Zertifikate für den einheitlichen Modus und Doppelbyte-Zeichensätze

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Wenn die Configuration Manager 2007-Hierarchie Computer umfasst, die mit Computernamen konfiguriert sind, die einen Doppelbyte-Zeichensatz (DBCS) verwenden, und wenn die Standorte für den einheitlichen Modus konfiguriert werden sollen, müssen Sie u. U. zusätzliche Konfigurationsschritte ausführen, bevor diese Computer im einheitlichen Modus betrieben werden können.

Die Standards der Public Key-Infrastruktur lassen derzeit keine Doppelbyte-Zeichensätze zu. Dies hat Auswirkungen auf die folgenden Computer an einem Configuration Manager 2007-Standort im einheitlichen Modus:

  • Verwaltungspunkte

  • Standardverteilungspunkte, die nicht als Serverfreigaben konfiguriert sind

  • Softwareupdatepunkte

  • Zustandsmigrationspunkte

  • Clientarbeitsstationen

Die vier Standortsysteme verwenden Secure Sockets Layer (SSL) und müssen daher mit einem Zertifikat konfiguriert werden, das den Servernamen oder den alternativen Antragstellernamen enthält. Dieser Servername muss mit dem in Configuration Manager 2007 konfigurierten Servernamen übereinstimmen. Wenn diese Standortsysteme in Configuration Manager 2007 mit Computernamen konfiguriert werden, die Doppelbytezeichen enthalten, benennen Sie sie so um, dass in den Computernamen nur Einzelbytezeichen verwendet werden.

Bei Clientzertifikaten für den einheitlichen Modus ist ein eindeutiger Wert im Antragstellernamen oder alternativen Antragstellernamen für das Zertifikat erforderlich. Dieser eindeutige Wert enthält nicht den Computernamen, obwohl dies die übliche Vorgehensweise und der Standardwert ist, wenn Sie Clientzertifikate mit einer Microsoft-Unternehmenszertifizierungsstelle über Vorlagen und die automatische Einschreibung mit einer Gruppenrichtlinie bereitstellen.

Wenn Ihre Clients mit Computernamen konfiguriert sind, die aus Doppelbytezeichen bestehen, stellen Sie sicher, dass die Clientzertifikate keine Doppelbytezeichen für den eindeutigen Wert verwenden. Wenn Sie eine Microsoft-Unternehmenszertifizierungsstelle mit Public Key-Infrastruktur (PKI) verwenden, stehen Ihnen z. B. folgende Lösungen zur Verfügung:

  • Benennen Sie den Computer so um, dass er nur Einzelbytezeichen verwendet.

  • Verwenden Sie eine alternative Option für den automatisch generierten alternativen Antragstellernamen für das Zertifikat mit einer Vorlage der Version 2, wenn diese eine Zeichenfolge generiert, die nur aus Einzelbytezeichen besteht. Auch der Universal Principle Name (UPN) oder der E-Mail-Name sind mögliche Alternativen.

  • Verwenden Sie die automatische Einschreibung nicht zusammen mit Vorlagen. Verwenden Sie lieber einen anderen Prozess, z. B. das Übergeben einer Zeichenfolge aus Einzelbytezeichen, wenn Sie ein Zertifikat mithilfe von Vorlagen oder dem Dienstprogramm „CertReq“ anfordern.

Wenn Sie eine andere PKI-Lösung als die von Microsoft verwenden, lesen Sie in Ihrer PKI-Dokumentation nach, mit welchen Lösungen Sie Clientzertifikate generieren können, die keine Doppelbyte-Zeichensätze verwenden.

Siehe auch

Konzepte

Zertifikatanforderungen für den einheitlichen Modus

Andere Ressourcen

Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com