Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle

  • Artikel

Letzte Aktualisierung: Oktober 2009

Betrifft: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Dieses Beispiel enthält eine schrittweise Anleitung zum Erstellen und Bereitstellen der PKI-Zertifikate (Public Key-Infrastruktur), die von Configuration Manager 2007 SP1 und höher für die Out-of-Band-Verwaltung und AMT benötigt werden. Weitere Informationen zur Out-of-Band-Verwaltung in Configuration Manager finden Sie unter Übersicht über die Out-of-Band-Verwaltung.

Hinweis

Die Angaben in diesem Thema gelten nur für Configuration Manager 2007 SP1 und spätere Versionen.

Für die Prozeduren in diesem Beispiel werden Microsoft Zertifikatdienste mit Windows Server 2003, Enterprise Edition mit einer Unternehmenszertifizierungsstelle und Zertifikatvorlagen verwendet. Die Schritte sollten nur in einem Testnetzwerk zur Überprüfung eines Konzepts angewendet werden.

Da die erforderlichen Zertifikate auf unterschiedliche Weise bereitgestellt werden, entnehmen Sie die Informationen zu den erforderlichen Vorgehensweisen und bewährten Methoden der entsprechenden Dokumentation für die PKI-Bereitstellung, um die erforderlichen Zertifikate für eine Produktionsumgebung bereitzustellen. Weitere Informationen zu den für AMT und die Out-of-Band-Verwaltung benötigten Zertifikaten finden Sie unter Zertifikatanforderungen für die Out-of-Band-Verwaltung.

Wichtig

Für die AMT-Bereitstellung in Configuration Manager 2007 SP1 und höher sind die Microsoft Zertifikatdienste mit einer Unternehmenszertifizierungsstelle und Zertifikatvorlagen erforderlich. Weitere Informationen zu den Zertifikaten, die bereitgestellt werden müssen, sowie zur Zertifikatverwendung finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung.

In diesem Abschnitt werden folgende Themen behandelt:

Die folgenden Abschnitte dieses Beispiels enthalten Angaben zum Erstellen und Bereitstellen der Zertifikate, die ein Standort mit Configuration Manager 2007 SP1 und höher für die Out-of-Band-Verwaltung von Computern benötigt:

Voraussetzungen für ein Testnetzwerk

Übersicht

Erstellen von Windows-Sicherheitsgruppen für die Standortsystemserver

Anfordern, Installieren und Vorbereiten des AMT-Bereitstellungszertifikats

Vorbereiten der Webserverzertifikate für AMT-basierte Computer

Vorbereiten der Clientauthentifizierungszertifikate für AMT-basierte Computer mit 802.1X-Authentifizierung

Voraussetzungen für ein Testnetzwerk

Im Beispiel wird Folgendes vorausgesetzt:

  • Im Testnetzwerk werden die Active Directory-Domänendienste mit Microsoft Windows Server 2003 ausgeführt. Zudem ist das Netzwerk als eine einzelne Domäne bzw. Gesamtstruktur installiert.

  • Sie verfügen über einen Domänencontroller, auf dem Windows Server 2003 Enterprise Edition Service Pack 2, ausgeführt wird und die folgenden Elemente installiert sind:

    • Internetinformationsdienste (IIS)

    • Zertifikatdienste, die als Unternehmens-Stammzertifizierungsstelle installiert sind

      Hinweis

      IIS muss vor den Zertifikatdiensten installiert werden, damit die Webeinschreibung konfiguriert werden kann.

  • Sie verfügen über einen Computer mit Windows Server 2003 (Standard Edition oder Enterprise Edition) Service Pack 1, der als Mitgliedsserver festgelegt wurde.

  • Sie können sich mit einem Administratorkonto der Stammdomäne oder Unternehmensdomäne anmelden und dieses Konto für sämtliche Prozeduren in diesem Beispiel nutzen.

Übersicht

PKI-Zertifikate müssen vor der Out-of-Band-Verwaltung von Computern in Configuration Manager 2007 vorbereitet und installiert werden. Dieses Beispiel enthält eine schrittweise Anleitung zum Bereitstellen der Zertifikate, die für die Bereitstellung von Computern für AMT zum Zweck der Out-of-Band-Verwaltung erforderlich sind. Weitere Informationen zum Konfigurieren für die Out-of-Band-Verwaltung finden Sie unter Konfigurieren der Out-of-Band-Verwaltung.

Die folgende Tabelle enthält eine Liste der PKI-Zertifikate, die für die Out-of-Band-Verwaltung von AMT-Computern erforderlich sind, sowie Angaben zu ihrer Verwendung an einem Standort mit Configuration Manager 2007 SP1 und höher.

Zertifikatanforderung Zertifikatbeschreibung

AMT-Bereitstellungszertifikat

Mit diesem Zertifikat werden AMT-basierte Computer für die Out-of-Band-Verwaltung durch Configuration Manager 2007 SP1 vorbereitet.

Weitere Informationen zur AMT-Bereitstellung finden Sie unter Informationen zur AMT-Bereitstellung für die Out-of-Band-Verwaltung.

Webserverzertifikat

Dieses Zertifikat wird vom primären Standortserver im Namen von AMT-basierten Rechnern angefordert und anschließend in der AMT-Firmware der Computer installiert.

Nach der Installation dient das Zertifikat zur Authentifizierung der AMT-basierten Computer beim Standortsystemserver des Out-of-Band-Dienstpunkts und bei Computern, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird, sowie zur TLS-Verschlüsselung (Transport Layer Security) der zwischen diesen übertragenen Daten.

Clientauthentifizierungszertifikat

Gilt nur für Configuration Manager 2007 SP2: Zur Out-of-Band-Verwaltung AMT-basierter Computer in 802.1X-authentifizierten Kabel- und Drahtlosnetzwerken ist möglicherweise ein Clientauthentifizierungszertifikat erforderlich (zwingend bei EAP-TLS-Authentifizierung und optional bei der Authentifizierung über EAP-TTLS/MSCHAPv2 bzw. PEAPv0/EAP-MSCHAPv2). Dieses Zertifikat wird vom primären Standortserver im Namen von AMT-basierten Rechnern angefordert und anschließend in der AMT-Firmware der Computer installiert.

Nach der Installation dient das Zertifikat zur Authentifizierung des AMT-basierten Computers beim RADIUS-Server. Dadurch wird die Netzwerkzugriffsauthentifizierung und -autorisierung ermöglicht.

Weitere Informationen zu den Zertifikaten finden Sie unter Zertifikatanforderungen für die Out-of-Band-Verwaltung.

Führen Sie die Schritte in diesem Beispiel durch, um folgende Ziele zu erreichen:

  • Erstellen Sie die Windows-Sicherheitsgruppen, die mit den Zertifikatvorlagen zu verwenden sind.

  • Fordern Sie das AMT-Bereitstellungszertifikat an, installieren Sie es, und bereiten Sie es vor.

  • Bereiten Sie Webserverzertifikate durch Konfigurieren einer Zertifikatvorlage auf der ausstellenden Zertifizierungsstelle vor.

  • Gilt nur für Configuration Manager 2007 SP2: Bereiten Sie Clientauthentifizierungszertifikate für die 802.1X-Clientauthentifizierung durch Konfigurieren einer Zertifikatvorlage auf der ausstellenden Zertifizierungsstelle vor.

Erstellen von Windows-Sicherheitsgruppen für die Standortsystemserver

Gehen Sie folgendermaßen vor, um Windows-Sicherheitsgruppen für die Standortsystemserver zu erstellen. Mit diesen Sicherheitsgruppen können Sie sicherstellen, dass nur die erforderlichen Server die zwei Zertifikatvorlagen nutzen können, die für eine AMT-Bereitstellung erforderlich sind.

So erstellen Sie Windows-Sicherheitsgruppen für die Standortsystemserver

  1. Klicken Sie auf dem Domänencontroller auf Start, Programme, Verwaltung, Active Directory-Benutzer und -Computer.

  2. Klicken Sie mit der rechten Maustaste auf die Domäne, klicken Sie auf Neu und dann auf Gruppe.

  3. Geben Sie im Dialogfeld Neues Objekt – Gruppe im Feld Gruppenname den Namen Primäre ConfigMgr-Standortserver ein, und klicken Sie auf OK.

  4. Klicken Sie unter Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die neu erstellte Gruppe, und klicken Sie auf Eigenschaften.

  5. Klicken Sie zum Auswählen des Mitgliedsservers auf der Registerkarte Mitglieder auf Hinzufügen.

  6. Klicken Sie auf OK, und klicken Sie dann erneut auf OK, um das Dialogfeld mit den Gruppeneigenschaften zu schließen.

  7. Wiederholen Sie die Schritte 2 bis 6, und geben Sie diesmal ConfigMgr-Out-of-Band-Dienstpunkte als Gruppennamen ein.

  8. Starten Sie den Mitgliedsserver neu (falls er eingeschaltet ist), damit die neue Gruppenmitgliedschaft übernommen wird.

    Hinweis

    In der Testumgebung wird nur ein einzelner Server hinzugefügt, der dann als primärer Standortserver und Out-of-Band-Dienstpunkt verwendet wird. In einer Produktionsumgebung arbeiten Sie jedoch in der Regel mit mehreren primären Standorten, die die Out-of-Band-Verwaltung unterstützen, und installieren daher Out-of-Band-Dienstpunkt und Standortserver meist auf unterschiedlichen Servern. Daher empfiehlt es sich, Berechtigungen für zwei Gruppen einzurichten und alle primären Standortserver der einen Gruppe und alle Standortsysteme mit Out-of-Band-Dienstpunkt der anderen Gruppe zuzuordnen.

    Wenn Sie für diese Server Sicherheitsgruppen erstellen, können Sie Berechtigungen zuweisen, damit nur diese Server Zertifikate anfordern können.

Anfordern, Installieren und Vorbereiten des AMT-Bereitstellungszertifikats

Dieser Schritt umfasst folgende Vorgehensweisen:

  • Anfordern und Installieren des AMT-Bereitstellungszertifikats über eine der folgenden Prozeduren (je nach Ihren Anforderungen):

    • Anfordern und Installieren des AMT-Bereitstellungszertifikats von einer externen Zertifizierungsstelle

    • Anfordern und Installieren des AMT-Bereitstellungszertifikats von einer internen Zertifizierungsstelle

  • Vorbereiten des AMT-Bereitstellungszertifikats für die Out-of-Band-Verwaltungskomponente

Fordern Sie das Bereitstellungszertifikat nur dann von Ihrer internen Zertifizierungsstelle an, wenn die AMT-basierten Computer mit dem Zertifikatfingerabdruck Ihrer internen Stammzertifizierungsstelle konfiguriert sind. Weitere Informationen zur Auswahl zwischen einer externen und Ihrer internen Zertifizierungsstelle finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung. Informationen zum Speicherort des Fingerabdrucks Ihres internen Stammzertifikats finden Sie unter Suchen des Zertifikatfingerabdrucks des internen Stammzertifikats für die AMT-Bereitstellung.

Anfordern und Installieren des AMT-Bereitstellungszertifikats von einer externen Zertifizierungsstelle

Wichtig

Nutzen Sie die Anweisungen des Unternehmens, von dem das AMT-Bereitstellungszertifikat ausgestellt wurde, wenn diese von der folgenden Vorgehensweise abweichen. Dies ist besonders wichtig, wenn das ausstellende Unternehmen die Objekt-ID für die AMT-Bereitstellung nicht unterstützt und stattdessen das OU-Attribut Intel(R) Client Setup Certificate verwendet. Im Intel vPro Expert Center finden Sie auf den Seiten zur Microsoft vPro-Verwaltbarkeit zudem ausführliche Anweisungen für externe Zertifizierungsstellen: https://go.microsoft.com/fwlink/?LinkId=132001 (möglicherweise in englischer Sprache).

So können Sie das AMT-Bereitstellungszertifikat von einer externen Zertifizierungsstelle anfordern und installieren

  1. Klicken Sie auf dem Domänencontroller, auf dem die Windows Server 2003-Konsole ausgeführt wird, auf Start > Programme > Verwaltung > Zertifizierungsstelle.

  2. Erweitern Sie den Namen der Zertifizierungsstelle, und klicken Sie auf Zertifikatvorlagen.

  3. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten, um die Verwaltungskonsole für Zertifikatvorlagen zu laden.

  4. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag, für den in der Spalte Vorlagenanzeigename der Name Webserver angezeigt wird, und klicken Sie dann auf Doppelte Vorlage.

  5. Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Namen für die Vorlage des AMT-Bereitstellungszertifikats an, zum Beispiel ConfigMgr-AMT-Bereitstellung.

  6. Klicken Sie auf die Registerkarte Anforderungsverarbeitung, und wählen Sie Exportieren von privatem Schlüssel zulassen aus.

  7. Wählen Sie auf der Registerkarte Erweiterungen die Option Anwendungsrichtlinien aus, und klicken sie dann auf Bearbeiten.

  8. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf Hinzufügen.

  9. Klicken Sie im Dialogfeld Anwendungsrichtlinie hinzufügen auf Neu.

  10. Geben Sie im Dialogfeld Neue Anwendungsrichtlinie im Feld Name die Bezeichnung AMT-Bereitstellung ein, und geben Sie anschließend folgende Zahl als Objekt-ID ein: 2.16.840.1.113741.1.2.3.

  11. Klicken Sie auf OK, und klicken Sie anschließend im Dialogfeld Anwendungsrichtlinie hinzufügen auf OK.

  12. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf OK.

  13. Im Dialogfeld Eigenschaften der neuen Vorlage sollte nun folgende Beschreibung unter Anwendungsrichtlinien angezeigt werden: Serverauthentifizierung und AMT-Bereitstellung.

  14. Klicken Sie auf die Registerkarte Sicherheit, und entfernen Sie aus den Sicherheitsgruppen Domänen-Admins und Organisations-Admins die Berechtigung zum Einschreiben.

  15. Klicken Sie auf Hinzufügen, geben Sie in das Textfeld ConfigMgr-Out-of-Band-Dienstpunkte ein, und klicken Sie auf OK.

  16. Wählen Sie für diese Gruppe die folgenden Berechtigungen vom Typ Zulassen aus: Lesen und Einschreiben.

  17. Klicken Sie auf OK, und schließen Sie die Administratorkonsole für Zertifikatvorlagen certtmpl – [Certificate Templates].

  18. Klicken Sie in der Konsole Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu und dann auf Auszustellende Zertifikatvorlage.

  19. Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neu erstellte Vorlage ConfigMgr-AMT-Bereitstellung aus, und klicken Sie auf OK.

    Hinweis

    Wenn Sie die Schritte 18 oder 19 nicht ausführen können, prüfen Sie, ob Sie die Enterprise Edition von Windows Server 2003 verwenden. Mit Windows Server Standard Edition und Zertifikatdiensten können Sie zwar Vorlagen konfigurieren, das Bereitstellen von Zertifikaten mit geänderten Zertifikatvorlagen ist jedoch nur mit Windows Server 2003 Enterprise Edition möglich.

  20. Lassen Sie die Konsole Zertifizierungsstelle geöffnet.

  21. Laden Sie auf dem Mitgliedsserver Internet Explorer, und stellen Sie eine Verbindung mit dem Webregistrierungsdienst mit der Adresse http://*<Server>/*certsrv her, wobei <Server> der Name oder die IP-Adresse der Unternehmenszertifizierungsstelle ist.

  22. Wählen Sie auf der Seite Willkommen die Option Zertifikat anfordern aus.

  23. Wählen Sie auf der Seite Zertifikat anfordern die Option Erweiterte Zertifikatanforderung aus.

  24. Wählen Sie auf der Seite Erweiterte Zertifikatanforderung die Option Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen aus.

  25. Geben Sie auf der Seite Erweiterte Zertifikatanforderung Folgendes an:

    1. Wählen Sie ConfigMgr-AMT-Bereitstellung für die Zertifikatvorlage aus.

      Hinweis

      Wenn diese Zertifikatvorlage nicht angezeigt wird, sollten Sie sicherstellen, dass Sie den Mitgliedsserver neu gestartet haben (falls der Server ausgeführt wurde), nachdem Sie die Sicherheitsgruppe im vorher beschriebenen Verfahren konfiguriert haben.

    2. Geben Sie im Feld Name den vollständig qualifizierten Domänennamen (FQDN) für den Out-of-Band-Dienstpunkt ein.

    3. Geben Sie im Feld E-Mail eine E-Mail-Kontaktadresse für Ihr Unternehmen ein.

    4. Geben Sie im Feld Firma den Namen Ihres Unternehmens ein.

    5. Geben Sie im Feld Abteilung den Namen Ihrer Abteilung ein.

    6. Geben Sie im Feld Stadt die Stadt ein, in der sich Ihr Unternehmen befindet.

    7. Geben Sie im Feld Bundesland das Bundesland für Ihr Unternehmen ein.

    8. Geben Sie im Feld Land/Region den Ländercode und die Region für Ihr Unternehmen ein.

    9. Aktivieren Sie im Abschnitt Schlüsseloptionen die Option Zertifikat in lokalem Zertifikatspeicher aufbewahren.

    10. Klicken Sie im Abschnitt Zusätzliche Optionen auf PKC10, klicken Sie anschließend auf Anforderung in Datei speichern, und geben Sie den vollständigen Pfad und Namen der offline gespeicherten Zertifikatanforderungsdatei ein, zum Beispiel C:\certreq_amt_<Servername>.txt, wobei <Servername> der Hostname des Out-of-Band-Dienstpunkts ist.

    11. Geben Sie den gewünschtenAnzeigenamen ein, zum Beispiel ConfigMgr AMT-Bereitstellungszertifikat für <FQDN>, wobei <FQDN> der vollständig qualifizierte Name des Out-of-Band-Dienstpunkts ist.

  26. Klicken Sie auf Speichern.

  27. Klicken Sie auf Ja, wenn Sie im Dialogfeld Mögliche Skriptingverletzung dazu aufgefordert werden.

  28. Klicken Sie auf Ja, wenn Sie im Dialogfeld Zertifikateinschreibung dazu aufgefordert werden.

  29. Klicken Sie auf OK, um zu bestätigen, dass die Anforderung in einer Datei gespeichert wurde.

  30. Beenden Sie Internet Explorer.

  31. Senden Sie die Datei unter Berücksichtigung aller Anweisungen des Unternehmens an die externe Zertifizierungsstelle.

  32. Das AMT-Bereitstellungszertifikat wird Ihnen in der Regel per E-Mail von der Zertifizierungsstelle zugesandt. Kopieren Sie den Text, fügen Sie ihn in Notepad ein, und speichern Sie die Datei mit der Erweiterung „.p7b“. Stellen Sie sicher, dass Sie vom Mitgliedsserver auf die Datei zugreifen können.

  33. Klicken Sie im Mitgliedsserver auf Start, klicken Sie auf Ausführen, geben Sie MMC im Dialogfeld Ausführen ein, und klicken Sie auf OK.

  34. Klicken Sie in der leeren Konsole auf Datei und anschließend auf Snap-In hinzufügen/entfernen.

  35. Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf Hinzufügen.

  36. Wählen Sie unter Verfügbare Snap-InsZertifikate aus, und klicken Sie auf Hinzufügen.

  37. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto, und klicken Sie auf Weiter.

  38. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist. Klicken Sie anschließend auf Fertig stellen.

  39. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.

  40. Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf OK.

  41. Erweitern Sie in der Konsole Zertifikate (Lokaler Computer).

  42. Erweitern Sie Persönlich, und klicken Sie mit der rechten Maustaste auf Zertifikate.

  43. Klicken Sie auf Alle Tasks und anschließend auf Importieren.

  44. Klicken Sie auf der Seite Willkommen auf Weiter.

  45. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen, und suchen Sie die gespeicherte Datei mit der Erweiterung „.p7b“. Klicken Sie dann auf Weiter.

  46. Wählen Sie Alle Zertifikate in folgendem Speicher speichern, klicken Sie auf Weiter, und klicken Sie anschließend auf Fertig stellen.

  47. Drücken Sie F5, um die Anzeige zu aktualisieren. Das Bereitstellungszertifikat sollte jetzt angezeigt werden.

  48. Lassen Sie das Dialogfeld Zertifikate (Lokaler Computer) geöffnet.

Das AMT-Bereitstellungszertifikat von einer externen Zertifizierungsstelle ist jetzt installiert und kann für die Out-of-Band-Verwaltungskomponente vorbereitet werden.

Anfordern und Installieren des AMT-Bereitstellungszertifikats von einer internen Zertifizierungsstelle

So können Sie das AMT-Bereitstellungszertifikat von einer internen Zertifizierungsstelle anfordern und installieren

  1. Klicken Sie auf dem Domänencontroller, auf dem die Windows Server 2003-Konsole ausgeführt wird, auf Start > Programme > Verwaltung > Zertifizierungsstelle.

  2. Erweitern Sie den Namen der Zertifizierungsstelle, und klicken Sie auf Zertifikatvorlagen.

  3. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten, um die Verwaltungskonsole für Zertifikatvorlagen zu laden.

  4. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag, für den in der Spalte Vorlagenanzeigename der Name Webserver angezeigt wird, und klicken Sie dann auf Doppelte Vorlage.

  5. Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Namen für die Vorlage des AMT-Bereitstellungszertifikats an, zum Beispiel ConfigMgr-AMT-Bereitstellung.

  6. Klicken Sie auf die Registerkarte Anforderungsverarbeitung, und wählen Sie Exportieren von privatem Schlüssel zulassen aus.

  7. Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen aus, und wählen Sie Allgemeiner Name.

  8. Wählen Sie auf der Registerkarte Erweiterungen die Option Anwendungsrichtlinien aus, und klicken sie dann auf Bearbeiten.

  9. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf Hinzufügen.

  10. Klicken Sie im Dialogfeld Anwendungsrichtlinie hinzufügen auf Neu.

  11. Geben Sie im Dialogfeld Neue Anwendungsrichtlinie im Feld Name die Bezeichnung AMT-Bereitstellung ein, und geben Sie anschließend folgende Zahl als Objekt-ID ein: 2.16.840.1.113741.1.2.3.

  12. Klicken Sie auf OK, und klicken Sie anschließend im Dialogfeld Anwendungsrichtlinie hinzufügen auf OK.

  13. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf OK.

  14. Im Dialogfeld Eigenschaften der neuen Vorlage sollte nun folgende Beschreibung unter Anwendungsrichtlinien angezeigt werden: Serverauthentifizierung und AMT-Bereitstellung.

  15. Klicken Sie auf die Registerkarte Sicherheit, und entfernen Sie aus den Sicherheitsgruppen Domänen-Admins und Organisations-Admins die Berechtigung zum Einschreiben.

  16. Klicken Sie auf Hinzufügen, geben Sie in das Textfeld ConfigMgr-Out-of-Band-Dienstpunkte ein, und klicken Sie auf OK.

  17. Wählen Sie für diese Gruppe die folgenden Berechtigungen vom Typ Zulassen aus: Lesen und Einschreiben.

  18. Klicken Sie auf OK, und schließen Sie die Administratorkonsole für Zertifikatvorlagencerttmpl – [Certificate Templates].

  19. Klicken Sie in der Konsole Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu und dann auf Auszustellende Zertifikatvorlage.

  20. Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neu erstellte Vorlage ConfigMgr-AMT-Bereitstellung aus, und klicken Sie auf OK.

    Hinweis

    Wenn Sie die Schritte 19 oder 20 nicht ausführen können, prüfen Sie, ob Sie die Enterprise Edition von Windows Server 2003 verwenden. Mit Windows Server Standard Edition und Zertifikatdiensten können Sie zwar Vorlagen konfigurieren, aber das Bereitstellen von Zertifikaten mit geänderten Zertifikatvorlagen ist nur mit Windows Server 2003 Enterprise Edition möglich.

  21. Lassen Sie die Konsole Zertifizierungsstelle geöffnet.

  22. Klicken Sie im Mitgliedsserver auf Start, klicken Sie auf Ausführen, und geben Sie mmc.exe ein. Klicken Sie in der leeren Konsole auf Datei und anschließend auf Snap-In hinzufügen/entfernen.

  23. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen, Zertifikate, Hinzufügen.

  24. Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie auf Weiter.

  25. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist. Klicken Sie anschließend auf Fertig stellen.

  26. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.

  27. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.

  28. Erweitern Sie in der Konsole, in der jetzt Zertifikate (Lokaler Computer) angezeigt wird, den Knoten Zertifikate (Lokaler Computer), und klicken Sie auf Persönlich.

  29. Klicken Sie mit der rechten Maustaste auf Zertifikate, klicken Sie auf Alle Tasks und dann auf Neues Zertifikat anfordern.

  30. Klicken Sie auf der Seite Willkommen auf Weiter.

  31. Wählen Sie auf der Seite Zertifikattyp in der Liste der angezeigten Zertifikate ConfigMgr-AMT-Bereitstellung aus, und klicken Sie auf Weiter.

    Hinweis

    Wenn diese Zertifikatvorlage nicht angezeigt wird, sollten Sie sicherstellen, dass Sie den Mitgliedsserver neu gestartet haben (falls der Server ausgeführt wurde), nachdem Sie die Sicherheitsgruppe im vorher beschriebenen Verfahren konfiguriert haben.

  32. Geben Sie auf der Seite Angezeigter Name und Beschreibung des Zertifikats optional einen Anzeigenamen und eine Beschreibung zur Identifizierung dieses Zertifikats ein, und klicken Sie auf Weiter.

  33. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  34. Im Dialogfeld Zertifikatanforderungs-Assistent wird angezeigt, dass die Zertifikatanforderung erfolgreich durchgeführt wurde. Klicken Sie auf OK.

  35. Das Bereitstellungszertifikat sollte jetzt angezeigt werden.

  36. Lassen Sie das Dialogfeld Zertifikate (Lokaler Computer) geöffnet.

Das AMT-Bereitstellungszertifikat von Ihrer internen Zertifizierungsstelle ist jetzt installiert und kann für die Out-of-Band-Verwaltungskomponente vorbereitet werden.

Vorbereiten des AMT-Bereitstellungszertifikats für die Out-of-Band-Verwaltungskomponente

So bereiten Sie das AMT-Bereitstellungszertifikat für die Out-of-Band-Verwaltungskomponente vor

  1. Klicken Sie auf dem Mitgliedsserver im Dialogfeld Zertifikate (Lokaler Computer) mit der rechten Maustaste auf das Bereitstellungszertifikat, klicken Sie auf Alle Tasks und anschließend auf Exportieren.

  2. Klicken Sie im Assistenten zum Exportieren von Zertifikaten auf Weiter.

  3. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel exportieren aus, und klicken Sie auf Weiter.

  4. Prüfen Sie auf der Seite Dateiformat exportieren, ob die Option Privater Informationsaustausch – PKCS #12 (.PFX) ausgewählt ist, und wählen Sie dann Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen.

  5. Geben Sie auf der Seite Kennwort ein sicheres Kennwort zum Schutz des exportierten Zertifikats mit seinem privaten Schlüssel an, und klicken Sie auf Weiter.

  6. Klicken Sie auf Weiter, und geben Sie auf der Seite Zu exportierende Datei den Pfad und Namen der Datei an, die exportiert werden soll. Klicken Sie dann auf Weiter.

  7. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen, und klicken Sie im Dialogfeld Zertifikatexport-Assistent auf OK.

  8. Speichern Sie die Datei an einem sicheren Ort, auf den Sie von der Configuration Manager-Konsole aus zugreifen können.

Das AMT-Bereitstellungszertifikat kann jetzt für die Out-of-Band-Verwaltungskomponente konfiguriert werden. Weitere Informationen finden Sie unter Konfigurieren der AMT-Bereitstellung.

Vorbereiten der Webserverzertifikate für AMT-basierte Computer

Gehen Sie folgendermaßen vor, um Webserverzertifikate für AMT-basierte Computer vorzubereiten.

So können Sie die Webserver-Zertifikatvorlage bei der Zertifizierungsstelle generieren und ausstellen

  1. Klicken Sie auf dem Domänencontroller, auf dem die Verwaltungskonsole der Zertifizierungsstelle ausgeführt wird, mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie auf Verwalten, um die Verwaltungskonsole für Zertifikatvorlagen zu laden.

  2. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag, für den in der Spalte Vorlagenanzeigename der Name Webserver angezeigt wird, und klicken Sie auf Doppelte Vorlage.

  3. Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Vorlagennamen für die zu generierenden Webzertifikate ein, die für die Out-of-Band-Verwaltung auf AMT-Computern verwendet werden sollen, z. B. ConfigMgr-AMT-Webserverzertifikat.

  4. Klicken Sie auf die Registerkarte Sicherheit, und entfernen Sie aus den Sicherheitsgruppen Domänen-Admins und Organisations-Admins die Berechtigung zum Einschreiben.

  5. Klicken Sie auf Hinzufügen, geben Sie in das Textfeld Primäre ConfigMgr-Standortserver ein, und klicken Sie auf OK.

  6. Wählen Sie für diese Gruppe die folgenden Berechtigungen vom Typ Zulassen aus: Lesen, Einschreiben und Automatisch registrieren.

  7. Klicken Sie auf OK, und schließen Sie die Verwaltungskonsole für Zertifikatvorlagencerttmpl – [Certificate Templates].

  8. Klicken Sie in der Verwaltungskonsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu und dann auf Auszustellende Zertifikatvorlage.

  9. Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neu erstellte Vorlage mit der Bezeichnung ConfigMgr-AMT-Webserverzertifikat aus, und klicken Sie auf OK.

  10. Schließen Sie die Konsole der Zertifizierungsstelle.

Die Webserver-Zertifikatvorlage kann jetzt zur Bereitstellung von AMT-Computern mit Webserverzertifikaten verwendet werden.

Vorbereiten der Clientauthentifizierungszertifikate für AMT-basierte Computer mit 802.1X-Authentifizierung

Gilt nur für Configuration Manager 2007 SP2: Wenn Sie vorhaben, Clientzertifikate in 802.1X-authentifizierten Kabel- und Drahtlosnetzwerken zu verwenden, gehen Sie wie folgt vor, um die Clientauthentifizierungszertifikate für AMT-basierte Computer vorzubereiten.

So können Sie die Zertifikatvorlage für die Clientauthentifizierung bei der Zertifizierungsstelle generieren und ausstellen

  1. Klicken Sie auf dem Domänencontroller, auf dem die Verwaltungskonsole der Zertifizierungsstelle ausgeführt wird, mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie auf Verwalten, um die Verwaltungskonsole für Zertifikatvorlagen zu laden.

  2. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag, für den in der Spalte Vorlagenanzeigename der Name Arbeitsstationsauthentifizierung angezeigt wird, und klicken Sie auf Doppelte Vorlage.

  3. Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Vorlagennamen für die zu generierenden Clientzertifikate ein, die für die Out-of-Band-Verwaltung auf AMT-Computern verwendet werden sollen, z. B. ConfigMgr-AMT-Clientauthentifizierungszertifikat_802.1X.

  4. Klicken Sie auf der Registerkarte Antragstellername auf Informationen werden in der Anforderung angegeben.

  5. Klicken Sie auf die Registerkarte Sicherheit, und entfernen Sie aus den Sicherheitsgruppen Domänen-Admins und Organisations-Admins die Berechtigung zum Einschreiben.

  6. Klicken Sie auf Hinzufügen, geben Sie in das Textfeld Primäre ConfigMgr-Standortserver ein, und klicken Sie auf OK.

  7. Wählen Sie für diese Gruppe die folgenden Berechtigungen vom Typ Zulassen aus: Lesen und Einschreiben.

  8. Klicken Sie auf OK, und schließen Sie die Verwaltungskonsole für Zertifikatvorlagencerttmpl – [Certificate Templates].

  9. Klicken Sie in der Verwaltungskonsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu und dann auf Auszustellende Zertifikatvorlage.

  10. Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neu erstellte Vorlage mit der Bezeichnung ConfigMgr-AMT-Clientauthentifizierungszertifikat_802.1X aus, und klicken Sie auf OK.

  11. Schließen Sie die Konsole der Zertifizierungsstelle.

Die Zertifikatvorlage für die Clientauthentifizierung kann jetzt zum Ausstellen von Zertifikaten auf AMT-basierten Computern für die 802.1X-Clientauthentifizierung verwendet werden.

Siehe auch

Tasks

Bereitstellen von Computern für AMT

Konzepte

Informationen zur AMT-Bereitstellung für die Out-of-Band-Verwaltung

Andere Ressourcen

Konfigurieren der Out-of-Band-Verwaltung
Out-of-Band-Verwaltung in Configuration Manager 2007 SP1 und höher

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com