Entscheiden, wie das Standortserver-Signaturzertifikat den Clients bereitgestellt werden soll (einheitlicher Modus)

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Der Configuration Manager 2007-Standortserver verwendet das Standortserver-Signaturzertifikat im einheitlichen Modus, um Richtlinien zu signieren, die Clients vom Verwaltungspunkt herunterladen. Clients benötigen eine Kopie dieses Zertifikats zum Überprüfen der Signatur. Wenn Clients das Zertifikat empfangen, wird es in der Registrierung der Clients gespeichert und immer dann verwendet, wenn vom Verwaltungspunkt neue Richtlinien an die Clients gesendet werden.

Hinweis

Das Standortserver-Signaturzertifikat wird nicht im Zertifikatspeicher der Clients gespeichert sondern in einem geschützten Bereich der Registrierung.

Es gibt drei Methoden zur Bereitstellung des Standortserver-Signaturzertifikats auf Clientcomputern:

  • Automatisch mithilfe der Active Directory-Domänendienste

  • Manuell bei der Installation des Clients

  • Automatisch mithilfe des Verwaltungspunkts

Es wird empfohlen, das Standortserver-Signaturzertifikat mithilfe der Active Directory-Domänendienste auf Clientcomputern bereitzustellen, da diese Methode keine zusätzliche Verwaltung erfordert und das Zertifikat an einem gesicherten Speicherort unabhängig von Configuration Manager 2007 gespeichert wird. Für diese Methode gelten jedoch folgende Voraussetzungen:

  • Das Active Directory-Schema ist für Configuration Manager 2007 erweitert.

  • Der Standort wird in den Active Directory-Domänendiensten veröffentlicht.

  • Clients haben Zugriff auf die in den Active Directory-Domänendiensten veröffentlichten Standortinformationen.

    Hinweis

    Zu den Clients, die keine veröffentlichten Informationen lesen können, zählen Computer einer anderen Active Directory Gesamtstruktur, Clients von Arbeitsgruppencomputern und Clients, die über das Internet verwaltet werden.

Wenn Clients keine Kopie des Standortserver-Signaturzertifikats von den Active Directory-Domänendiensten abrufen können, sollten Sie in Betracht ziehen, diesen Clients das Zertifikat mithilfe des Setup-Dienstprogramms für Clients „CCMSetup.exe“ mit dem Parameter SMSSIGNCERT von „client.msi“ bereitzustellen und dabei den Pfad und den Dateinamen des exportierten Zertifikats zu verwenden. Diese Methode hat den Nachteil, dass sie einen größeren Verwaltungsaufwand erfordert, und ggf. wiederholt werden muss, wenn das Standortserver-Signaturzertifikat geändert oder erneuert wird. Weitere Informationen zu CCMSetupoptionen finden Sie unter Informationen zu Clientinstallationseigenschaften von Configuration Manager. Informationen zur Vorgehensweise beim Exportieren des Zertifikats finden Sie unter Exportieren des Standortserver-Signaturzertifikats für die Configuration Manager-Clientinstallation.

Wenn noch keine Kopie des Standortserver-Signaturzertifikats auf Configuration Manager 2007-Clients installiert ist, wenn diese eine Verbindung zu ihrem Verwaltungspunkt herstellen und das Zertifikat nicht in den Active Directory-Domänendiensten finden können, lädt der Verwaltungspunkt das Zertifikat automatisch herunter, sodass Clients die signierten Richtlinien überprüfen können.

Von den drei Lösungen ist die automatische Bereitstellung mit dem Verwaltungspunkt die Lösung mit dem höchsten Risiko. Sie sollte nur verwendet werden, wenn die Sicherheit des Verwaltungspunkts gewährleistet ist. Beispiel: Ein Verwaltungspunkt in einem Umkreisnetzwerk, der Internetverbindungen für die internetbasierte Clientverwaltung zulässt, gilt als weniger sicher als ein Verwaltungspunkt innerhalb eines Intranets, der nur Verbindungen von Intranetclients zulässt. Das automatische Bereitstellen einer Kopie des Standortserver-Signaturzertifikats über den Verwaltungspunkt kann jedoch eine geeignete Lösung sein, wenn der Verwaltungspunkt nur Verbindungen von Intranetclients zulässt und Sie den Verwaltungsaufwand einer manuellen Bereitstellung vermeiden möchten.

Wählen Sie die Bereitstellungsmethode aus, die Ihren Unternehmensanforderungen am besten entspricht. Beachten Sie folgende Richtlinien, um die Auswahl der Methode zum Bereitstellen einer Kopie des Standortserver-Signaturzertifikats auf Clients zu erleichtern.

Verwenden Sie Active Directory-Domänendienste zum automatischen Bereitstellen einer Kopie des Standortserver-Signaturzertifikats, wenn alle der folgenden Bedingungen zutreffen:

  • Active Directory-Domänendienste sind mit Configuration Manager 2007-Schemaerweiterungen erweitert, und der Standort wird in Active Directory-Domänendiensten veröffentlicht.

  • Clients können die veröffentlichten Standortinformationen lesen, abgesehen von Clients von nicht vertrauenswürdigen Domänen, Clients von Arbeitsgruppen und Clients im Internet.

Verwenden Sie die manuelle Bereitstellung einer Kopie des Standortserver-Signaturzertifikats, wenn eine der folgenden Bedingungen zutrifft:

  • Active Directory-Domänendienste können nicht zum Bereitstellen einer Kopie des Standortserver-Signaturzertifikats verwendet werden.

  • Clients stellen eine Verbindung zu einem Verwaltungspunkt her, der für die internetbasierte Clientverwaltung konfiguriert ist.

  • Das Sicherheitsrisiko, das mit der automatischen Installation einer Kopie des Standortserver-Signaturzertifikats aus dem Verwaltungspunkt verbunden ist, überwiegt im Vergleich zum zusätzlichen Verwaltungsaufwand für die manuelle Bereitstellung.

Verwenden Sie die automatische Bereitstellung einer Kopie des Standortserver-Signaturzertifikats mithilfe des Verwaltungspunkts, wenn alle der folgenden Bedingungen zutreffen:

  • Active Directory-Domänendienste können nicht zum Bereitstellen einer Kopie des Standortserver-Signaturzertifikats verwendet werden.

  • Der Verwaltungspunkt ist innerhalb des Intranets geschützt und nicht für die internetbasierte Clientverwaltung konfiguriert.

  • Der erhöhte Verwaltungsaufwand der manuellen Bereitstellung überwiegt im Vergleich zum Sicherheitsrisiko, das mit der automatischen Installation einer Kopie des Standortserver-Signaturzertifikats mithilfe des Verwaltungspunkts verbunden ist.

Siehe auch

Tasks

Exportieren des Standortserver-Signaturzertifikats für die Configuration Manager-Clientinstallation

Konzepte

Zertifikatanforderungen für den einheitlichen Modus
Informationen zu Clientinstallationseigenschaften von Configuration Manager

Andere Ressourcen

Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com