfalls die Groß-/Kleinschreibung beachtet werden, sie muss mit der in der Configuration Manager-Konsole verwendeten Schreibweise übereinstimmen. Dieser Wortlaut muss exakt so verwendet werden, da daraus der Zertifikatantragstellername zur Identifizierung des Standortserver-Signaturzertifikats generiert wird.

    • Aktivieren Sie im Abschnitt Schlüsseloptionen die Option Zertifikat in lokalem Zertifikatspeicher aufbewahren.

      Hinweis

      Wenn diese Option nicht angezeigt wird, wurde wahrscheinlich das Hotfix für KB 922706 zur Unterstützung der Webeinschreibung von Windows Vista und Windows Server 2008 installiert. Dieser Hotfix entfernt die Option zur Speicherung einer erweiterten Zertifikatanforderung im Computerspeicher. Wenn diese Option auf den Seiten zur Webeinschreibung nicht verfügbar ist, müssen Sie eine alternative Zertifikatbereitstellungsmethode für das Standortserver-Signaturzertifikat anwenden. Sie können z. B. das Zertifikat im Benutzerspeicher speichern, es exportieren und dann in den Computerspeicher importieren, oder Sie verwenden das Befehlszeilendienstprogramm Certreq.exe zur Zertifikatanforderung. Die Certreq.exe-Methode wird in folgendem Thema verwendet: Beispiel für die schrittweise Bereitstellung der für Configuration Manager im einheitlichen Modus erforderlichen PKI-Zertifikate: Windows Server 2008-Zertifizierungsstelle.

    • Geben Sie im Abschnitt Weitere Optionen den gewünschten Anzeigename ein, z. B. ConfigMgr-Standortserverzertifikat.

  6. Klicken Sie auf Absenden.

  7. Auf der Seite Zertifikat steht noch aus wird angezeigt, dass Ihre Zertifikatanforderung empfangen wurde, das Zertifikat jedoch noch von einem Administrator ausgestellt werden muss. Notieren Sie die angezeigte Anforderungs-ID.

  8. Lassen Sie Internet Explorer geöffnet.

Genehmigen des Standortserver-Signaturzertifikats bei der Zertifizierungsstelle

So genehmigen Sie das Standortserver-Signaturzertifikat

  1. Klicken Sie auf dem Domänencontroller im Abschnitt Zertifizierungsstelle auf Ausstehende Anforderungen.

  2. Im Ergebnisbereich wird das angeforderte Zertifikat mit der auf der Webeinschreibungsseite angezeigten Anforderungs-ID angezeigt.

  3. Klicken Sie mit der rechten Maustaste auf das angeforderte Zertifikat, klicken Sie auf Alle Tasks und dann auf Ausstellen. Lassen Sie die Konsole Zertifizierungsstelle geöffnet.

Installieren des Standortserver-Signaturzertifikats auf dem Server, auf dem der Configuration Manager 2007-Standortserver ausgeführt wird

So installieren Sie das Standortserver-Signaturzertifikat

  1. Klicken Sie auf dem Mitgliedsserver auf der Webseite Microsoft Zertifikatdienste rechts oben auf Startseite, um zur Seite Willkommen zurückzukehren.

  2. Klicken Sie auf der Seite Willkommen auf Status ausstehender Zertifikatanforderungen anzeigen.

  3. Klicken Sie auf der Seite Status ausstehender Zertifikatanforderungen anzeigen auf den Hyperlink. Daraufhin werden der für das Standortserver-Signaturzertifikat angegebene Anzeigename und in Klammern das Datum und die Uhrzeit der Anforderung angezeigt.

  4. Klicken Sie auf der Webseite Zertifikat wurde ausgestellt auf Dieses Zertifikat installieren.

  5. Wenn eine Warnmeldung zu einer möglichen Skriptverletzung angezeigt wird, klicken Sie auf Ja.

  6. Auf der letzten Seite wird angezeigt, dass das neue Zertifikat erfolgreich installiert wurde.

  7. Schließen Sie Internet Explorer.

Der Mitgliedsserver verfügt nun über ein Configuration Manager 2007-Standortserver-Signaturzertifikat.

Bereitstellen des Webserverzertifikats

Dieser Schritt beinhaltet vier Prozeduren:

  • Erstellen eine Windows-Sicherheitsgruppe für die Standortsystemserver (Verwaltungspunkt, Verteilungspunkt, Softwareupdatepunkt, Zustandsmigrationspunkt)

  • Erstellen und Ausstellen der Webserver-Zertifikatvorlage bei der Zertifizierungsstelle

  • Anfordern des Webserverzertifikats

  • Konfigurieren von IIS für die Verwendung des Webserverzertifikats

Erstellen eine Windows-Sicherheitsgruppe für die Standortsystemserver (Verwaltungspunkt, Verteilungspunkt, Softwareupdatepunkt, Zustandsmigrationspunkt)

So erstellen Sie eine Windows-Sicherheitsgruppe für den Standortsystemserver

  1. Klicken Sie auf dem Domänencontroller auf Start > Programme > Verwaltung > Active Directory-Benutzer und -Computer.

  2. Klicken Sie mit der rechten Maustaste auf die Domäne, klicken Sie auf Neu und dann auf Gruppe.

  3. Geben Sie im Dialogfeld Neues Objekt – Gruppe im Feld Gruppenname den Namen ConfigMgr-IIS-Server ein, und klicken Sie dann auf OK.

  4. Klicken Sie unter Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die neu erstellte Gruppe, und klicken Sie auf Eigenschaften.

  5. Klicken Sie zum Auswählen des Mitgliedsservers auf der Registerkarte Mitglieder auf Hinzufügen.

    Hinweis

    In der Testumgebung ist nur ein Server vorhanden, der hinzugefügt werden kann. In einer Produktionsumgebung werden die Configuration Manager 2007-Standortsysteme, die Zertifikate erfordern (z. B. die Verwaltungs- oder die Verteilungspunkte des Standorts) wahrscheinlich auf verschiedenen Servern gehostet. Es hat sich daher bewährt, einer Gruppe Berechtigungen zuzuweisen und die Standortsysteme hinzuzufügen, die denselben Zertifikattyp erfordern. Wenn Sie für diese Server eine Sicherheitsgruppe erstellen, können Sie Berechtigungen zuweisen, sodass die Zertifikate nur von diesen Servern verwendet werden können.

  6. Klicken Sie auf OK, und klicken Sie dann erneut auf OK, um das Dialogfeld mit den Gruppeneigenschaften zu schließen.

  7. Starten Sie den Mitgliedsserver neu (falls er eingeschaltet ist), damit die neue Gruppenmitgliedschaft übernommen wird.

Erstellen und Ausstellen der Webserver-Zertifikatvorlage bei der Zertifizierungsstelle

So können Sie die Webserver-Zertifikatvorlage bei der Zertifizierungsstelle generieren und ausstellen

  1. Klicken Sie auf dem Domänencontroller bei ausgeführter Verwaltungskonsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten, um die Verwaltungskonsole für Zertifikatvorlagen zu laden.

  2. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag, für den in der Spalte Vorlagenanzeigename der Name Webserver angezeigt wird, und klicken Sie auf Doppelte Vorlage.

  3. Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Vorlagennamen zum Generieren der Webzertifikate ein, die auf Configuration Manager-Standortsystemen verwendet werden, z. B. ConfigMgr-Webserverzertifikat.

  4. Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen aus, und wählen Sie dann für Format des Antragstellernamen eine der folgenden Optionen aus:

    • Allgemeiner Name: Wählen Sie diese Option aus, wenn Sie im Configuration Manager für Standortsysteme vollständig qualifizierte Domänennamen verwenden möchten (für die Verwaltung von internetbasierten Clients erforderlich und empfohlen für Clients im Intranet).

    • Vollständiger definierter Name: Wählen Sie diese Option aus, wenn Sie im Configuration Manager keine vollständig qualifizierten Domänennamen verwenden möchten.

  5. Klicken Sie auf die Registerkarte Sicherheit, und entfernen Sie aus den Sicherheitsgruppen Domänen-Admins und Organisations-Admins die Berechtigung Enroll (Registrieren).

  6. Klicken Sie auf Hinzufügen, geben Sie in das Textfeld ConfigMgr-IIS-Server ein, und klicken Sie dann auf OK.

  7. Wählen Sie für diese Gruppe die folgenden Berechtigungen vom Typ Zulassen aus: Lesen, Einschreiben und Automatisch registrieren.

  8. Klicken Sie auf OK, und schließen Sie die Verwaltungskonsole für Zertifikatsvorlagen, certtmpl – [Certificate Templates].

  9. Klicken Sie in der Verwaltungskonsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu und dann auf Auszustellende Zertifikatvorlage.

  10. Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neu erstellte Vorlage mit der Bezeichnung ConfigMgr-Webserverzertifikat aus, und klicken Sie dann auf OK.

  11. Schließen Sie die Konsole der Zertifizierungsstelle.

Anfordern des Webserverzertifikats

So fordern Sie das Webserverzertifikat an

  1. Starten Sie den Mitgliedsserver neu, um sicherzustellen, dass er auf die Zertifikatvorlage mit der konfigurierten Berechtigung zugreifen kann.

  2. Klicken Sie auf Start > Ausführen, und geben Sie mmc.exe ein. Klicken Sie in der leeren Konsole auf Datei und anschließend auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen > Zertifikate > Hinzufügen.

  4. Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie dann auf Weiter.

  5. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist. Klicken Sie anschließend auf Fertig stellen.

  6. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.

  7. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.

  8. Erweitern Sie in der Konsole, in der jetzt Zertifikate (Lokaler Computer) angezeigt wird, den Knoten Zertifikate (Lokaler Computer), und erweitern Sie dann Persönlich.

  9. Klicken Sie mit der rechten Maustaste auf Zertifikate, klicken Sie auf Alle Tasks und dann auf Neues Zertifikat anfordern.

  10. Klicken Sie auf der Seite Willkommen auf Weiter.

  11. Wählen Sie auf der Seite Zertifikattyp in der Liste der angezeigten Zertifikate ConfigMgr-Webserverzertifikat aus, und klicken Sie auf Weiter.

  12. Geben Sie auf der Seite Angezeigter Name und Beschreibung des Zertifikats optional einen Anzeigenamen und eine Beschreibung zur Identifizierung dieses Zertifikats ein, und klicken Sie auf Weiter.

  13. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  14. Im Dialogfeld Zertifikatanforderungs-Assistent wird angezeigt, dass die Zertifikatanforderung erfolgreich durchgeführt wurde.

  15. Schließen Sie das Dialogfeld Zertifikate (Lokaler Computer).

Konfigurieren von IIS für die Verwendung des Webserverzertifikats

So konfigurieren Sie IIS für die Verwendung des Webserverzertifikats

  1. Klicken Sie auf dem Mitgliedsserver auf Start > Programme > Verwaltung > Internetinformationsdienste-Manager.

  2. Erweitern Sie den Knoten Websites, klicken Sie mit der rechten Maustaste auf Standardwebsite, und wählen Sie dann Eigenschaften aus.

  3. Klicken Sie auf die Registerkarte Verzeichnissicherheit, und klicken Sie dann auf Serverzertifikat.

  4. Klicken Sie auf der Seite Willkommen auf Weiter.

  5. Klicken Sie auf der Seite Serverzertifikat auf Vorhandenes Zertifikat hinzufügen, und klicken Sie dann auf Weiter.

  6. Wählen Sie auf der Seite Verfügbare Zertifikate das neu angeforderte Webserverzertifikat aus. Sie erkennen es am Feld Beabsichtigter Zweck, das den Wert Serverauthentifizierung und den von Ihnen angegebenen Anzeigenamen enthält. Klicken Sie anschließend auf Weiter.

  7. Akzeptieren Sie auf der Seite SSL-Port die Standardportnummer 443, und klicken Sie auf Weiter.

  8. Klicken Sie auf der Seite Zertifikatzusammenfassung auf Weiter.

  9. Klicken Sie auf der Seite Abschließen des Assistenten für Webserverzertifikate auf Fertig stellen.

  10. Klicken Sie auf OK, um das Dialogfeld Eigenschaften von Standardwebsite zu schließen.

  11. Schließen Sie das Dialogfeld Internetinformationsdienste-Manager.

Der Mitgliedsserver verfügt nun über ein Configuration Manager 2007-Webserverzertifikat.

Hinweis

Wenn dieser Server für Softwareupdates konfiguriert wird, sind nach der Installation von WSUS zusätzliche Konfigurationsschritte in IIS erforderlich. Weitere Informationen finden Sie unter Konfigurieren der WSUS-Website zur Verwendung von SSL.

Bereitstellen des Clientzertifikats

Dieser Schritt beinhaltet zwei Prozeduren:

  • Konfigurieren der automatischen Einschreibung der Computervorlage mithilfe einer Gruppenrichtlinie

  • Automatisches Einschreiben des Computerzertifikats und Überprüfen der Installation auf Computern

Konfigurieren der automatischen Einschreibung der Computervorlage mithilfe einer Gruppenrichtlinie

So konfigurieren Sie die automatische Einschreibung der Computervorlage mithilfe einer Gruppenrichtlinie

  1. Klicken Sie auf dem Domänencontroller auf Start > Programme > Gruppenrichtlinienverwaltung.

  2. Klicken Sie mit der rechten Maustaste auf die Domäne, und wählen Sie dann die Option Gruppenrichtlinienobjekt hier erstellen und verknüpfen aus.

    Hinweis

    Für diesen Schritt hat es sich bewährt, eine neue Gruppenrichtlinie für benutzerdefinierte Einstellungen zu erstellen, statt die mit den Active Directory-Domänendiensten installierte Standarddomänenrichtlinie zu bearbeiten. Wenn Sie diese Gruppenrichtlinie auf Domänenebene zuweisen, wird sie auf alle Computer in der Domäne angewendet. In einer Produktionsumgebung können Sie die automatische Einschreibung jedoch auf ausgewählte Computer einschränken. Weisen Sie die Gruppenrichtlinie zu diesem Zweck entweder auf einer Organisationseinheitebene zu, oder filtern Sie die Gruppenrichtlinie der Domäne mit einer Sicherheitsgruppe, sodass sie nur für die Computer in der Gruppe gilt. Wenn Sie die automatische Registrierung einschränken, müssen Sie den als Verwaltungspunkt konfigurierten Server einschließen.

  3. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt einen Namen für die neue Gruppenrichtlinie ein, z. B. Zertifikate automatisch einschreiben, und klicken Sie auf OK.

  4. Klicken Sie im Ergebnisbereich auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte mit der rechten Maustaste auf die neue Gruppenrichtlinie, und klicken Sie dann auf Bearbeiten.

  5. Wechseln Sie im Gruppenrichtlinienobjekt-Editor zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien öffentlicher Schlüssel.

  6. Klicken Sie mit der rechten Maustaste auf Einstellungen der automatischen Zertifikatanforderung, klicken Sie auf Neu und dann auf Automatische Zertifikatanforderung.

  7. Klicken Sie auf der Seite Willkommen auf Weiter.

  8. Wählen Sie auf der Seite Zertifikatvorlage in der Liste der verfügbaren Zertifikatvorlagen die Option Computer aus, und klicken Sie dann auf Weiter.

  9. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  10. Schließen Sie die Gruppenrichtlinienverwaltung.

Automatisches Einschreiben des Computerzertifikats und Überprüfen der Installation auf Computern

So schreiben Sie das Computerzertifikat automatisch ein und überprüfen die Installation auf dem Clientcomputer

  1. Starten Sie die Arbeitsstation neu, und warten Sie einige Minuten, bevor Sie sich anmelden.

    Hinweis

    Das Neustarten eines Computers ist die zuverlässigste Methode, eine erfolgreiche automatische Registrierung von Zertifikaten sicherzustellen.

  2. Melden Sie sich mit einem Konto an, das über Administratorrechte verfügt.

  3. Klicken Sie auf Start > Ausführen, und geben Sie dann mmc.exe ein.

  4. Klicken Sie in der leeren Verwaltungskonsole auf Datei und anschließend auf Snap-In hinzufügen/entfernen.

  5. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen > Zertifikate > Hinzufügen.

  6. Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie dann auf Weiter.

  7. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist. Klicken Sie anschließend auf Fertig stellen.

  8. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.

  9. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.

  10. Erweitern Sie in der Konsole, in der jetzt Zertifikate (Lokaler Computer) angezeigt wird, den Knoten Zertifikate (Lokaler Computer), und klicken Sie dann auf Persönlich.

  11. Überprüfen Sie, ob im Ergebnisbereich ein Zertifikat angezeigt wird, für das im Feld Beabsichtigter Zweck der Wert Clientauthentifizierung und im Feld Zertifikatvorlage der Wert Computer angezeigt wird.

  12. Schließen Sie das Dialogfeld Zertifikate (Lokaler Computer).

  13. Wiederholen Sie die Schritte 1 bis 12 für den Mitgliedsserver, um sicherzustellen, dass der als Verwaltungspunkt konfigurierte Server ebenfalls über ein Clientzertifikat verfügt.

Die Arbeitsstation und der Mitgliedsserver verfügen nun über ein Configuration Manager 2007-Clientzertifikat.

Siehe auch

Tasks

Migrieren des Standortmodus vom gemischten zum einheitlichen Modus

Konzepte

Administratorcheckliste: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus
Administratorworkflow: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus
Vorteile der Verwendung des einheitlichen Modus
Zertifikatanforderungen für den einheitlichen Modus
Übersicht über die internetbasierte Clientverwaltung
Voraussetzungen für den einheitlichen Modus
Beispiel für die schrittweise Bereitstellung der für Configuration Manager im einheitlichen Modus erforderlichen PKI-Zertifikate: Windows Server 2008-Zertifizierungsstelle

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com