Beispiel für die schrittweise Bereitstellung der für Configuration Manager im einheitlichen Modus erforderlichen PKI-Zertifikate: Windows Server 2008-Zertifizierungsstelle
Letzte Aktualisierung: Juni 2010
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Diese schrittweise Anleitung für die Bereitstellung mit einer Windows Server 2008-Zertifizierungsstelle enthält Verfahren zum Erstellen und Bereitstellen von PKI-Zertifikaten (Public Key-Infrastruktur), die für den einheitlichen Modus in Configuration Manager 2007 erforderlich sind. Der einheitliche Modus bietet die größte Sicherheit für einen Configuration Manager 2007-Standort und ist Voraussetzung für die internetbasierte Clientverwaltung. Weitere Informationen zum einheitlichen Modus in Configuration Manager finden Sie unter Vorteile der Verwendung des einheitlichen Modus.
Die in diesem Beispiel beschriebenen Vorgehensweisen beziehen sich auf eine Microsoft PKI-Lösung, bei der eine Unternehmenszertifizierungsstelle und Zertifikatvorlagen verwendet werden. Die Schritte sollten nur in einem Testnetzwerk zur Überprüfung eines Konzepts angewendet werden.
Da die erforderlichen Zertifikate auf unterschiedliche Weise bereitgestellt werden, entnehmen Sie die Informationen zu den erforderlichen Vorgehensweisen und bewährten Methoden der entsprechenden Dokumentation für die PKI-Bereitstellung, um die erforderlichen Zertifikate für eine Produktionsumgebung bereitzustellen. Weitere Informationen zu den möglichen Bereitstellungsmethoden finden Sie unter Bereitstellen der für den einheitlichen Modus erforderlichen PKI-Zertifikate.
Hinweis
Zur Unterstützung von Configuration Manager 2007 wird eine Microsoft PKI-Lösung empfohlen, sie ist jedoch nicht erforderlich. Configuration Manager 2007 verwendet PKI-Standardzertifikate und unterstützt Version 3 des x.509-Zertifikatformat. Wenn sich mit der vorhandenen PKI-Bereitstellung die von Configuration Manager 2007 für den einheitlichen Modus benötigten Zertifikate erstellen, bereitstellen und verwalten lassen, können Sie die vorhandene PKI verwenden. Ausführlichere Informationen zur Bereitstellung finden Sie in der PKI-Dokumentation.
In diesem Abschnitt werden folgende Themen behandelt:
Dieses Beispiel enthält die folgenden Abschnitte, in denen die Erstellung und Bereitstellung der Basiszertifikate beschrieben wird, die für die Verwendung eines Configuration Manager 2007-Standorts für Intranetverbindungen im einheitlichen Modus erforderlich sind:
Voraussetzungen für ein Testnetzwerk
Übersicht
Bereitstellen des Standortserver-Signaturzertifikats
Bereitstellen des Webserverzertifikats
Bereitstellen des Clientzertifikats
Voraussetzungen für ein Testnetzwerk
Im Beispiel wird Folgendes vorausgesetzt:
Im Testnetzwerk werden die Active Directory-Domänendienste mit Windows Server 2008 ausgeführt. Zudem ist das Netzwerk als eine einzelne Domäne bzw. Gesamtstruktur installiert.
Sie verfügen über einen Domänencontroller, auf dem Windows Server 2008 Enterprise Edition ausgeführt wird und die Rolle „Active Directory-Zertifikatdienste“ installiert ist. Der Controller ist außerdem als Unternehmens-Stammzertifizierungsstelle konfiguriert.
Sie verfügen über einen Computer mit Windows Server 2008 (Standard Edition oder Enterprise Edition), der als Mitgliedsserver festgelegt wurde und auf dem die Internetinformationsdienste (IIS) installiert sind.
Sie verfügen über einen Windows Vista-Client, auf dem das aktuelle Service Pack installiert ist. Dieser Computer ist mit einem aus ASCII-Zeichen bestehenden Computernamen konfiguriert und gehört der Domäne an.
Sie können sich mit einem Administratorkonto der Stammdomäne oder der Unternehmensdomäne anmelden und dieses Konto für alle in dieser Beispielbereitstellung aufgeführten Verfahren verwenden.
Übersicht
PKI-Zertifikate müssen vor der Konfiguration von Configuration Manager 2007 im einheitlichen Modus installiert werden. Die Installation und Konfiguration von Configuration Manager 2007 ist nicht Gegenstand dieses Beispiels. Es wird jedoch beschrieben, wie Sie Computern Zertifikate bereitstellen, die für die Verwendung von Configuration Manager 2007 im einheitlichen Modus erforderlich sind.
In der folgenden Tabelle finden Sie die drei erforderlichen PKI-Zertifikattypen inklusive einer Beschreibung zur Verwendung an einem Configuration Manager 2007-Standort im einheitlichen Modus:
| Zertifikatanforderung | Zertifikatbeschreibung |
|---|---|
Standortserver-Signaturzertifikat |
Dieses Zertifikat wird auf dem Server installiert, der als Configuration Manager 2007-Standortserver verwendet wird. Es wird zum Signieren von Clientrichtlinien verwendet. |
Webserverzertifikat |
Dieses Zertifikat wird auf Servern installiert, die als Configuration Manager 2007-Standortsysteme verwendet werden und beispielsweise für die Rolle des Verwaltungs- oder Verteilungspunkts konfiguriert sind. Es wird zum Verschlüsseln von Daten und zum Authentifizieren des Servers auf Clients verwendet. |
Clientzertifikat |
Dieses Zertifikat wird auf Computern installiert, die als Configuration Manager 2007-Clients verwendet werden, sowie auf dem Verwaltungspunkt. Es wird zum Authentifizieren des Clients auf Standortsystemen verwendet. Auf dem Verwaltungspunkt dient es der Überwachung des Serverbetriebsstatus. |
Weitere Informationen zu den Zertifikaten finden Sie unter Zertifikatanforderungen für den einheitlichen Modus.
Führen Sie die Schritte in diesem Beispiel durch, um folgende Ziele zu erreichen:
Stellen Sie ein Configuration Manager 2007-Standortserver-Signaturzertifikat für den Mitgliedsserver bereit, sodass er als Configuration Manager 2007-Standortserver im einheitlichen Modus verwendet werden kann.
Stellen Sie ein Webserverzertifikat für den Mitgliedsserver bereit, sodass er als Configuration Manager 2007-Standortsystemserver im einheitlichen Modus verwendet werden kann, auf dem die folgenden Configuration Manager-Standortsystemrollen ausgeführt werden können: Verwaltungspunkt, Verteilungspunkt, Softwareupdatepunkt und Zustandsmigrationspunkt.
Stellen Sie ein Clientzertifikat für eine Arbeitsstation und den Mitgliedsserver bereit, sodass die Arbeitsstation als Configuration Manager 2007-Client im einheitlichen Modus verwendet werden und der Verwaltungspunkt den Status an den Standortserver melden kann.
Bereitstellen des Standortserver-Signaturzertifikats
Dieser Schritt beinhaltet vier Prozeduren:
Erstellen und Ausstellen der Standortserver-Signaturzertifikatsvorlage bei der Zertifizierungsstelle
Anfordern des Standortserver-Signaturzertifikats für den Server, auf dem der Configuration Manager 2007-Standortserver ausgeführt wird
Genehmigen des Standortserver-Signaturzertifikats bei der Zertifizierungsstelle
Installieren des Standortserver-Signaturzertifikats auf dem Server, auf dem der Configuration Manager 2007-Standortserver ausgeführt wird
Erstellen und Ausstellen der Standortserver-Signaturzertifikatsvorlage bei der Zertifizierungsstelle
So erstellen Sie die Standortserver-Signaturzertifikatvorlage und stellen sie aus
Klicken Sie auf dem Domänencontroller, auf dem die Windows Server 2008-Konsole ausgeführt wird, auf Start > Programme > Verwaltung > Zertifizierungsstelle.
Erweitern Sie den Namen der Zertifizierungsstelle, und klicken Sie dann auf Zertifikatvorlagen.
Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten, um die Zertifikatvorlagenkonsole zu laden.
Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag, für den in der Spalte Vorlagenanzeigename der Name Computer angezeigt wird, und klicken Sie dann auf Doppelte Vorlage.
Vergewissern Sie sich, dass im Dialogfeld Doppelte Vorlage die Option Windows 2003 Server Enterprise Edition ausgewählt ist, und klicken Sie dann auf OK.
Wichtig
Wählen Sie nicht Windows 2008 Server Enterprise Edition aus.
Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Namen für die Standortserver-Signaturzertifikatvorlage ein, z. B. ConfigMgr-Standortserver-Signaturzertifikat.
Klicken Sie auf die Registerkarte Ausstellungsvoraussetzungen, und wählen Sie die Option Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle aus.
Klicken Sie auf der Registerkarte Antragstellername auf Informationen werden in der Anforderung angegeben.
Wählen Sie auf der Registerkarte Erweiterungen die Option Anwendungsrichtlinien aus, und klicken sie dann auf Bearbeiten.
Wählen Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten die Option Clientauthentifizierung aus, drücken Sie die Umschalttaste. Wählen Sie die Option Serverauthentifizierung aus, und klicken Sie auf Entfernen.
Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf Hinzufügen.
Wählen Sie im Dialogfeld Anwendungsrichtlinie hinzufügen als einzige Anwendungsrichtlinie die Option Dokumentsignatur aus, und klicken Sie dann auf OK.
Im Dialogfeld Eigenschaften der neuen Vorlage wird nun als Beschreibung von Anwendungsrichtlinien Folgendes angezeigt: Dokumentsignatur.
Klicken Sie auf OK. Klicken Sie auf OK, um das Dialogfeld Eigenschaften der neuen Vorlage zu schließen, und schließen Sie dann die Zertifikatvorlagenkonsole.
Klicken Sie in der Zertifizierungsstellenkonsole mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu und dann auf Auszustellende Zertifikatvorlage.
Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neu erstellte Vorlage mit der Bezeichnung ConfigMgr-Standortserver-Signaturzertifikat aus, und klicken Sie dann auf OK.
Hinweis
Wenn Sie die Schritte 15 oder 16 nicht ausführen können, prüfen Sie, ob Sie die Enterprise Edition von Windows Server 2008 verwenden. Mit Windows Server Standard Edition und Active Directory-Zertifikatdiensten können Sie zwar Zertifikatvorlagen konfigurieren, aber das Bereitstellen von Zertifikaten mit geänderten Zertifikatvorlagen ist nur mit Windows Server 2008 Enterprise Edition möglich.
Lassen Sie die Zertifizierungsstellenkonsole geöffnet.
Anfordern des Standortserver-Signaturzertifikats für den Server, auf dem der Configuration Manager 2007-Standortserver ausgeführt wird
So fordern Sie das Standortserver-Signaturzertifikat an
Erstellen Sie auf dem Mitgliedsserver einen Ordner für Ihre Zertifikatdateien.
Öffnen Sie Notepad oder eine ähnliche Textdatei Ihrer Wahl. Kopieren Sie den folgenden Text, und fügen Sie ihn in die Datei ein:
[NewRequest] Subject = "CN=The site code of this site server is <site-code>" MachineKeySet = True [RequestAttributes] CertificateTemplate = ConfigMgrSiteServerSigningCertificateErsetzen Sie den Text <site-code> durch Ihren eigenen Standortcode. Beispiel: Wenn Ihr Standortcode „A01“ lautet, muss die Zeile wie folgt angezeigt werden: Subject = "CN=The site code of this site server is A01".
Wichtig
Sowohl beim Standortcode als auch beim Namen der Vorlage müssen Sie die Groß-/Kleinschreibung beachten. Vergewissern Sie sich, dass Sie den Standortcode exakt so angeben, wie er in der Configuration Manager-Konsole angezeigt wird, und dass Sie die Standortserver-Signaturzertifikatvorlage exakt so angeben, wie sie in den Eigenschaften der Zertifikatvorlage unter Vorlagenname (nicht Vorlagenanzeigename) angezeigt wird.
Speichern Sie die Datei unter dem Namen „sitesigning.inf“, und speichern Sie sie im vorher erstellten Ordner für Zertifikate.
Öffnen Sie in diesem Ordner für Zertifikate ein Befehlsfenster, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
certreq –new sitesigning.inf sitesigning.req
Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
certreq –submit sitesigning.req sitesigning.cer
Sie werden dazu aufgefordert, im Dialogfeld Zertifizierungsstelle auswählen die ausstellende Zertifizierungsstelle auszuwählen. Wählen Sie die Zertifizierungsstelle aus, und klicken Sie dann auf OK. Wenn das Zertifikat ausgestellt wurde, wird RequestId: <Nummer> angezeigt, wobei die <Nummer> die nächste folgende Zertifikatanforderung an die ausstellende Zertifizierungsstelle darstellt. Notieren Sie sich diese Nummer.
Lassen Sie die Eingabeaufforderung geöffnet.
Genehmigen des Standortserver-Signaturzertifikats bei der Zertifizierungsstelle
So genehmigen Sie das Standortserver-Signaturzertifikat
Klicken Sie auf dem Domänencontroller im Abschnitt Zertifizierungsstelle auf Ausstehende Anforderungen.
Im Ergebnisbereich wird das angeforderte Zertifikat mit der Anforderungs-ID angezeigt, die im letzten Befehl „Certreq“ angezeigt wurde.
Klicken Sie mit der rechten Maustaste auf das angeforderte Zertifikat, klicken Sie auf Alle Tasks und dann auf Ausstellen.
Lassen Sie die Zertifizierungsstellenkonsole geöffnet.
Installieren des Standortserver-Signaturzertifikats auf dem Server, auf dem der Configuration Manager 2007-Standortserver ausgeführt wird
So rufen Sie das Standortserver-Signaturzertifikat ab und installieren es
Geben Sie auf dem Mitgliedsserver im Befehlsfenster den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
certreq –retrieve <Nummer> sitesigning.cer
Beispiel: Wenn die vorher angezeigte Anforderungsnummer 12 lautete, geben Sie Folgendes ein: certreq –retrieve 12 sitesigning.cer
Sie werden dazu aufgefordert, im Dialogfeld Zertifizierungsstelle auswählen die ausstellende Zertifizierungsstelle auszuwählen. Wählen Sie die Zertifizierungsstelle aus, und klicken Sie dann auf OK. Klicken Sie auf OK, um die vorhandene Datei zu überschreiben.
Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
certreq –accept sitesigning.cer
Der Mitgliedsserver verfügt nun über ein Configuration Manager 2007-Standortserver-Signaturzertifikat.
Bereitstellen des Webserverzertifikats
Dieser Schritt beinhaltet vier Prozeduren:
Erstellen eine Windows-Sicherheitsgruppe für die Standortsystemserver (Verwaltungspunkt, Verteilungspunkt, Softwareupdatepunkt, Zustandsmigrationspunkt)
Erstellen und Ausstellen der Webserver-Zertifikatvorlage bei der Zertifizierungsstelle
Anfordern des Webserverzertifikats
Konfigurieren von IIS für die Verwendung des Webserverzertifikats
Erstellen eine Windows-Sicherheitsgruppe für die Standortsystemserver (Verwaltungspunkt, Verteilungspunkt, Softwareupdatepunkt, Zustandsmigrationspunkt)
So erstellen Sie eine Windows-Sicherheitsgruppe für den Standortsystemserver
Klicken Sie auf dem Domänencontroller auf Start > Verwaltung > Active Directory-Benutzer und -Computer.
Klicken Sie mit der rechten Maustaste auf die Domäne, klicken Sie auf Neu und dann auf Gruppe.
Geben Sie im Dialogfeld Neues Objekt – Gruppe im Feld Gruppenname den Namen ConfigMgr-IIS-Server ein, und klicken Sie dann auf OK.
Klicken Sie unter Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die neu erstellte Gruppe, und klicken Sie auf Eigenschaften.
Klicken Sie zum Auswählen des Mitgliedsservers auf der Registerkarte Mitglieder auf Hinzufügen.
Hinweis
In der Testumgebung ist nur ein Server vorhanden, der hinzugefügt werden kann. In einer Produktionsumgebung werden die Configuration Manager 2007-Standortsysteme, die Zertifikate erfordern (z. B. die Verwaltungs- oder die Verteilungspunkte des Standorts) wahrscheinlich auf verschiedenen Servern gehostet. Es hat sich daher bewährt, einer Gruppe Berechtigungen zuzuweisen und die Standortsysteme hinzuzufügen, die denselben Zertifikattyp erfordern. Wenn Sie für diese Server eine Sicherheitsgruppe erstellen, können Sie Berechtigungen zuweisen, sodass die Zertifikate nur von diesen Servern verwendet werden können.
Klicken Sie auf OK, und klicken Sie dann erneut auf OK, um das Dialogfeld mit den Gruppeneigenschaften zu schließen.
Starten Sie den Mitgliedsserver neu (falls er eingeschaltet ist), damit die neue Gruppenmitgliedschaft übernommen wird.
Erstellen und Ausstellen der Webserver-Zertifikatvorlage bei der Zertifizierungsstelle
So können Sie die Webserver-Zertifikatvorlage bei der Zertifizierungsstelle generieren und ausstellen
Klicken Sie auf dem Domänencontroller bei ausgeführter Zertifizierungsstellenkonsole mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten, um die Zertifikatvorlagenkonsole zu laden.
Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag, für den in der Spalte Vorlagenanzeigename der Name Webserver angezeigt wird, und klicken Sie auf Doppelte Vorlage.
Vergewissern Sie sich, dass im Dialogfeld Doppelte Vorlage die Option Windows 2003 Server Enterprise Edition ausgewählt ist, und klicken Sie dann auf OK.
Wichtig
Wählen Sie nicht Windows 2008 Server Enterprise Edition aus.
Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Vorlagennamen zum Generieren der Webzertifikate ein, die auf Configuration Manager-Standortsystemen verwendet werden, z. B. ConfigMgr-Webserverzertifikat.
Klicken Sie auf die Registerkarte Antragstellername, klicken Sie auf Aus diesen Informationen in Active Directory erstellen, und wählen Sie dann für Format des Antragstellernamen eine der folgenden Optionen aus:
Allgemeiner Name: Wählen Sie diese Option aus, wenn Sie im Configuration Manager für Standortsysteme vollständig qualifizierte Domänennamen verwenden möchten (für die Verwaltung von internetbasierten Clients erforderlich und empfohlen für Clients im Intranet).
Vollständiger definierter Name: Wählen Sie diese Option aus, wenn Sie im Configuration Manager keine vollständig qualifizierten Domänennamen verwenden möchten.
Deaktivieren Sie die Option Benutzerprinzipalname (UPN).
Klicken Sie auf die Registerkarte Sicherheit, und entfernen Sie aus den Sicherheitsgruppen Domänen-Admins und Organisations-Admins die Berechtigung Enroll (Registrieren).
Klicken Sie auf Hinzufügen, geben Sie in das Textfeld ConfigMgr-IIS-Server ein, und klicken Sie dann auf OK.
Aktivieren Sie für diese Gruppe die Berechtigung Registrieren, und lassen Sie die Berechtigung Lesen aktiviert.
Klicken Sie auf OK, und schließen Sie die Zertifikatvorlagenkonsole.
Klicken Sie in der Zertifizierungsstellenkonsole mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu und dann auf Auszustellende Zertifikatvorlage.
Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neu erstellte Vorlage mit der Bezeichnung ConfigMgr-Webserverzertifikat aus, und klicken Sie dann auf OK.
Lassen Sie die Zertifizierungsstellenkonsole geöffnet.
Anfordern des Webserverzertifikats
So fordern Sie das Webserverzertifikat an
Starten Sie den Mitgliedsserver neu, um sicherzustellen, dass er auf die Zertifikatvorlage mit der konfigurierten Berechtigung zugreifen kann.
Klicken Sie auf Start > Ausführen, und geben Sie mmc.exe ein. Klicken Sie in der leeren Konsole auf Datei und anschließend auf Snap-In hinzufügen/entfernen.
Wählen Sie im Dialogfeld Snap-In hinzufügen/entfernen aus der Liste Verfügbare Snap-Ins die Option Zertifikate aus, und klicken Sie dann auf Hinzufügen.
Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie auf Weiter.
Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist. Klicken Sie anschließend auf Fertig stellen.
Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf OK.
Erweitern Sie in der Konsole Zertifikate (Lokaler Computer), und klicken Sie dann auf Persönlich.
Klicken Sie mit der rechten Maustaste auf Zertifikate, klicken Sie auf Alle Tasks und dann auf Neues Zertifikat anfordern.
Klicken Sie auf der Seite Bevor Sie beginnen auf Weiter.
Wenn die Seite Zertifikatregistrierungsrichtlinie auswählen angezeigt wird, klicken Sie auf Weiter.
Wählen Sie auf der Seite Zertifikate anfordern in der Liste der angezeigten Zertifikate die Vorlage ConfigMgr-Webserverzertifikat aus, und klicken Sie dann auf Registrieren.
Warten Sie, bis auf der Seite mit den Ergebnissen der Zertifikatinstallation angezeigt wird, dass das Zertifikat installiert wurde. Klicken Sie dann auf Fertig stellen.
Schließen Sie das Dialogfeld Zertifikate (Lokaler Computer).
Konfigurieren von IIS für die Verwendung des Webserverzertifikats
So konfigurieren Sie IIS für die Verwendung des Webserverzertifikats
Klicken Sie auf dem Mitgliedsserver auf Start > Programme > Verwaltung > Internetinformationsdienste-Manager.
Erweitern Sie Sites, klicken Sie mit der rechten Maustaste auf Standardwebsite, und wählen Sie dann Bindungen bearbeiten aus.
Klicken Sie auf den Eintrag HTTPS und dann auf Bearbeiten.
Wählen Sie im Dialogfeld Websitebindung bearbeiten das Zertifikat aus, das Sie mithilfe der Vorlage „ConfigMgr-Webserverzertifikat“ angefordert haben, und klicken Sie dann auf OK.
Hinweis
Wenn Sie sich nicht sicher sind, welches das richtige Zertifikat ist, wählen Sie ein Zertifikat aus, und klicken dann auf Ansicht. So können Sie die ausgewählten Zertifikatdetails mit den Zertifikaten vergleichen, die mit dem Zertifikat-Snap-In angezeigt werden. Beispielsweise wird mit dem Zertifikat-Snap-In die Zertifikatvorlage angezeigt, die für die Zertifikatanforderung verwendet wurde. Anschließend können Sie den Fingerabdruck des Zertifikats, das mit der Vorlage „ConfigMgr-Webserverzertifikat“ angefordert wurde, mit dem Fingerabdruck des Zertifikats vergleichen, das aktuell im Dialogfeld Websitebindung bearbeiten ausgewählt ist.
Klicken Sie im Dialogfeld Websitebindung bearbeiten auf OK, und klicken Sie dann auf Schließen.
Schließen Sie das Dialogfeld Internetinformationsdienste-Manager.
Der Mitgliedsserver verfügt nun über ein Configuration Manager 2007-Webserverzertifikat.
Hinweis
Wenn dieser Server für Softwareupdates konfiguriert wird, sind nach der Installation von WSUS zusätzliche Konfigurationsschritte in IIS erforderlich. Weitere Informationen finden Sie unter Konfigurieren der WSUS-Website zur Verwendung von SSL.
Bereitstellen des Clientzertifikats
Dieser Schritt beinhaltet drei Prozeduren:
Erstellen und Ausstellen der Zertifikatvorlage zur Arbeitsstationsauthentifizierung bei der Zertifizierungsstelle
Konfigurieren der automatischen Registrierung der Vorlage zur Arbeitsstationsauthentifizierung mithilfe einer Gruppenrichtlinie
Automatisches Registrieren des Zertifikats zur Arbeitsstationsauthentifizierung und Überprüfen der Installation auf Computern
Erstellen und Ausstellen der Zertifikatvorlage zur Arbeitsstationsauthentifizierung bei der Zertifizierungsstelle
So können Sie die Zertifikatvorlage zur Arbeitsstationsauthentifizierung bei der Zertifizierungsstelle generieren und ausstellen
Klicken Sie auf dem Domänencontroller bei ausgeführter Zertifizierungsstellenkonsole mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten, um die Verwaltungskonsole für Zertifikatvorlagen zu laden.
Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag, für den in der Spalte Vorlagenanzeigename der Name Arbeitsstationsauthentifizierung angezeigt wird, und klicken Sie auf Doppelte Vorlage.
Vergewissern Sie sich, dass im Dialogfeld Doppelte Vorlage die Option Windows 2003 Server Enterprise Edition ausgewählt ist, und klicken Sie dann auf OK.
Wichtig
Wählen Sie nicht Windows 2008 Server Enterprise Edition aus.
Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Vorlagennamen zum Generieren der Clientzertifikate ein, die auf Configuration Manager-Clientcomputern verwendet werden, z. B. ConfigMgr-Clientzertifikat.
Klicken Sie auf die Registerkarte Sicherheit, und wählen Sie die Gruppe Domänencomputers aus. Wählen Sie die zusätzlichen Berechtigungen Lesen und Automatisch registrieren aus. Lassen Sie Registrieren aktiviert.
Klicken Sie auf OK, und schließen Sie die Zertifikatvorlagenkonsole.
Klicken Sie in der Zertifizierungsstellenkonsole mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu und dann auf Auszustellende Zertifikatvorlage.
Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neu erstellte Vorlage ConfigMgr-Clientzertifikat aus, und klicken Sie auf OK.
Schließen Sie die Zertifizierungsstellenkonsole.
Konfigurieren der automatischen Registrierung der Vorlage zur Arbeitsstationsauthentifizierung mithilfe einer Gruppenrichtlinie
So konfigurieren Sie die automatische Registrierung der Vorlage zur Arbeitsstationsauthentifizierung mithilfe einer Gruppenrichtlinie
Klicken Sie auf dem Domänencontroller auf Start > Programme > Gruppenrichtlinienverwaltung.
Wechseln Sie zu Ihrer Domäne. Klicken Sie mit der rechten Maustaste auf die Domäne, und wählen Sie dann Gruppenrichtlinienobjekt hier erstellen und verknüpfen aus.
Hinweis
Für diesen Schritt hat es sich bewährt, eine neue Gruppenrichtlinie für benutzerdefinierte Einstellungen zu erstellen, statt die mit den Active Directory-Domänendiensten installierte Standarddomänenrichtlinie zu bearbeiten. Wenn Sie diese Gruppenrichtlinie auf Domänenebene zuweisen, wird sie auf alle Computer in der Domäne angewendet. In einer Produktionsumgebung können Sie die automatische Registrierung jedoch auf ausgewählte Computer einschränken. Weisen Sie die Gruppenrichtlinie zu diesem Zweck auf einer Organisationseinheitsebene zu, oder filtern Sie die Gruppenrichtlinie der Domäne mit einer Sicherheitsgruppe, sodass sie nur für die Computer in der Gruppe gilt. Wenn Sie die automatische Registrierung einschränken, müssen Sie den als Verwaltungspunkt konfigurierten Server einschließen.
Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt einen Namen für die neue Gruppenrichtlinie ein, z. B. Zertifikate automatisch registrieren, und klicken Sie auf OK.
Klicken Sie im Ergebnisbereich auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte mit der rechten Maustaste auf die neue Gruppenrichtlinie, und klicken Sie dann auf Bearbeiten.
Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor unter Computerkonfiguration den Knoten Richtlinien, und wechseln Sie dann zu Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien öffentlicher Schlüssel.
Klicken Sie mit der rechten Maustaste auf den Objekttyp mit dem Namen Zertifikatdiensteclient – Automatische Registrierung, und klicken Sie anschließend auf Eigenschaften.
Klicken Sie in der Dropdown-Liste Konfigurationsmodell auf Aktiviert, klicken Sie auf Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen, klicken Sie auf Zertifikate aktualisieren, die Zertifikatvorlagen verwenden, und klicken Sie dann auf OK.
Schließen Sie die Gruppenrichtlinienverwaltung.
Automatisches Registrieren des Zertifikats zur Arbeitsstationsauthentifizierung und Überprüfen der Installation auf Computern
So registrieren Sie das Zertifikat zur Arbeitsstationsauthentifizierung automatisch und überprüfen die Installation auf dem Clientcomputer
Starten Sie die Arbeitsstation neu, und warten Sie einige Minuten, bevor Sie sich anmelden.
Hinweis
Das Neustarten eines Computers ist die zuverlässigste Methode, eine erfolgreiche automatische Registrierung von Zertifikaten sicherzustellen.
Melden Sie sich mit einem Konto an, das über Administratorrechte verfügt.
Geben Sie in das Suchfeld mmc.exe. ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie in der leeren Verwaltungskonsole auf Datei und anschließend auf Snap-In hinzufügen/entfernen.
Wählen Sie im Dialogfeld Snap-In hinzufügen/entfernen aus der Liste Verfügbare Snap-Ins die Option Zertifikate aus, und klicken Sie dann auf Hinzufügen.
Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie auf Weiter.
Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist. Klicken Sie anschließend auf Fertig stellen.
Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf OK.
Erweitern Sie in der Konsole Zertifikate (Lokaler Computer), erweitern Sie Persönlich, und klicken Sie dann auf Zertifikate.
Überprüfen Sie, ob im Ergebnisbereich ein Zertifikat angezeigt wird, für das in der Spalte Beabsichtigter Zweck der Wert Clientauthentifizierung und in der Spalte Zertifikatvorlage der Wert ConfigMgr-Clientzertifikat angezeigt wird.
Schließen Sie das Dialogfeld Zertifikate (Lokaler Computer).
Wiederholen Sie die Schritte 1 bis 11 für den Mitgliedsserver, um sicherzustellen, dass der als Verwaltungspunkt konfigurierte Server ebenfalls über ein Clientzertifikat verfügt.
Die Arbeitsstation und der Mitgliedsserver verfügen nun über ein Configuration Manager 2007-Clientzertifikat.
Siehe auch
Tasks
Migrieren des Standortmodus vom gemischten zum einheitlichen Modus
Konzepte
Administratorworkflow: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus
Administratorcheckliste: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus
Vorteile der Verwendung des einheitlichen Modus
Zertifikatanforderungen für den einheitlichen Modus
Übersicht über die internetbasierte Clientverwaltung
Voraussetzungen für den einheitlichen Modus
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com