Informationen zu Zertifikaten für die Out-of-Band-Verwaltung

  • Artikel

Letzte Aktualisierung: April 2011

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

In diesem Thema erhalten Sie Details zur Bereitstellung und Verwendung der PKI-Zertifikate (Public Key-Infrastruktur) in Configuration Manager 2007 SP1 und höher, die in Verbindung mit der Out-of-Band-Verwaltung verwendet werden. Es werden die folgenden Bereiche erörtert:

  • Anforderungen der Zertifizierungsstelle für die Out-of-Band-Verwaltung

  • AMT-Bereitstellungszertifikat

  • Webserverzertifikate für AMT-basierte Computer

  • Optionales Clientzertifikat für AMT-basierte Computer nur in Configuration Manager 2007 SP2

  • CRL-Prüfung und Zertifikatsperrung für Out-of-Band-Verwaltungszertifikate

Hinweis

Die Angaben in diesem Thema gelten nur für Configuration Manager 2007 SP1 und spätere Versionen.

Eine Liste der Zertifikatanforderungen finden Sie unter Zertifikatanforderungen für die Out-of-Band-Verwaltung.

Ein schrittweises Bereitstellungsbeispiel finden Sie unter:

Anforderungen der Zertifizierungsstelle für die Out-of-Band-Verwaltung

Die Zertifikatanforderungen für die AMT-Bereitstellung umfassen die Verwendung automatischer Genehmigungszertifikate, sodass der Standortserver für jeden AMT-basierten Computer ein Zertifikat zur Bereitstellung anfordern und sofort abrufen kann. Für die automatische Genehmigung ist eine Sicherheitssteuerung erforderlich, um zu gewährleisten, dass Zertifikate nur von vertrauenswürdigen Computern angefordert werden. Die Verwendung von Zertifikatvorlagen in Verbindung mit einer Microsoft-Unternehmenszertifizierungsstelle (Certification Authority, CA) bietet eine solche Sicherheitssteuerung, da die Zertifikatvorlagen über eine Zugriffssteuerung verfügen. Sie können zwar alle Zertifikate automatisch mit einer eigenständigen Microsoft-Zertifizierungsstelle genehmigen, aber diese Lösung bietet keine Sicherheitssteuerung und wird für die Out-of-Band-Verwaltung in Configuration Manager 2007 SP1 und höher nicht unterstützt.

Eine Microsoft-Unternehmenszertifizierungsstelle unterstützt die folgenden Versionen von Zertifikatvorlagen:

  • Version 1 wurde mit Windows Server 2000 eingeführt und wird für alle Servereditionen von Windows Server 2003 und Windows Server 2008 unterstützt.

  • Version 2 wurde mit Windows Server 2003 eingeführt und wird für die Enterprise und Datacenter Editionen von Windows Server 2003 und Windows Server 2008 unterstützt. Version 2-Vorlagen werden für die Standard Editionen von Windows Server 2003 und Windows Server 2008 nicht unterstützt.

  • Version 3 wurde mit Windows Server 2008 eingeführt und wird für die Enterprise und Datacenter Edition von Windows Server 2008 unterstützt. Mit diesen Zertifikatvorlagen werden jedoch Zertifikate erstellt, die nicht mit Configuration Manager kompatibel sind und weder für die Out-of-Band-Verwaltung noch den einheitlichen Modus verwendet werden dürfen.

Sie können die verschiedenen Zertifikatvorlagen im MMC-Snap-In für Zertifikatvorlagen in der Spalte Unterstützte Zertifizierungsstellen (Min.) einsehen: Version 1-Vorlagen sind als Windows 2000, Version 2-Vorlagen als Windows Server 2003, Enterprise Edition und Version 3-Vorlagen als Windows Server 2008 aufgeführt.

Version 1-Zertifikatvorlagen ermöglichen Ihnen das Konfigurieren von Sicherheitsberechtigungen, über die gesteuert werden kann, wer die Vorlagen lesen, registrieren und verwalten kann. Wenn Sie jedoch andere Eigenschaften der Zertifikatvorlage ändern möchten, z. B. den Namen, den beabsichtigten Zweck oder die Gültigkeitsdauer, müssen Sie Zertifikate der Versionen 2 oder 3 verwenden.

Es wird empfohlen, die Zertifikatvorlagen für die Out-of-Band-Verwaltung anzupassen. Dies ist möglicherweise für die Bereitstellung des Bereitstellungszertifikats erforderlich, wie in den folgenden Abschnitten beschrieben. Zu den bewährten Sicherheitsmethoden gehört die Erstellung aller Zertifikate für die Out-of-Band-Verwaltung mithilfe einer dedizierten Zertifikatvorlage. Für das Anpassen eines Zertifikats muss die Enterprise Edition des Windows Server-Betriebssystems auf der Zertifizierungsstelle ausgeführt werden.

Zertifikatvorlagenversionen und Bereitstellungszertifikate

Für Bereitstellungszertifikate, die an Standorten zur Out-of-Band-Verwaltung von AMT-basierten Computern bereitgestellt werden, ist häufig zusätzlich zur Serverauthentifizierung (OID 1.3.6.1.5.5.7.3.1) eine bestimmte Objektkennung (Object Identifier, OID) erforderlich, welche in den Standardzertifikatvorlagen nicht vorkommt. Eine vorhandene Zertifikatvorlage muss also so geändert werden, dass sie eine benutzerdefinierte Objektkennung enthält. Verwenden Sie hierzu eine Version 2-Zertifikatvorlage, da Configuration Manager keine Zertifikate unterstützt, die mit einer Version 3-Vorlage erstellt wurden. Version 2-Vorlagen werden von den Standardversionen von Windows Server 2003 oder Windows Server 2008 nicht unterstützt.

Wenn Sie aber für das Bereitstellungszertifikat eine externe Zertifizierungsstelle verwenden und das Unternehmen seine eigene Zertifikatanforderungsmethode bereitstellt (beispielsweise durch Verbindung mit der internen Registrierungswebsite), ist es nicht erforderlich, für das Bereitstellungszertifikat eine Zertifikatvorlage zu verwenden.

Wenn Sie eine externe Zertifizierungsstelle verwenden, bei der Sie die Anforderung unter Verwendung einer Zertifikatanforderungsdatei einreichen müssen, oder wenn Sie eine interne Zertifizierungsstelle für die Bereitstellung des Bereitstellungszertifikats verwenden, können für Zertifikate mit benutzerdefinierter Objektkennung keine Version 1-Zertifikatvorlagen eingesetzt werden. In diesen Fällen müssen Sie eine Version 2-Vorlage verwenden und sie so ändern, dass sie die benutzerdefinierte Objektkennung enthält. Ein Bereitstellungsbeispiel für das Einreichen einer Zertifikatanforderung bei einer externen Zertifizierungsstelle und das Verwenden einer internen Zertifizierungsstelle finden Sie unter Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle.

Zertifikatvorlagenversionen und Zertifikate für AMT-basierte Computer

Für jeden AMT-basierten Computer ist ein Zertifikat erforderlich, das im Speicher des Verwaltungscontrollers installiert ist. Dieses Zertifikat erfordert lediglich eine Serverauthentifizierung (OID 1.3.6.1.5.5.7.3.1). Diese Anforderung entspricht der standardmäßigen Version 1-Vorlage namens Web Server. Sie könnten daher das Webserverzertifikat verwenden und nur die Sicherheitsberechtigungen ändern, sodass der Standortserver das Zertifikat lesen und registrieren kann.

Wenn Sie jedoch das Webserverzertifikat duplizieren, erhöhen sich die Steuerungsmöglichkeiten über das verwendete Zertifikat, da Sie den Namen und die Beschreibung so ändern können, dass eine Out-of-Band-Verwendung ersichtlich wird. Sie können auch die Zertifikateigenschaften wie Gültigkeitsdauer und Schlüsselgröße ändern. Aufgrund der verbesserten Steuerung werden Version 2-Vorlagen für die Out-of-Band-Verwaltung empfohlen. Für diese Zertifikate ist die Enterprise Edition des Windows Server-Betriebssystems erforderlich.

Wenn Sie in Configuration Manager 2007 SP2 ein Clientzertifikat für 802.1X-authentifizierte Kabel- und Drahtlosnetzwerke benötigen, ist ebenfalls die Enterprise Edition des Windows Server-Betriebssystems erforderlich. Weitere Informationen zu diesem Zertifikat finden Sie unter Optionales Clientzertifikat für AMT-basierte Computer nur in Configuration Manager 2007 SP2.

AMT-Bereitstellungszertifikat

Die folgenden Abschnitte enthalten Informationen darüber, ob eine interne Zertifizierungsstelle verwendet werden kann oder ob Sie das Bereitstellungszertifikat sowie Informationen zum Zertifikatantragstellernamen von einer externen Zertifizierungsstelle anfordern müssen.

Auswahl zwischen einer externen und einer internen Zertifizierungsstelle

Configuration Manager kann keine Out-of-Band-Verwaltung für AMT-basierte Computer vornehmen, wenn diese nicht bereitgestellt sind. Standardmäßig werden AMT-basierte Computer vom Computerhersteller für die Verwendung externer Zertifizierungsstellen (Certification Autorities, CAs) wie VeriSign, Go Daddy, Comodo und Starfield konfiguriert. Wenn Sie ein Bereitstellungszertifikat von einer externen Zertifizierungsstelle erwerben und Configuration Manager für die Verwendung dieses Bereitstellungszertifikats konfigurieren, vertrauen AMT-basierte Computer der Zertifizierungsstelle für das Bereitstellungszertifikat, und die Bereitstellung kann erfolgreich durchgeführt werden.

Wenn Sie eine interne Zertifizierungsstelle für das Bereitstellungszertifikat verwenden möchten, muss eine der folgenden Bedingungen erfüllt sein:

  • Ihr Computerhersteller hat Ihnen ein benutzerdefiniertes Firmwareabbild bereitgestellt, in dem der Zertifikatfingerabdruck Ihres internen Stammzertifikats enthalten ist. Dies wird aus Sicherheitsgründen zum Schutz vor nicht autorisierten Bereitstellungsservern empfohlen. Weitere Informationen zum Verwenden eines benutzerdefinierten Firmwareabbilds finden Sie unter Entscheiden über die Notwendigkeit eines benutzerdefinierten Firmware-Abbilds vom Computerhersteller.

  • Sie fügen den Zertifikatfingerabdruck des internen Stammzertifikats jedem Computer manuell hinzu, der in Configuration Manager 2007 SP1 oder höher für die Out-of-Band-Verwaltung bereitgestellt wird. Lesen Sie die Anweisungen Ihres Computerherstellers zur Konfiguration des AMT-Zertifikathash mit dem Fingerabdruckswert Ihres Zertifikats.

Weitere Informationen zum Auffinden des Zertifikatfingerabdrucks des internen Stammzertifikats finden Sie unter Suchen des Zertifikatfingerabdrucks des internen Stammzertifikats für die AMT-Bereitstellung.

Anforderungen für den Zertifikatantragstellernamen

Während des AMT-Bereitstellungsvorgangs werden in Configuration Manager Hostnamen und DNS-Suffix in den AMT-BIOS-Erweiterungen mit dem FQDN des AMT-basierten Computers aus der Configuration Manager-Datenbank konfiguriert. Das DNS-Suffix wird dann anhand des Antragstellernamens auf dem Bereitstellungszertifikat überprüft. Der Antragstellername auf dem Bereitstellungszertifikat enthält den FQDN des Standortsystemservers, der mit der Out-of-Band-Dienstpunktrolle konfiguriert ist.

Wenn der FQDN des AMT-basierten Computers denselben Namespace aufweist wie der im AMT-Bereitstellungszertifikat angegebene FQDN, verläuft die AMT-Bereitstellung erfolgreich. Wenn der FQDN des AMT-basierten Computers nicht denselben Namespace aufweist wie der im AMT-Bereitstellungszertifikat angegebene FQDN, tritt bei der AMT-Bereitstellung ein Fehler auf.

Im Folgenden finden Sie Beispiele für ein Szenario, bei dem der AMT-basierte Computer denselben Namespace aufweist wie der Out-of-Band-Dienstpunkt:

  • Der FQDN des AMT-basierten Computers lautet computer1.contoso.com, der FQDN des Out-of-Band-Dienstpunkts server1.contoso.com.

  • Der FQDN des AMT-basierten Computers lautet computer1.sales.contoso.com, der FQDN des Out-of-Band-Dienstpunkts server1.contoso.com.

  • Der FQDN des AMT-basierten Computers lautet computer1.sales.contoso.com, der FQDN des Out-of-Band-Dienstpunkts server1.marketing.contoso.com.

In den folgenden Beispielen weisen der AMT-basierte Computer und der Out-of-Band Dienstpunkt den contoso.com-Namespace auf.

Im Folgenden finden Sie Beispiele für ein Szenario, bei dem der AMT-basierte Computer nicht denselben Namespace aufweist wie der Out-of-Band-Dienstpunkt:

  • Der FQDN des AMT-basierten Computers lautet computer1.contoso.com, der FQDN des Out-of-Band-Dienstpunkts server1.northwindtraders.com.

  • Der FQDN des AMT-basierten Computers lautet computer1.northwindtraders.com, der FQDN des Out-of-Band-Dienstpunkts server1.contoso.com.

In den vorherigen Beispielen weisen der AMT-basierte Computer und der Out-of-Band Dienstpunkt nicht denselben Namespace auf. Folglich tritt bei der AMT-Bereitstellung ein Fehler auf, selbst wenn beide Computer zur selben Active Directory-Gesamtstruktur gehören. Die Out-of-Band-Verwaltung unterstützt zudem keine separaten Namespaces. Beispiel: Ein AMT-basierter Computer, der den FQDN computer1.contoso.com hat , sich jedoch in einer Active Directory-Domäne mit der Bezeichnung na.corp.contoso.com befindet, kann nicht via Out-of-Band-Verwaltung bereitgestellt werden.

Das Bereitstellungszertifikat wird auf dem Out-of-Band-Dienstpunkt-Standortsystemserver installiert, und der FQDN dieses Servers muss im Antragstellernamen des Bereitstellungszertifikats angegeben sein. Wenn Sie eine interne Zertifizierungsstelle zur Bereitstellung des Bereitstellungszertifikats verwenden, kann der FQDN des Out-of-Band-Dienstpunkt-Standortsystemservers automatisch mit der Zertifikatanforderung konfiguriert werden. Weitere Informationen finden Sie unter Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle.

Wichtig

AMT-basierte Computer können nicht bereitgestellt werden, wenn sie nicht denselben Namespace wie der Out-of-Band-Dienstpunkt aufweisen. AMT-basierte Computer einer unterschiedlichen Active Directory-Gesamtstruktur können also nicht bereitgestellt werden, und Gesamtstrukturen mit einem separaten Namespace können die Out-of-Band-Verwaltung nicht verwenden, es sei denn, die AMT-basierten Computer und der Out-of-Band-Dienstpunkt gehören zur selben DNS-Struktur. Separate Namespaces innerhalb derselben Struktur werden ebenso wenig unterstützt.

Erneuern des AMT-Bereitstellungszertifikats

Da ein abgelaufenes AMT-Bereitstellungszertifikat zu einem Bereitstellungsfehler führt, müssen Sie sicherstellen, dass Sie Ihr AMT-Bereitstellungszertifikat erneuern und die Out-of-Band-Verwaltung vor Ablauf des ursprünglichen Zertifikats mit dem neuen Zertifikat konfigurieren. Fordern Sie das neue Zertifikat unbedingt rechtzeitig vor Ablauf des vorhandenen Zertifikats an. Besonders wichtig ist dies, wenn eine externe Zertifizierungsstelle für das Bereitstellungszertifikat verwendet wird.

Um Sie darauf aufmerksam zu machen, wann das AMT-Bereitstellungszertifikat abläuft, generiert Configuration Manager eine Warnstatusmeldung mit der Kennung 7210, wenn das Bereitstellungszertifikat in 40 Tagen oder weniger abläuft. Diese Statusmeldung wird so lange ein Mal pro Tag angezeigt, bis das Zertifikat durch ein Zertifikat mit einer Gültigkeitsdauer von mehr als 40 Tagen ersetzt wurde oder bis die Gültigkeitsdauer des Zertifikats weniger als 15 Tage beträgt. Wenn die Gültigkeitsdauer weniger als 15 Tage beträgt, wird eine Fehlerstatusmeldung mit der Kennung 7211 generiert, bis das Zertifikat durch ein neues mit einer Gültigkeitsdauer von mehr als 15 Tagen ersetzt wurde.

Hinweis

Sie müssen die Konfigurationseigenschaften der Out-of-Band-Verwaltung mit dem neuen Zertifikat konfigurieren. Eine Installation des neuen Zertifikats im lokalen Zertifikatspeicher des Out-of-Band-Dienstpunkt-Standortsystemservers ist nicht ausreichend. Weitere Informationen finden Sie unter Konfigurieren der AMT-Bereitstellung.

Weitere Informationen zur Verwendung von Statusmeldungen für die Überwachung der Out-of-Band-Verwaltung finden Sie unter Überwachen der Out-of-Band-Verwaltung.

Weitere Informationen zur Konfiguration des Standortstatus finden Sie unter Konfigurieren der Standortstatuskonfiguration.

Webserverzertifikate für AMT-basierte Computer

In der Regel dienen Arbeitsstationen als Client für eine Website auf einem Server. Bei der Out-of-Band-Verwaltung trifft allerdings das Gegenteil zu. Innerhalb der Firmware von AMT-basierten Computern wird eine Webserverkomponente ausgeführt, und die Computer, die sie verwalten (der Out-of-Band-Dienstpunkt und andere Computer, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird) fungieren als Clients.

Das im AMT-Speicher installierte Zertifikat erfordert eine Serverauthentifizierung, sodass es für die Computer authentifiziert ist, die es verwalten und zwischen den Computern übertragene Daten mithilfe von TLS verschlüsselt werden. TLS ist ein Industriestandardprotokoll, das SSL 3.0 ähnelt und Schutz vor Manipulation, Abfangen und Fälschung von Nachrichten bietet. Weitere Informationen zu TLS finden Sie unter https://go.microsoft.com/fwlink/?LinkId=108709.

Für die Out-of-Band-Verwaltung wird keine gegenseitige PKI-Authentifizierung verwendet, und obwohl der AMT-basierte Computer für den Computer, der ihn verwaltet, authentifiziert ist, liegt auf diesem Computer kein entsprechendes PKI-Clientzertifikat vor. Stattdessen werden diese Kommunikationen über eine TLS-Verbindung und die folgenden Benutzerkonten geschützt:

  • Windows-Benutzerkonten verwenden die Kerberos-Authentifizierung zum Ausführen der Out-of-Band-Verwaltungskonsole.

  • AMT-Bereitstellungs- und Ermittlungskonten verwenden die HTTP Digest-Authentifizierung.

  • Das AMT MEBx-Konto verwendet die HTTP Digest-Authentifizierung.

  • AMT-Benutzerkonten verwenden die Kerberos-Authentifizierung.

  • Das AMT-Remoteverwaltungskonto verwendet die HTTP Digest-Authentifizierung.

Erneuern von Webserverzertifikaten für AMT-basierte Computer

Wenn ein abgelaufenes Webserverzertifikat nicht für AMT-basierte Computer erneuert wird, kann Configuration Manager diesen Computer nicht über Out-of-Band verwalten.

Configuration Manager überwacht die Zertifikate, die auf AMT-basierten Computern bereitgestellt werden, und fordert vor Ablauf des ursprünglichen Zertifikats automatisch ein neues Zertifikat an. Dadurch wird nahtlose Kontinuität sowie eine ausreichende Toleranzperiode gewährleistet, wenn nicht sofort eine Verbindung mit der ausstellenden Zertifizierungsstelle aufgenommen werden kann.

Wenn Sie einen Out-of-Band-Dienstpunkt installieren, wird automatisch ein Wartungstask für die Out-of-Band-Verwaltung aktiviert, der die verbleibende Gültigkeitsdauer von für AMT-basierte Computer ausgestellten Zertifikaten regelmäßig überprüft. Diese Überprüfung wird alle 7 Tage durchgeführt, und es wird ein neues Zertifikat angefordert, wenn die Gültigkeitsdauer 42 Tage oder weniger beträgt.

Informationen zum Ändern dieser Einstellungen und zum Ermitteln der Zertifikate, deren Gültigkeit fast abgelaufen ist, finden Sie unter Anpassen von Wartungsaufgaben für die Out-of-Band-Verwaltung.

Hinweis

Wenn der Out-of-Band-Dienstpunkt in Configuration Manager 2007 SP2 mit einem AMT-basierten Computer über ein Drahtlosnetzwerk verbunden wird, ist die Erneuerung des Zertifikats nicht möglich.

Optionales Clientzertifikat für AMT-basierte Computer nur in Configuration Manager 2007 SP2

Configuration Manager 2007 SP2 unterstützt die Out-of-Band-Verwaltung in 802.1X-authentifizierten Kabel- und Drahtlosnetzwerken. In solchen Fällen wird von dem AMT-basierten Computer möglicherweise ein Clientzertifikat zur Authentifizierung beim RADIUS-Server benötigt. Wurde der RADIUS-Server für die EAP-TLS-Authentifizierung konfiguriert, ist ein Clientzertifikat immer erforderlich. Wurde der RADIUS-Server für EAP-TTLS/MSCHAPv2 oder PEAPv0/EAP-MSCHAPv2 konfiguriert, hängt es von der RADIUS-Konfiguration ab, ob ein Clientzertifikat erforderlich ist oder nicht.

Während des Bereitstellungsprozesses werden vom Standortserver Clientzertifikate für AMT-basierte Computer angefordert. Wurde der AMT-basierte Computer bereits ohne gültiges Clientzertifikat bereitgestellt, können Sie bei der Aktualisierung des Verwaltungscontrollers eine bestimmte Zertifikatvorlage (kabelgebundene Netzwerkverbindung) oder bis zu acht verschiedene Clientzertifikatvorlagen (Drahtlosverbindung) angeben, um die Unterstützung für 802.1X-authentifizierte Kabel- und Drahtlosnetzwerke zu konfigurieren. Aus Sicherheitsgründen und um den Verwaltungsaufwand zu reduzieren, sollten Sie jedoch ein und dieselbe Zertifikatvorlage verwenden, sofern es für die Verwendung verschiedener Clientzertifikate keinen triftigen Grund gibt (beispielsweise ungleiche Schlüssellängen und ein unterschiedliches Gültigkeitsdatum oder eine andere Stammzertifizierungsstelle). Dieses zusätzliche Zertifikat, das ebenfalls im AMT-Speicher installiert wird, ist nur für die Clientauthentifizierung erforderlich (OID 1.3.6.1.5.5.7.3.2). Auf diese Weise kann der AMT-basierte Computer beim RADIUS-Server authentifiziert werden. Nach der erfolgreichen Authentifizierung kann der AMT-basierte Computer für den Netzwerkzugriff autorisiert und konfiguriert werden. Das Zertifikat wird niemals zur Authentifizierung des Computers bei der Configuration Manager-Infrastruktur verwendet.

Mehrere für einen einzelnen AMT-basierten Computer angeforderte Clientzertifikate werden von AMT erfasst, um sicherzustellen, dass für die jeweilige Konfiguration das entsprechende Clientzertifikat zum Einsatz kommt. Wenn Sie z. B. ein zweites Drahtlosprofil angegeben haben, das eine andere Zertifikatvorlage verwenden soll als das erste Drahtlosprofil, kommt das für das zweite Drahtlosprofil angeforderte und installierte Zertifikat beim Verbinden des AMT-basierten Computers mit einem Drahtlosnetzwerk mithilfe des ersten Drahtlosprofils nie zum Einsatz.

Neben der Möglichkeit zur Clientauthentifizierung muss die Zertifikatvorlage außerdem mit der Einstellung Informationen werden in der Anforderung angegeben konfiguriert werden, damit vom Standortserver, der die Zertifikate anfordert, der FQDN jedes AMT-basierten Computers bereitgestellt werden kann. Verwenden Sie eine benutzerdefinierte Zertifikatvorlage zum Konfigurieren einer Zertifikatvorlage mit Clientauthentifizierung und der Einstellung Informationen werden in der Anforderung angegeben. Am besten eignet sich hierfür derzeit die Zertifikatvorlage Arbeitsstationsauthentifizierung, die Sie duplizieren und anschließend für die Konfiguration des Zertifikatantragstellers anpassen und für die Sie die Sicherheitsberechtigungen ändern können. Zum Konfigurieren einer duplizierten Zertifikatvorlage ist die Enterprise Edition des Windows Server-Betriebssystems erforderlich. Weitere Informationen zum Konfigurieren einer Beispielzertifikatvorlage für das optionale Clientauthentifizierungszertifikat finden Sie, wenn Sie zu Beginn dieses Themas auf die Links für die schrittweisen Bereitstellungsbeispiele klicken.

Erneuern von Clientzertifikaten für AMT-basierte Computer

Wenn das Clientzertifikat für einen AMT-basierten Computer abgelaufen ist und nicht erneuert wird, ist mit Configuration Manager keine Out-of-Band-Verwaltung dieses Computers im 802.1X-authentifizierten Kabel- oder Drahtlosnetzwerk mehr möglich.

Configuration Manager überwacht die Webserver- und Clientzertifikate, die auf AMT-basierten Computern bereitgestellt werden, und fordert vor Ablauf des ursprünglichen Zertifikats automatisch ein neues Zertifikat an. Weitere Informationen zur Zertifikaterneuerung für die Out-of-Band-Verwaltung finden Sie im vorherigen Abschnitt zum Erneuern von Webserverzertifikaten für AMT-basierte Computer.

CRL-Prüfung und Zertifikatsperrung für Out-of-Band-Verwaltungszertifikate

In den folgenden Abschnitten werden die folgenden Punkte behandelt: Zertifikatsperrung und Überprüfen der Zertifikatsperrliste (Certificate Revocation List, CRL) auf das Bereitstellungszertifikat auf dem Out-of-Band-Dienstpunkt, das Webserver- sowie das optionale Clientzertifikat auf AMT-basierten Computern in Configuration Manager 2007 SP2.

Überprüfen der Zertifikatsperrliste auf das Bereitstellungszertifikat

Für AMT-basierte Computer wird das Herunterladen einer Zertifikatsperrliste (CRL) zum Überprüfen, ob das Bereitstellungszertifikat gesperrt ist, nicht unterstützt. Ein AMT-basierter Computer akzeptiert dennoch ein Bereitstellungszertifikat, das von der ausstellenden Zertifizierungsstelle gesperrt wurde. Wenn Sie wissen, dass das Bereitstellungszertifikat gesperrt wurde, löschen Sie es aus dem Zertifikatspeicher des Out-of-Band-Dienstpunkt-Standortsystemservers. Installieren Sie dann ein neues Bereitstellungszertifikat, und konfigurieren Sie es in den Komponenteneigenschaften der Out-of-Band-Verwaltung. Wenn Sie ein gültiges AMT-Bereitstellungszertifikat nicht sofort bereitstellen können, entfernen Sie die Out-of-Band-Dienstpunktrolle, bis das Ersatzzertifikat vorliegt.

Überprüfen der Zertifikatsperrliste auf das Webserverzertifikat

Die CRL-Überprüfung durch die Configuration Manager-Computer, die mit den AMT-basierten Computern verbunden sind (das Out-of-Band-Dienstpunkt-Standortsystem und alle Computer, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird) erfolgt mithilfe der Windows-Remoteverwaltung (WinRM). WinRM-Versionen, die automatisch mit Betriebssystemen vor Windows Server 2008 R2 oder Windows 7 installiert wurden, unterstützen normalerweise keine CRL-Überprüfung. WinRM-Versionen, die mit Windows Server 2008 R2 oder Windows 7 installiert wurden, unterstützen die CRL-Überprüfung. Für ältere Betriebssysteme kann möglicherweise eine spätere WinRM-Version, welche die CRL-Überprüfung unterstützt, heruntergeladen und installiert werden.

In Abhängigkeit davon, ob die verwendete WinRM-Version die CRL-Überprüfung unterstützt oder nicht, ergibt sich für die Out-of-Band-Verwaltung Folgendes:

  • Wenn die CRL-Überprüfung vom Out-of-Band-Dienstpunkt-Standortsystem bzw. den Computern, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird, nicht unterstützt wird, akzeptieren diese Computer dennoch ein Webserverzertifikat, das für einen AMT-basierten Computer gesperrt wurde.

  • Wird die CRL-Überprüfung vom Out-of-Band-Dienstpunkt-Standortsystem und den Computern, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird, unterstützt, akzeptieren diese Computer kein Webserverzertifikat, das für einen AMT-basierten Computer gesperrt wurde. Zum weiteren Schutz vor nicht vertrauenswürdigen Zertifikaten wird in solchen Fällen außerdem die Kommunikation im Rahmen der Out-of-Band-Verwaltung verhindert, wenn kein Zugriff auf die Zertifikatsperrliste möglich ist (z. B., weil sie offline ist oder ein Problem mit der Netzwerkverbindung vorliegt).

Hinweis

Meist wird auf Computern, die keine CRL-Überprüfung unterstützen, ein Betriebssystem ausgeführt, das älter ist als Windows Server 2008 R2 oder Windows 7.

Das während des Bereitstellungsvorgangs für jeden AMT-Computer ausgestellte Webserverzertifikat wird in den folgenden Fällen automatisch von Configuration Manager gesperrt:

  • Sie entfernen unter Verwendung von Configuration Manager die Bereitstellungsinformationen vom Computer. Der Standortserver sperrt das Zertifikat mit dem Sperrgrund Abgelöst.

  • Der Computer wird bereitgestellt, und Configuration Manager entdeckt ein Zertifikat, das bereits vorher für denselben AMT-basierten Computer ausgestellt wurde. Dieser Fall tritt möglicherweise auf, wenn der AMT-basierte Computer lokal mit der Option zum Entfernen von Bereitstellungskonfigurationen in den BIOS-Erweiterungen konfiguriert wurde. Der Standortserver sperrt das Zertifikat mit dem Sperrgrund Abgelöst und fordert ein neues Zertifikat an.

  • Der Wartungstask für die Out-of-Band-Verwaltung Bereitgestellte AMT-Computerzertifikate auswerten wird dem konfigurierten Zeitplan entsprechend ausgeführt. Wenn ein Zertifikat ermittelt wird, das sich innerhalb des konfigurierten Ablaufzeitraums für eine Erneuerung befindet, sperrt der Standortserver das Zertifikat mit dem Sperrgrund Abgelöst und fordert ein neues Zertifikat an. Weitere Informationen zu diesem Wartungstask finden Sie im vorherigen Abschnitt „Erneuern von Webserverzertifikaten für AMT-basierte Computer“.

  • Gilt nur für Configuration Manager 2007 SP2: Sie blockieren einen Configuration Manager-Client, der für AMT bereitgestellt wurde. Der Standortserver sperrt das Zertifikat mit dem Sperrgrund Abgelöst. Weitere Informationen hierzu finden Sie unter Informationen zum Blockieren von Clients und zur Out-of-Band-Verwaltung.

Das Webserverzertifikat wird beim Aktualisieren von Daten im Verwaltungscontroller nicht gesperrt.

Der primäre Standortservercomputer muss für die ausstellende Zertifizierungsstelle über die Berechtigung Zertifikate ausstellen und verwalten verfügen.

Wichtig

Stellen Sie sicher, dass Sie PKI-Administratoren über die Umstände informieren, in denen Webserverzertifikate automatisch von Configuration Manager gesperrt werden können. Erläutern Sie, dass es sich hierbei um einen erwarteten Vorgang innerhalb der Zertifikatverwaltung handelt und kein Sicherheitsproblem mit den AMT-basierten Computern darstellt.

Überprüfen der Zertifikatsperrliste auf das optionale Clientzertifikat

Das optionale Clientzertifikat dient der Authentifizierung bei einem RADIUS-Server; es wird nie zur Authentifizierung bei der Configuration Manager-Infrastruktur verwendet. D. h., dass die Zertifikatsperrliste vom RADIUS-Server auf dieses Clientzertifikat überprüft wird. Konsultieren Sie die Dokumentation zu Ihrer RADIUS-Lösung, um herauszufinden, ob die CRL-Überprüfung unterstützt wird, und welche Folgen sich für AMT-basierte Computer ergeben, wenn das zugehörige Clientzertifikat gesperrt wurde oder kein Zugriff auf die Zertifikatsperrliste möglich ist.

Hinweis

Microsoft RADIUS-Lösungen unterstützen die CRL-Überprüfung. So dient zur CRL-Überprüfung für AMT-basierte Computer unter Windows Server 2008 der Netzwerkrichtlinienserver, welcher Verbindungsanforderungen zurückweist, wenn das Clientzertifikat gesperrt wurde oder aufgrund der fehlenden Verfügbarkeit der Zertifikatsperrliste nicht überprüft werden kann.

Die für jeden AMT-basierten Computer ausgestellten Clientzertifikate werden von Configuration Manager in den gleichen Fällen wie das Webserverzertifikat automatisch mit dem Sperrgrund Abgelöst gesperrt. Je nach verwendeter Konfiguration kann es weiterhin zur Sperrung eines oder mehrerer Clientzertifikate kommen, wenn Sie den Verwaltungscontroller aktualisieren und die Clientzertifikatvorlage in der Configuration Manager-Konfiguration für 802.1X-Kabelnetzwerke oder ein Drahtlosprofil konfiguriert haben.

Wichtig

Stellen Sie sicher, dass Sie den PKI-Administratoren über die Umstände informieren, in denen Clientzertifikate automatisch von Configuration Manager gesperrt werden können. Erläutern Sie, dass es sich hierbei um einen erwarteten Vorgang innerhalb der Zertifikatverwaltung handelt und kein Sicherheitsproblem mit den AMT-basierten Computern darstellt.

Siehe auch

Tasks

Bereitstellen von Computern für AMT
Entfernen von Bereitstellungsinformationen für AMT-basierte Computer
Aktualisieren von AMT-Einstellungen in bereitgestellten Computern über die Out-of-Band-Verwaltung

Konzepte

Informationen zur AMT-Bereitstellung für die Out-of-Band-Verwaltung
Informationen zum AMT-Bereitstellungs- und Ermittlungskonto
Informationen zum AMT-Remoteverwaltungskonto
Informationen zu AMT-Benutzerkonten
Informationen zum MEBx-Konto
Bestimmen der Administratorrollen und Prozesse für die Out-of-Band-Verwaltung

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com