Abrufen eines Zertifikats mithilfe einer eigenständigen Windows Server 2003-Zertifizierungsstelle in Operations Manager 2007

Letzte Aktualisierung: Mai 2009

Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1

Die folgenden Verfahren enthalten die Schritte zum Anfordern eines Zertifikats von einer Unternehmenszertifizierungsstelle mithilfe der Zertifikatdienste, einem Feature von Windows 2000 Server und Windows Server 2003. Um ein Zertifikat auf diese Weise abzurufen, müssen Sie wie folgt vorgehen:

Führen Sie die folgenden Verfahren aus:

  • Laden Sie das vertrauenswürdige Stammzertifikat einer Zertifizierungsstelle herunter.

  • Importieren Sie das vertrauenswürdige Stammzertifikat.

  • Fordern Sie ein Zertifikat von der eigenständigen Zertifizierungsstelle an.

  • Genehmigen Sie die ausstehende Zertifikatanforderung. Wenn Ihre Zertifikatdienste so konfiguriert sind, dass Zertifikate automatisch genehmigt werden, fahren Sie mit dem nächsten Verfahren, dem Abrufen des Zertifikats, fort. Andernfalls muss der Zertifizierungsstellenadministrator das Zertifikat mithilfe des Verfahrens für den Zertifikatabruf ausstellen.

  • Rufen Sie das Zertifikat ab.

  • Importieren Sie das Zertifikat mithilfe des Dienstprogramms MOMCertImport in Operations Manager.

So laden Sie das vertrauenswürdige Stammzertifikat einer Zertifizierungsstelle herunter

  1. Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installiert haben (z. B. beim Gatewayserver oder beim Verwaltungsserver).

  2. Öffnen Sie Internet Explorer, und stellen Sie eine Verbindung zum Hostcomputer der Zertifikatdienste her (z. B. https://<Servername>/certsrv.

  3. Klicken Sie auf der Seite Willkommen auf Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste.

  4. Klicken Sie auf der Seite Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste auf Codierungsmethode sowie Base 64, und klicken Sie dann auf Download der Zertifizierungsstellen-Zertifikatkette.

  5. Klicken Sie im Dialogfeld Dateidownload auf Speichern, und speichern Sie das Zertifikat, z. B. VertrZS.p7b.

  6. Sobald der Downloadvorgang abgeschlossen ist, können Sie Internet Explorer schließen.

So importieren Sie das vertrauenswürdige Stammzertifikat

  1. Klicken Sie auf dem Windows-Desktop auf Start und anschließend auf Ausführen.

  2. Geben Sie im Dialogfeld Ausführen den Befehl mmc ein, und klicken Sie dann auf OK.

  3. Klicken Sie im Fenster Console1 auf Datei, und klicken Sie dann auf Snap-In hinzufügen/entfernen.

  4. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.

  5. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Zertifikate, und klicken Sie dann auf Hinzufügen.

  6. Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie dann auf Weiter.

  7. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und klicken Sie dann auf Fertig stellen.

  8. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.

  9. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.

  10. Erweitern Sie im Fenster Console1 zuerst Zertifikate (Lokaler Computer) und anschließend Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie dann auf Zertifikate.

  11. Klicken Sie mit der rechten Maustaste auf Zertifikate, wählen Sie Alle Aufgaben aus, und klicken Sie dann auf Importieren.

  12. Klicken Sie im Zertifikatimport-Assistenten auf Weiter.

  13. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen, und wählen Sie das Verzeichnis aus, in das Sie die Datei des Zertifizierungsstellenzertifikats heruntergeladen haben, z. B. VertrZS.p7b. Wählen Sie die Datei aus, und klicken Sie auf Öffnen.

  14. Klicken Sie auf der Seite Zu importierende Datei auf Alle Zertifikate in folgendem Speicher speichern, und stellen Sie sicher, dass Vertrauenswürdige Stammzertifizierungsstellen im Feld Zertifikatspeicher angezeigt wird. Klicken Sie dann auf Weiter.

  15. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

So fordern Sie ein Zertifikat von einer eigenständigen Zertifizierungsstelle an

  1. Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installieren möchten (z. B. beim Gatewayserver oder beim Verwaltungsserver).

  2. Öffnen Sie Internet Explorer, und stellen Sie eine Verbindung mit dem Computer her, der die Zertifikatdienste hostet (z. B. http://<Servername>/certsrv).

  3. Klicken Sie auf der Seite Willkommen der Microsoft Zertifikatdienste auf Zertifikat anfordern.

  4. Klicken Sie auf der Seite Zertifikat anfordern auf Erweiterte Zertifikatanforderung.

  5. Klicken Sie auf der Seite Erweiterte Zertifikatanforderung auf Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen.

  6. Führen Sie auf der Seite Erweiterte Zertifikatanforderung folgende Aktionen aus:

    1. Geben Sie unter Identifikationsinformationen im Feld Name einen eindeutigen Namen ein, z. B. den vollqualifizierten Domänennamen (FQDN, Fully Qualified Domain Name) des Computers, für den Sie das Zertifikat anfordern. Geben Sie in den restlichen Feldern die entsprechenden Informationen ein.

      Hinweis

      Wenn der in das Feld Name eingegebene FQDN nicht mit dem Computernamen übereinstimmt, wird ein Eingabefehler mit der Ereignis-ID 20052 angezeigt.

    2. Unter Typ des erforderlichen Zertifikats:

      Klicken Sie auf die Liste, und wählen Sie dann Sonstige aus.

      Geben Sie in das Feld OID Folgendes ein: 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2.

    3. Treffen Sie unter Schlüsseloptionen die folgende Auswahl:

      Klicken Sie auf Neuen Schlüsselsatz erstellen.

      Wählen Sie im Feld CSPMicrosoft Enhanced Cryptographic Provider v1.0 aus.

      Wählen Sie unter SchlüsselverwendungBeides aus.

      Wählen Sie unter Schlüsselgröße1024 aus.

      Wählen Sie Automatischer Schlüsselcontainername aus.

      Wählen Sie Schlüssel als "Exportierbar" markieren aus.

      Deaktivieren Sie Schlüssel in Datei exportieren (für Windows Server 2008 AD CS nicht erforderlich).

      Deaktivieren Sie Verstärkte Sicherheit für den privaten Schlüssel aktivieren.

      Klicken Sie auf Zertifikat im lokalen Zertifikatspeicher aufbewahren.

    4. Unter Weitere Optionen:

      Wählen Sie unter AnforderungsformatCMC aus.

      Wählen Sie in der Liste HashalgorithmusSHA-1 aus.

      Deaktivieren Sie Anforderung in Datei speichern.

      Geben Sie im Feld Geeigneter Name den FQDN des Computers ein, für den Sie das Zertifikat anfordern.

    5. Klicken Sie auf Absenden.

    6. Wenn ein Dialogfeld zu einermöglichen Sicherheitsverletzung angezeigt wird, klicken Sie auf Ja.

    7. Wenn die Seite Zertifikat steht noch aus angezeigt wird, können Sie den Browser schließen.

So genehmigen Sie die ausstehende Zertifikatanforderung

  1. Melden Sie sich als Zertifizierungsstellenadministrator beim Hostcomputer der Zertifikatdienste an.

  2. Klicken Sie auf dem Windows-Desktop auf Start > Programme > Verwaltung > Zertifizierungsstelle.

  3. Erweitern Sie in Zertifizierungsstelle den Knoten für den Namen Ihrer Zertifizierungsstelle, und klicken Sie dann auf Ausstehende Anforderungen.

  4. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf die ausstehende Anforderung des vorherigen Schritts, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Ausstellen.

  5. Klicken Sie auf Ausgestellte Zertifikate, und vergewissern Sie sich, dass das gerade ausgestellte Zertifikat aufgeführt wird.

  6. Schließen Sie Zertifizierungsstelle.

So rufen Sie das Zertifikat ab

  1. Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installieren möchten (z. B. beim Gatewayserver oder beim Verwaltungsserver).

  2. Öffnen Sie Internet Explorer, und stellen Sie eine Verbindung mit dem Computer her, der die Zertifikatdienste hostet (z. B. http://<Servername>/certsrv).

  3. Klicken Sie auf der Seite Willkommen der Microsoft Zertifikatdienste auf Status ausstehender Zertifikatanforderungen anzeigen.

  4. Klicken Sie auf der Seite Status ausstehender Zertifikatanforderungen anzeigen auf das angeforderte Zertifikat.

  5. Klicken Sie auf der Seite Zertifikat wurde ausgestellt auf Dieses Zertifikat installieren.

  6. Klicken Sie im Dialogfeld Mögliche Skriptingverletzung auf Ja.

  7. Wenn auf der Seite Zertifikat wurde installiert die Meldung Das neue Zertifikat wurde installiert angezeigt wird, können Sie den Browser schließen.

So importieren Sie Zertifikate mithilfe von MOMCertImport

  1. Melden Sie sich beim Computer mit einem Konto an, das ein Mitglied der Verwaltungsgruppe ist.

  2. Klicken Sie auf dem Windows-Desktop auf Start und anschließend auf Ausführen.

  3. Geben Sie im Dialogfeld Ausführencmd ein, und klicken Sie dann auf OK.

  4. Geben Sie an der Eingabeaufforderung <Laufwerksbuchstabe> ein: (wobei <Laufwerksbuchstabe> für das Laufwerk steht, auf dem sich das Installationsmedium für Operations Manager 2007 befindet), und drücken Sie dann die EINGABETASTE.

  5. Geben Sie cd\SupportTools\i386 ein, und drücken Sie dann die EINGABETASTE.

    Hinweis

    Geben Sie auf 64-Bit-Computern Folgendes ein: cd\SupportTools\amd64

  6. Geben Sie Folgendes ein:

    MOMCertImport

  7. Klicken Sie im Dialogfeld Zertifikat auswählen auf das Zertifikat, dass Sie im vorangehenden Abschnitt abgerufen haben, und klicken Sie dann auf OK.

    Hinweis

    Wenn mehrere Zertifikate angezeigt werden, wählen Sie das Zertifikat, für das als vorgesehener Verwendungszweck Serverauthentifizierung, Clientauthentifizierung aufgeführt ist, und das Zertifikat, dessen Anzeigename mit dem Anzeigenamen übereinstimmt, den Sie in Schritt 6d des Verfahrens "So fordern Sie ein Zertifikat von einer eigenständigen Zertifizierungsstelle an" definiert haben, aus.

  8. Im Befehlsdialogfeld wird die Meldung Das Zertifikat wurde installiert. Überprüfen Sie das Operations Manager-Protokoll in der Ereignisanzeige, um die Kanalkonnektivität zu gewährleisten angezeigt.

Siehe auch

Tasks

Konfigurieren der Betriebskonsole für den Einsatz von SSL beim Herstellen einer Verbindung zu einem Berichtsserver in Operations Manager 2007
Abrufen eines Zertifikats mithilfe einer Windows Server 2003-Unternehmenszertifizierungsstelle in Operations Manager 2007
Abrufen eines Zertifikats mithilfe einer Windows Server 2008-Unternehmenszertifizierungsstelle in Operations Manager 2007
Abrufen eines Zertifikats mithilfe einer eigenständigen Windows Server 2008-Zertifizierungsstelle in Operations Manager 2007
Entfernen von mit MOMCertImport importierten Zertifikaten in Operations Manager 2007