Abrufen eines Zertifikats mithilfe einer Windows Server 2003-Unternehmenszertifizierungsstelle in Operations Manager 2007

  • Artikel

Letzte Aktualisierung: Mai 2009

Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1

Die folgenden Verfahren enthalten die Schritte zum Anfordern eines Zertifikats von einer Unternehmenszertifizierungsstelle mithilfe der Zertifikatdienste, einem Feature von Windows 2000 Server und Windows Server 2003. Um ein Zertifikat auf diese Weise abzurufen, müssen Sie wie folgt vorgehen:

  • Laden Sie das vertrauenswürdige Stammzertifikat einer Zertifizierungsstelle herunter.

  • Importieren Sie das vertrauenswürdige Stammzertifikat.

  • Erstellen Sie eine Zertifikatvorlage.

  • Fordern Sie ein Zertifikat von der Unternehmenszertifizierungsstelle an.

  • Importieren Sie das Zertifikat in Operations Manager.

So laden Sie das vertrauenswürdige Stammzertifikat einer Zertifizierungsstelle herunter

  1. Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installiert haben (z. B. beim Gatewayserver oder beim Verwaltungsserver).

  2. Öffnen Sie Internet Explorer, und stellen Sie eine Verbindung zum Hostcomputer der Zertifikatdienste her (z. B. https://<Servername>/certsrv.

  3. Klicken Sie auf der Seite Willkommen auf Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste.

  4. Klicken Sie auf der Seite Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste auf Codierungsmethode sowie Base 64, und klicken Sie dann auf Download der Zertifizierungsstellen-Zertifikatkette.

  5. Klicken Sie im Dialogfeld Dateidownload auf Speichern, und speichern Sie das Zertifikat, z. B. VertrZS.p7b.

  6. Sobald der Downloadvorgang abgeschlossen ist, können Sie Internet Explorer schließen.

So importieren Sie das vertrauenswürdige Stammzertifikat

  1. Klicken Sie auf dem Windows-Desktop auf Start und anschließend auf Ausführen.

  2. Geben Sie im Dialogfeld Ausführen den Befehl mmc ein, und klicken Sie dann auf OK.

  3. Klicken Sie im Fenster Console1 auf Datei, und klicken Sie dann auf Snap-In hinzufügen/entfernen.

  4. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.

  5. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Zertifikate, und klicken Sie dann auf Hinzufügen.

  6. Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie dann auf Weiter.

  7. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und klicken Sie dann auf Fertig stellen.

  8. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.

  9. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.

  10. Erweitern Sie im Fenster Console1 zuerst Zertifikate (Lokaler Computer) und anschließend Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie dann auf Zertifikate.

  11. Klicken Sie mit der rechten Maustaste auf Zertifikate, wählen Sie Alle Aufgaben aus, und klicken Sie dann auf Importieren.

  12. Klicken Sie im Zertifikatimport-Assistenten auf Weiter.

  13. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen, und wählen Sie das Verzeichnis aus, in das Sie die Datei des Zertifizierungsstellenzertifikats heruntergeladen haben, z. B. VertrZS.p7b. Wählen Sie die Datei aus, und klicken Sie auf Öffnen.

  14. Klicken Sie auf der Seite Zu importierende Datei auf Alle Zertifikate in folgendem Speicher speichern, und stellen Sie sicher, dass Vertrauenswürdige Stammzertifizierungsstellen im Feld Zertifikatspeicher angezeigt wird. Klicken Sie dann auf Weiter.

  15. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

So erstellen Sie eine Zertifikatvorlage

  1. Klicken Sie auf dem Computer mit der Unternehmenszertifizierungsstelle auf dem Windows-Desktop auf Start, zeigen Sie auf Programme, zeigen Sie aufVerwaltung, und klicken Sie dann aufZertifizierungsstelle.

  2. Erweitern Sie im Navigationsbereich den Namen der Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten.

  3. Klicken Sie in der Konsole Zertifikatvorlagen im Ergebnisbereich mit der rechten Maustaste auf IPSec (Offlineanforderung), und klicken Sie dann auf Doppelte Vorlage.

  4. Geben Sie auf der Registerkarte Allgemein im Dialogfeld Eigenschaften der neuen Vorlage in das Textfeld Vorlagenanzeigename einen neuen Namen für diese Vorlage ein (z. B. OperationsManagerCert).

  5. Wählen Sie auf der Registerkarte Anforderungsverarbeitung die Option Exportieren von privatem Schlüssel zulassen aus, und klicken Sie dann auf Kryptografiedienstanbieter.

  6. Wählen Sie im Dialogfeld Kryptografiedienstanbieter auswählen den Anbieter aus, der Ihre Geschäftsanforderungen am besten erfüllt, und klicken Sie dann auf OK.

    Hinweis

    Windows 2000 Server kann mit Microsoft Enhanced Cryptographic Provider 1.0 ausgeführt werden. Windows Server 2003 und Windows XP können mit Microsoft RSA SChannel Cryptographic Provider ausgeführt werden.

  7. Klicken Sie auf die Registerkarte Erweiterungen. Klicken Sie dann unter Erweiterungen in dieser Vorlage auf Anwendungsrichtlinien und anschließend auf Bearbeiten.

  8. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf IP-Sicherheits-IKE, dazwischenliegend, und klicken Sie dann auf Entfernen.

  9. Klicken Sie auf Hinzufügen, und halten Sie in der Liste Anwendungsrichtlinien die STRG-Taste gedrückt, um mehrere Elemente aus der Liste auszuwählen. Klicken Sie auf Clientauthentifizierung und Serverauthentifizierung, und klicken Sie dann auf OK.

  10. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf OK.

  11. Klicken Sie auf die Registerkarte Sicherheit, und vergewissern Sie sich, dass die Gruppe Authentifizierte Benutzer über Lese- und Registrierungsberechtigungen verfügt. Klicken Sie dann auf OK.

So fügen Sie die Vorlage dem Ordner "Zertifikatvorlagen" hinzu

  1. Klicken Sie im Zertifizierungsstellen-Snap-In mit der rechten Maustaste auf den Ordner Zertifikatvorlagen, zeigen Sie auf Neu, und klicken Sie dann auf Auszustellende Zertifikatvorlage.

  2. Wählen Sie im Feld Zertifikatvorlagen aktivieren, die von Ihnen erstellte Zertifikatvorlage aus, und klicken Sie dann auf OK.

So fordern Sie ein Zertifikat von einer Unternehmenszertifizierungsstelle an

  1. Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installieren möchten (z. B. beim Gatewayserver oder beim Verwaltungsserver).

  2. Öffnen Sie Internet Explorer, und stellen Sie eine Verbindung mit dem Computer her, der die Zertifikatdienste hostet (z. B. http://<Servername>/certsrv).

  3. Klicken Sie auf der Seite Willkommen der Microsoft Zertifikatdienste auf Zertifikat anfordern.

  4. Klicken Sie auf der Seite Zertifikat anfordern auf Erweiterte Zertifikatanforderung.

  5. Klicken Sie auf der Seite Erweiterte Zertifikatanforderung auf Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen.

  6. Führen Sie auf der Seite Erweiterte Zertifikatanforderung folgende Aktionen aus:

    1. Wählen Sie unter Zertifikatvorlage den Namen der von Ihnen erstellten Vorlage aus (z. B. OperationsManagerCert).

    2. Geben Sie unter Identifikationsinformationen für Offlinevorlage im Feld Name einen eindeutigen Namen ein, z. B. den vollqualifizierten Domänennamen (FQDN, Fully Qualified Domain Name) des Computers, für den Sie das Zertifikat anfordern. Geben Sie in den restlichen Feldern die entsprechenden Informationen ein.

      Hinweis

      Wenn der in das Feld Name eingegebene FQDN nicht mit dem Computernamen übereinstimmt, wird ein Eingabefehler mit der Ereignis-ID 20052 angezeigt.

    3. Klicken Sie unter Schlüsseloptionen auf Neuen Schlüsselsatz erstellen. Wählen Sie im Feld Kryptografiedienstanbieter den Anbieter aus, der Ihre Geschäftsanforderungen am besten erfüllt. Wählen Sie unter Schlüsselgröße die Größe, die am besten Ihre Geschäftsanforderungen erfüllt. Wählen Sie Automatischer Schlüsselcontainername aus. Vergewissern Sie sich, dass die Option Schlüssel als "Exportierbar" markieren ausgewählt ist, und deaktivieren Sie Schlüssel in Datei exportieren sowie Verstärkte Sicherheit für den privaten Schlüssel aktivieren. Klicken Sie dann auf Zertifikat in lokalem Zertifikatspeicher aufbewahren.

      Hinweis

      Windows 2000 Server kann mit Microsoft Enhanced Cryptographic Provider 1.0 ausgeführt werden. Windows Server 2003 und Windows XP können mit Microsoft RSA SChannel Cryptographic Provider ausgeführt werden.

    4. Wählen Sie unter Weitere Optionen unter Anforderungsformat die Option CMC aus. Wählen Sie in der Liste Hashalgorithmus die Option SHA-1 aus, und deaktivieren Sie Anforderung in Datei speichern. Geben Sie dann im Feld Anzeigename den FQDN des Computers an, für den Sie das Zertifikat anfordern.

    5. Klicken Sie auf Absenden.

    6. Wenn die Meldung Mögliche Skriptingverletzung angezeigt wird, klicken Sie auf Ja.

    7. Klicken Sie auf der Seite Zertifikat wurde ausgestellt auf Dieses Zertifikat installieren.

    8. Wenn das Dialogfeld Mögliche Skriptingverletzung angezeigt wird, klicken Sie auf Ja.

    9. Wenn auf der Seite Zertifikat wurde installiert die Meldung Das neue Zertifikat wurde installiert angezeigt wird, können Sie den Browser schließen.

So importieren Sie Zertifikate mithilfe von MOMCertImport

  1. Melden Sie sich beim Computer mit einem Konto an, das ein Mitglied der Verwaltungsgruppe ist.

  2. Klicken Sie auf dem Windows-Desktop auf Start und anschließend auf Ausführen.

  3. Geben Sie im Dialogfeld Ausführencmd ein, und klicken Sie dann auf OK.

  4. Geben Sie an der Eingabeaufforderung <Laufwerksbuchstabe> ein: (wobei <Laufwerksbuchstabe> für das Laufwerk steht, auf dem sich das Installationsmedium für Operations Manager 2007 befindet), und drücken Sie dann die EINGABETASTE.

  5. Geben Sie cd\SupportTools\i386 ein, und drücken Sie dann die EINGABETASTE.

    Hinweis

    Geben Sie auf 64-Bit-Computern Folgendes ein: cd\SupportTools\amd64

  6. Geben Sie Folgendes ein:

    MOMCertImport /SubjectName <Zertifikatantragstellername>

  7. Drücken Sie die EINGABETASTE.

Siehe auch

Tasks

Konfigurieren der Betriebskonsole für den Einsatz von SSL beim Herstellen einer Verbindung zu einem Berichtsserver in Operations Manager 2007
Abrufen eines Zertifikats mithilfe einer eigenständigen Windows Server 2003-Zertifizierungsstelle in Operations Manager 2007
Abrufen eines Zertifikats mithilfe einer Windows Server 2008-Unternehmenszertifizierungsstelle in Operations Manager 2007
Abrufen eines Zertifikats mithilfe einer eigenständigen Windows Server 2008-Zertifizierungsstelle in Operations Manager 2007
Entfernen von mit MOMCertImport importierten Zertifikaten in Operations Manager 2007