Zertifikatanforderungen für die Out-of-Band-Verwaltung

Artikel
12/19/2014

Letzte Aktualisierung: Juli 2010

Betrifft: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Für die Zertifikatinformationen in diesem Thema zur Out-of-Band-Verwaltung mit Configuration Manager 2007 SP1 und höher wird ein grundlegendes Verständnis von PKI-Zertifikaten vorausgesetzt. Weitere Informationen zu Microsoft PKI-Lösungen finden Sie in den folgenden Referenzen:

Active Directory-Zertifikatdienste in Windows Server 2008: https://go.microsoft.com/fwlink/?LinkId=115018 (möglicherweise in englischer Sprache).
Zertifikatdienste in Windows Server 2003: https://go.microsoft.com/fwlink/?LinkId=78389 (möglicherweise in englischer Sprache).

Hinweis

Die Angaben in diesem Thema gelten nur für Configuration Manager 2007 SP1 und spätere Versionen.

Für diese PKI-Lösung müssen Microsoft-Zertifikatdienste Zertifikatvorlagen verwenden, die von einer Unternehmenszertifizierungsstelle ausgestellt wurden. Vorlagenbasierte Zertifikate können nur von einer Unternehmenszertifizierungsstelle ausgestellt werden, die auf der Enterprise Edition oder Datacenter Edition von Windows Server 2003 oder Windows Server 2008 ausgeführt wird. Verwenden Sie jedoch nicht Version 3-Vorlagen (Windows Server 2008, Enterprise Edition). Mit diesen Zertifikatvorlagen werden Zertifikate erstellt, die nicht mit Configuration Manager kompatibel sind. Weitere Informationen zur Zertifikatbereitstellung und -verwendung finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung.

Ein schrittweises Bereitstellungsbeispiel für diese Zertifikate finden Sie unter:

Wichtig

Die oben erläuterten Zertifikatschritte, müssen ausgeführt werden, damit Sie die Out-of-Band-Verwaltung in einem Configuration Manager 2007 SP1-Standort verwenden können.

Für die Out-of-Band-Verwaltung erforderliche Zertifikate

Die für die Out-of-Band-Verwaltung in Configuration Manager 2007 SP1 oder höher erforderlichen Public Key-Infrastruktur (PKI)-Zertifikate sind in der folgenden Tabelle aufgeführt.

Configuration Manager-Komponente	Zertifikatverwendung	Zu verwendende Microsoft-Zertifikatsvorlage	Spezielle Informationen im Zertifikat	Verwendung des Zertifikats im Configuration Manager
Out-of-Band-Dienstpunkt	AMT-Bereitstellung	Webserver (geändert) Für den Server mit der Standortsystemrolle des Out-of-Band-Dienstpunkts sind für diese Zertifikatvorlage die Windows-Sicherheitsberechtigungen Lesen und Einschreiben erforderlich.	Der Wert Erweiterte Schlüsselverwendung muss Serverauthentifizierung (1.3.6.1.5.5.7.3.1) und die folgenden Objektkennungen enthalten: 2.16.840.1.113741.1.2.3. Das Feld „Antragstellername“ muss den vollständig qualifizierten Domänennamen (FQDN) des Servers enthalten, der den Out-of-Band-Dienstpunkt hostet. Hinweis Wenn Sie ein AMT-Bereitstellungszertifikat von einer externen Zertifizierungsstelle anstatt von einer eigenen internen Zertifizierungsstelle anfordern und die Objekt-ID 2.16.840.1.113741.1.2.3 für die AMT-Bereitstellung von dieser Zertifizierungsstelle nicht unterstützt wird, können Sie alternativ folgende Textzeichenfolge als OU-Attribut im Zertifikatantragstellernamen angeben: Intel(R) Client Setup Certificate. Zusätzlich zum FQDN des Servers, der den Out-of-Band-Dienstpunkt hostet, muss – unter genauer Beachtung der Groß-/Kleinschreibung und ohne dass ein Punkt am Ende gesetzt wird – exakt diese Textzeichenfolge (in Englisch) verwendet werden. SHA-1 ist der einzige unterstützte Hash-Algorithmus. Unterstützte Schlüssellängen: 1024, 1536 und 2048 Bits.	Dieses Zertifikat befindet sich im privaten Windows-Speicher innerhalb des Computerzertifikatspeichers des Out-of-Band-Dienstpunkt-Standortsystemservers. Dieses AMT-Bereitstellungszertifikat dient zum Vorbereiten von Computern für die Out-of-Band-Verwaltung. Es wird in der Out-of-Band-Verwaltungskomponente konfiguriert und anschließend automatisch auf dem Out-of-Band-Dienstpunkt-Standortsystemserver installiert. Sie müssen dieses Zertifikat von einer Zertifizierungsstelle anfordern, die AMT-Bereitstellungszertifikate bereitstellt, und die BIOS-Erweiterung für die AMT-basierten Computer müssen mit dem Zertifikatfingerabdruck des Stammzertifikats (auch als Zertifikathash bezeichnet) für dieses Bereitstellungszertifikat konfiguriert werden. VeriSign ist ein typisches Beispiel für eine externe Zertifizierungsstelle, die AMT-Bereitstellungszertifikate bereitstellt. Sie können jedoch auch eine interne Zertifizierungsstelle verwenden. Der Server, auf dem der Out-of-Band-Dienstpunkt gehostet wird, muss erfolgreich mit der Stammzertifizierungsstelle für das Zertifikat verkettet werden können. (Das Stammzertifizierungsstellen-Zertifikat und Zwischenzertifizierungsstellen-Zertifikat für VeriSign sind standardmäßig unter Windows installiert.)
AMT-basierte Computer	Serverauthentifizierung	Webserver Für den Server mit der Standortsystemrolle des primären Standortservers sind für diese Zertifikatvorlage die Windows-Sicherheitsberechtigungen Lesen und Einschreiben erforderlich.	Der Wert Erweiterte Schlüsselverwendung muss Serverauthentifizierung (1.3.6.1.5.5.7.3.1) enthalten. Das Feld „Antragstellername“ muss den FQDN für den AMT-basierten Computer enthalten. Da dieser Wert automatisch vom Standortserver bereitgestellt wird, muss die Zertifikatvorlage mit dem Antragstellerwert Informationen wurden in der Anforderung angegeben konfiguriert werden. SHA-1 ist der einzige unterstützte Hash-Algorithmus. Maximal unterstützte Schlüssellänge: 2048 Bits.	Dieses Zertifikat befindet sich im permanenten Arbeitsspeicher des Verwaltungscontrollers des Computers und ist von Windows aus nicht sichtbar. Der primäre Standortserver fordert dieses Zertifikat für alle AMT-basierten Computer an, die er bereitstellt. Der primäre Standortserver sperrt auch das ausgestellte Zertifikat, wenn die AMT-Bereitstellungsinformationen für AMT-basierte Computer entfernt werden. Für diese Lösung muss eine Microsoft-Unternehmenszertifizierungsstelle vorliegen, die Zertifikatanforderungen vom primären Standortserver automatisch genehmigt. Außerdem muss die ausstellende Zertifizierungsstelle für den primären Standortserver mit der Berechtigung Zertifikate ausstellen und verwalten konfiguriert sein. Das Computerkonto des Standortservers muss über DCOM-Berechtigungen verfügen, um Zertifikate von der ausstellenden Zertifizierungsstelle anfordern zu können. Stellen Sie sicher, dass der Standortservercomputer ein Mitglied der Sicherheitsgruppe Zertifikatdienst-DCOM-Zugriff (Windows Server 2008) oder CERTSVC_DCOM_ACCESS (Windows Server 2003 SP1 und höher) in der Domäne der ausstellenden Zertifizierungsstelle ist. Wichtig Bei der Installation dieses Zertifikats auf einem AMT-basierten Computer wird auch die Stammzertifizierungsstelle installiert. AMT-basierte Computer können keine Zertifizierungsstellenzertifikate unterstützen, deren Schlüssellänge 2048 Bits überschreitet. Wenn das Zertifikat auf AMT-basierten Computern installiert ist, werden dadurch die AMT-basierten Computer für den Out-of-Band-Dienstpunkt-Standortsystemserver und für Computer authentifiziert, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird, und alle Datenübertragungen zwischen den Computern werden durch Transport Layer Security (TLS) geschützt.

Out-of-Band-Dienstpunkt

AMT-Bereitstellung

Webserver (geändert)

Für den Server mit der Standortsystemrolle des Out-of-Band-Dienstpunkts sind für diese Zertifikatvorlage die Windows-Sicherheitsberechtigungen Lesen und Einschreiben erforderlich.

Der Wert Erweiterte Schlüsselverwendung muss Serverauthentifizierung (1.3.6.1.5.5.7.3.1) und die folgenden Objektkennungen enthalten: 2.16.840.1.113741.1.2.3.

Das Feld „Antragstellername“ muss den vollständig qualifizierten Domänennamen (FQDN) des Servers enthalten, der den Out-of-Band-Dienstpunkt hostet.

Hinweis

Wenn Sie ein AMT-Bereitstellungszertifikat von einer externen Zertifizierungsstelle anstatt von einer eigenen internen Zertifizierungsstelle anfordern und die Objekt-ID 2.16.840.1.113741.1.2.3 für die AMT-Bereitstellung von dieser Zertifizierungsstelle nicht unterstützt wird, können Sie alternativ folgende Textzeichenfolge als OU-Attribut im Zertifikatantragstellernamen angeben: Intel(R) Client Setup Certificate. Zusätzlich zum FQDN des Servers, der den Out-of-Band-Dienstpunkt hostet, muss – unter genauer Beachtung der Groß-/Kleinschreibung und ohne dass ein Punkt am Ende gesetzt wird – exakt diese Textzeichenfolge (in Englisch) verwendet werden.

SHA-1 ist der einzige unterstützte Hash-Algorithmus.

Unterstützte Schlüssellängen: 1024, 1536 und 2048 Bits.

Dieses Zertifikat befindet sich im privaten Windows-Speicher innerhalb des Computerzertifikatspeichers des Out-of-Band-Dienstpunkt-Standortsystemservers.

Dieses AMT-Bereitstellungszertifikat dient zum Vorbereiten von Computern für die Out-of-Band-Verwaltung. Es wird in der Out-of-Band-Verwaltungskomponente konfiguriert und anschließend automatisch auf dem Out-of-Band-Dienstpunkt-Standortsystemserver installiert.

Sie müssen dieses Zertifikat von einer Zertifizierungsstelle anfordern, die AMT-Bereitstellungszertifikate bereitstellt, und die BIOS-Erweiterung für die AMT-basierten Computer müssen mit dem Zertifikatfingerabdruck des Stammzertifikats (auch als Zertifikathash bezeichnet) für dieses Bereitstellungszertifikat konfiguriert werden.

VeriSign ist ein typisches Beispiel für eine externe Zertifizierungsstelle, die AMT-Bereitstellungszertifikate bereitstellt. Sie können jedoch auch eine interne Zertifizierungsstelle verwenden.

Der Server, auf dem der Out-of-Band-Dienstpunkt gehostet wird, muss erfolgreich mit der Stammzertifizierungsstelle für das Zertifikat verkettet werden können. (Das Stammzertifizierungsstellen-Zertifikat und Zwischenzertifizierungsstellen-Zertifikat für VeriSign sind standardmäßig unter Windows installiert.)

AMT-basierte Computer

Serverauthentifizierung

Webserver

Für den Server mit der Standortsystemrolle des primären Standortservers sind für diese Zertifikatvorlage die Windows-Sicherheitsberechtigungen Lesen und Einschreiben erforderlich.

Der Wert Erweiterte Schlüsselverwendung muss Serverauthentifizierung (1.3.6.1.5.5.7.3.1) enthalten.

Das Feld „Antragstellername“ muss den FQDN für den AMT-basierten Computer enthalten. Da dieser Wert automatisch vom Standortserver bereitgestellt wird, muss die Zertifikatvorlage mit dem Antragstellerwert Informationen wurden in der Anforderung angegeben konfiguriert werden.

SHA-1 ist der einzige unterstützte Hash-Algorithmus.

Maximal unterstützte Schlüssellänge: 2048 Bits.

Dieses Zertifikat befindet sich im permanenten Arbeitsspeicher des Verwaltungscontrollers des Computers und ist von Windows aus nicht sichtbar.

Der primäre Standortserver fordert dieses Zertifikat für alle AMT-basierten Computer an, die er bereitstellt. Der primäre Standortserver sperrt auch das ausgestellte Zertifikat, wenn die AMT-Bereitstellungsinformationen für AMT-basierte Computer entfernt werden.

Für diese Lösung muss eine Microsoft-Unternehmenszertifizierungsstelle vorliegen, die Zertifikatanforderungen vom primären Standortserver automatisch genehmigt. Außerdem muss die ausstellende Zertifizierungsstelle für den primären Standortserver mit der Berechtigung Zertifikate ausstellen und verwalten konfiguriert sein. Das Computerkonto des Standortservers muss über DCOM-Berechtigungen verfügen, um Zertifikate von der ausstellenden Zertifizierungsstelle anfordern zu können. Stellen Sie sicher, dass der Standortservercomputer ein Mitglied der Sicherheitsgruppe Zertifikatdienst-DCOM-Zugriff (Windows Server 2008) oder CERTSVC_DCOM_ACCESS (Windows Server 2003 SP1 und höher) in der Domäne der ausstellenden Zertifizierungsstelle ist.

Wichtig

Bei der Installation dieses Zertifikats auf einem AMT-basierten Computer wird auch die Stammzertifizierungsstelle installiert. AMT-basierte Computer können keine Zertifizierungsstellenzertifikate unterstützen, deren Schlüssellänge 2048 Bits überschreitet.

Wenn das Zertifikat auf AMT-basierten Computern installiert ist, werden dadurch die AMT-basierten Computer für den Out-of-Band-Dienstpunkt-Standortsystemserver und für Computer authentifiziert, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird, und alle Datenübertragungen zwischen den Computern werden durch Transport Layer Security (TLS) geschützt.

Zusätzliches Zertifikat nur für Configuration Manager SP2

Wenn Sie ein Clientzertifikat für 802.1X-authentifizierte Kabel- oder Drahtlosnetzwerke verwenden möchten, um die Out-of-Band-Verwaltung in diesen Netzwerken zu unterstützen, benötigen Sie das in der folgenden Tabelle beschriebene PKI-Zertifikat.

Configuration Manager-Komponente	Zertifikatverwendung	Zu verwendende Microsoft-Zertifikatsvorlage	Spezielle Informationen im Zertifikat	Verwendung des Zertifikats im Configuration Manager
AMT-basierte Computer	Clientauthentifizierung	Arbeitsstationsauthentifizierung Für den Server mit der Standortsystemrolle des primären Standortservers sind für diese Zertifikatvorlage die Windows-Sicherheitsberechtigungen Lesen und Einschreiben erforderlich.	Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten. Das Feld „Antragstellername“ muss den FQDN für den AMT-basierten Computer enthalten. Da dieser Wert automatisch vom Standortserver bereitgestellt wird, muss die Zertifikatvorlage mit dem Antragstellerwert Informationen wurden in der Anforderung angegeben konfiguriert werden. Maximal unterstützte Schlüssellänge: 2048 Bits.	Dieses Zertifikat befindet sich im permanenten Arbeitsspeicher des Verwaltungscontrollers des Computers und ist von Windows aus nicht sichtbar. Der primäre Standortserver fordert dieses Zertifikat für alle AMT-basierten Computer an, die er bereitstellt und später aktualisiert. Der primäre Standortserver sperrt dieses Zertifikat nicht, wenn die AMT-Bereitstellungsinformationen für AMT-basierte Computer entfernt werden. Für diese Lösung muss eine Microsoft-Unternehmenszertifizierungsstelle vorliegen, die Zertifikatanforderungen vom primären Standortserver automatisch genehmigt. Außerdem muss die ausstellende Zertifizierungsstelle für den primären Standortserver mit der Berechtigung Zertifikate ausstellen und verwalten konfiguriert sein. Das Computerkonto des Standortservers muss über DCOM-Berechtigungen verfügen, um Zertifikate von der ausstellenden Zertifizierungsstelle anfordern zu können. Stellen Sie sicher, dass der Standortservercomputer ein Mitglied der Sicherheitsgruppe Zertifikatdienst-DCOM-Zugriff (Windows Server 2008) oder CERTSVC_DCOM_ACCESS (Windows Server 2003 SP1 und höher) in der Domäne der ausstellenden Zertifizierungsstelle ist. Nach der Installation des Zertifikats auf AMT-basierten Computern authentifiziert dieses Zertifikat die AMT-basierten Computer gegenüber dem RADIUS-Server, damit sie für den Netzwerkzugriff autorisiert werden können.

AMT-basierte Computer

Clientauthentifizierung

Arbeitsstationsauthentifizierung

Für den Server mit der Standortsystemrolle des primären Standortservers sind für diese Zertifikatvorlage die Windows-Sicherheitsberechtigungen Lesen und Einschreiben erforderlich.

Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten.

Maximal unterstützte Schlüssellänge: 2048 Bits.

Dieses Zertifikat befindet sich im permanenten Arbeitsspeicher des Verwaltungscontrollers des Computers und ist von Windows aus nicht sichtbar.

Der primäre Standortserver fordert dieses Zertifikat für alle AMT-basierten Computer an, die er bereitstellt und später aktualisiert. Der primäre Standortserver sperrt dieses Zertifikat nicht, wenn die AMT-Bereitstellungsinformationen für AMT-basierte Computer entfernt werden.

Nach der Installation des Zertifikats auf AMT-basierten Computern authentifiziert dieses Zertifikat die AMT-basierten Computer gegenüber dem RADIUS-Server, damit sie für den Netzwerkzugriff autorisiert werden können.

Siehe auch

Tasks

Konfigurieren der AMT-Bereitstellung
Bereitstellen von Computern für AMT

Konzepte

Informationen zur AMT-Bereitstellung für die Out-of-Band-Verwaltung
Informationen zu Zertifikaten für die Out-of-Band-Verwaltung
Übersicht über die Out-of-Band-Verwaltung
Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com