Abrufen eines Zertifikats mithilfe einer Windows Server 2008-Unternehmenszertifizierungsstelle in Operations Manager 2007
Letzte Aktualisierung: Mai 2009
Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1
Mit den Verfahren in diesem Thema können Sie ein Zertifikat von dem Windows Server 2008-Computer abrufen, der zum Hosten der Active Directory-Zertifikatdienste (AD CS) der Stammzertifizierungsstelle des Unternehmens verwendet wird. Verwenden Sie das Befehlszeilendienstprogramm CertReq, um ein Zertifikat anzufordern und zu akzeptieren, und eine Weboberfläche, um das Zertifikat zu übermitteln sowie abzurufen.
Es wird davon ausgegangen, dass AD CS installiert ist, eine HTTPS-Bindung erstellt und das zugehörige Zertifikat installiert wurde. Informationen zum Erstellen einer HTTPS-Bindung finden Sie unter dem Thema Konfigurieren einer HTTPS-Bindung für eine Windows Server 2008-Zertifizierungsstelle.
Wichtig
Der Inhalt dieses Themas bezieht sich auf die Standardeinstellungen für Windows Server 2008 AD CS; dies umfasst beispielsweise die Einstellung der Schlüssellänge auf 2048, die Auswahl von Microsoft Software Key Storage Provider als CSP sowie die Verwendung des Secure-Hash-Algorithmus (SHA-1). Werten Sie diese Auswahl im Hinblick auf die Anforderungen der Sicherheitsrichtlinien Ihres Unternehmens aus.
Die allgemeine Vorgehensweise für das Abrufen eines Zertifikats von einer Unternehmenszertifizierungsstelle ist wie folgt:
Laden Sie das vertrauenswürdige Stammzertifikat einer Zertifizierungsstelle herunter.
Importieren Sie das vertrauenswürdige Stammzertifikat.
Erstellen Sie eine Zertifikatvorlage.
Fügen Sie die Zertifikatvorlage dem Ordner Zertifikatvorlagen hinzu.
Erstellen Sie eine Setupinformationsdatei für die Verwendung mit dem Befehlszeilendienstprogramm CertReq.
Erstellen Sie eine Anforderungsdatei.
Reichen Sie eine Anforderung an die Zertifizierungsstelle ein.
Importieren Sie das Zertifikat in den Zertifikatspeicher.
Importieren Sie das Zertifikat mithilfe von MOMCertImport in Operations Manager.
So laden Sie das vertrauenswürdige Stammzertifikat einer Zertifizierungsstelle herunter
Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installiert haben (z. B. beim Gatewayserver oder beim Verwaltungsserver).
Öffnen Sie Internet Explorer, und stellen Sie eine Verbindung zum Hostcomputer der Zertifikatdienste her (z. B. https://<Servername>/certsrv.
Klicken Sie auf der Seite Willkommen auf Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste.
Klicken Sie auf der Seite Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste auf Codierungsmethode sowie Base 64, und klicken Sie dann auf Download der Zertifizierungsstellen-Zertifikatkette.
Klicken Sie im Dialogfeld Dateidownload auf Speichern, und speichern Sie das Zertifikat, z. B. VertrZS.p7b.
Sobald der Downloadvorgang abgeschlossen ist, können Sie Internet Explorer schließen.
So importieren Sie das vertrauenswürdige Stammzertifikat
Klicken Sie auf dem Windows-Desktop auf Start und anschließend auf Ausführen.
Geben Sie im Dialogfeld Ausführen den Befehl mmc ein, und klicken Sie dann auf OK.
Klicken Sie im Fenster Console1 auf Datei, und klicken Sie dann auf Snap-In hinzufügen/entfernen.
Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.
Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Zertifikate, und klicken Sie dann auf Hinzufügen.
Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie dann auf Weiter.
Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und klicken Sie dann auf Fertig stellen.
Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.
Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.
Erweitern Sie im Fenster Console1 zuerst Zertifikate (Lokaler Computer) und anschließend Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie dann auf Zertifikate.
Klicken Sie mit der rechten Maustaste auf Zertifikate, wählen Sie Alle Aufgaben aus, und klicken Sie dann auf Importieren.
Klicken Sie im Zertifikatimport-Assistenten auf Weiter.
Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen, und wählen Sie das Verzeichnis aus, in das Sie die Datei des Zertifizierungsstellenzertifikats heruntergeladen haben, z. B. VertrZS.p7b. Wählen Sie die Datei aus, und klicken Sie auf Öffnen.
Klicken Sie auf der Seite Zu importierende Datei auf Alle Zertifikate in folgendem Speicher speichern, und stellen Sie sicher, dass Vertrauenswürdige Stammzertifizierungsstellen im Feld Zertifikatspeicher angezeigt wird. Klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.
So erstellen Sie eine Zertifikatvorlage
Klicken Sie auf dem Computer mit der Unternehmenszertifizierungsstelle auf dem Windows-Desktop auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.
Erweitern Sie im Navigationsbereich den Namen der Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten.
Klicken Sie in der Konsole Zertifikatvorlagen im Ergebnisbereich mit der rechten Maustaste auf IPSec (Offlineanforderung), und klicken Sie dann auf Doppelte Vorlage.
Wählen Sie im Dialogfeld Doppelte Vorlage die Option Windows Server 2003 Enterprise Edition, und klicken Sie dann auf OK.
Hinweis
Die Option für die Windows Server 2008 Enterprise Edition wird derzeit nicht unterstützt.
Geben Sie auf der Registerkarte Allgemein im Dialogfeld Eigenschaften der neuen Vorlage in das Textfeld Vorlagenanzeigename einen neuen Namen für diese Vorlage ein (z. B. OperationsManagerZert).
Wählen Sie auf der Registerkarte Anforderungsverarbeitung die Option Exportieren von privatem Schlüssel zulassen aus.
Klicken Sie auf die Registerkarte Erweiterungen. Klicken Sie dann unter Erweiterungen in dieser Vorlage auf Anwendungsrichtlinien und anschließend auf Bearbeiten.
Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf IP-Sicherheits-IKE, dazwischenliegend, und klicken Sie dann auf Entfernen.
Klicken Sie auf Hinzufügen, und halten Sie in der Liste Anwendungsrichtlinien die STRG-Taste gedrückt, um mehrere Elemente aus der Liste auszuwählen. Klicken Sie auf Clientauthentifizierung und Serverauthentifizierung, und klicken Sie dann auf OK.
Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf OK.
Klicken Sie auf die Registerkarte Sicherheit, und vergewissern Sie sich, dass die Gruppe Authentifizierte Benutzer über die Berechtigungen Lesen und Registrieren verfügt. Klicken Sie dann auf OK.
Schließen Sie die Konsole Zertifikatvorlagen.
So fügen Sie die Vorlage dem Ordner "Zertifikatvorlagen" hinzu
Klicken Sie auf dem Computer mit der Unternehmenszertifizierungsstelle im Zertifizierungsstellen-Snap-In mit der rechten Maustaste auf den Ordner Zertifikatvorlagen, zeigen Sie auf Neu, und klicken Sie dann auf Auszustellende Zertifikatvorlage.
Wählen Sie im Feld Zertifikatvorlagen aktivieren die von Ihnen erstellte Zertifikatvorlage aus, z. B. OperationsManagerZert, und klicken Sie dann auf OK.
So erstellen Sie eine Setupinformationsdatei (.inf)
Klicken Sie auf dem Hostcomputer der Operations Manager-Komponente, für die Sie ein Zertifikat anfordern möchten, auf Start und dann auf Ausführen.
Geben Sie im Dialogfeld AusführenNotepad ein, und klicken Sie dann auf OK.
Erstellen Sie eine Textdatei mit dem folgenden Inhalt:
[NewRequest]
Subject="CN=<FQDN des Computers, für den Sie das Zertifikat erstellen (z. B. Gatewayserver oder Verwaltungsserver).>"
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
Speichern Sie die Datei mit der Dateinamenerweiterung .inf (z. B. RequestConfig.inf).
Schließen Sie Microsoft Editor.
So erstellen Sie eine Anforderungsdatei für die Verwendung mit einer Unternehmenszertifizierungsstelle
Klicken Sie auf dem Hostcomputer der Operations Manager-Komponente, für die Sie ein Zertifikat anfordern möchten, auf Start und dann auf Ausführen.
Geben Sie im Dialogfeld Ausführencmd ein, und klicken Sie dann auf OK.
Geben Sie im Befehlsfenster CertReq –New –f RequestConfig.inf CertRequest.reqein, und drücken Sie dann die EINGABETASTE.
Verwenden Sie Microsoft Editor, um die so entstandene Datei (z. B. CertRequest.req) zu öffnen, und kopieren Sie den Inhalt dieser Datei in die Zwischenablage.
So reichen Sie eine Anforderung an eine Unternehmenszertifizierungsstelle ein
Öffnen Sie auf dem Hostcomputer der Operations Manager-Komponente, für die Sie ein Zertifikat anfordern möchten, Internet Explorer, und stellen Sie dann eine Verbindung zum Hostcomputer der Zertifikatdienste her (z. B. https://<Servername>/certsrv).
Hinweis
Wurde auf der Zertifikatdienste-Website keine HTTPS-Bindung konfiguriert, kann der Browser keine Verbindung herstellen. Siehe hierzu das Thema Konfigurieren einer HTTPS-Bindung für eine Windows Server 2008-Zertifizierungsstelle in diesem Handbuch.
Klicken Sie auf der Seite Willkommen der Active Directory-Zertifikatdienste auf Zertifikat anfordern.
Klicken Sie auf der Seite Zertifikat anfordern auf Erweiterte Zertifikatanforderung.
Klicken Sie auf der Seite Erweiterte Zertifikatanforderung auf Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.
Fügen Sie auf der Seite Zertifikat- oder Erneuerungsanforderung einreichen im Textfeld Gespeicherte Anforderung den Inhalt der Datei CertRequest.req ein, die Sie in Schritt 4 des vorangegangenen Verfahrens kopiert haben.
Wählen Sie für Zertifikatvorlage die von Ihnen erstellte Zertifikatvorlage aus (z. B. OperationsManagerZert), und klicken Sie dann auf Absenden.
Wählen Sie auf der Seite Zertifikat wurde ausgestellt die Option Base-64-codiert aus, und klicken Sie dann auf Download des Zertifikats.
Klicken Sie im Dialogfeld Dateidownload - Sicherheitswarnung auf Speichern, und speichern Sie das Zertifikat (z. B. unter dem Namen NeuesZertifikat.cer).
Schließen Sie Internet Explorer.
So importieren Sie das Zertifikat in den Zertifikatspeicher
Klicken Sie auf dem Hostcomputer der Operations Manager-Komponente, für die Sie das Zertifikat konfigurieren möchten, auf Start und dann auf Ausführen.
Geben Sie im Dialogfeld Ausführencmd ein, und klicken Sie dann auf OK.
Geben Sie im Befehlsfenster CertReq –Accept NewCertifiate.cerein, und drücken Sie dann die EINGABETASTE.
So importieren Sie das Zertifikat mithilfe von MOMCertImport in Operations Manager
Melden Sie sich bei dem Computer, auf dem Sie das Zertifikat installiert haben, mit einem Konto an, das Mitglied der Verwaltungsgruppe ist.
Klicken Sie auf dem Windows-Desktop auf Start und anschließend auf Ausführen.
Geben Sie im Dialogfeld Ausführencmd ein, und klicken Sie dann auf OK.
Geben Sie an der Eingabeaufforderung <Laufwerksbuchstabe> ein: (wobei <Laufwerksbuchstabe> für das Laufwerk steht, auf dem sich das Installationsmedium für Operations Manager 2007 befindet), und drücken Sie dann die EINGABETASTE.
Geben Sie cd\SupportTools\i386 ein, und drücken Sie dann die EINGABETASTE.
Hinweis
Geben Sie auf 64-Bit-Computern Folgendes ein: cd\SupportTools\amd64
Geben Sie Folgendes ein:
MOMCertImport /SubjectName <Zertifikatantragstellername>
Drücken Sie die EINGABETASTE.
Siehe auch
Tasks
Konfigurieren der Betriebskonsole für den Einsatz von SSL beim Herstellen einer Verbindung zu einem Berichtsserver in Operations Manager 2007
Abrufen eines Zertifikats mithilfe einer Windows Server 2003-Unternehmenszertifizierungsstelle in Operations Manager 2007
Abrufen eines Zertifikats mithilfe einer eigenständigen Windows Server 2003-Zertifizierungsstelle in Operations Manager 2007
Abrufen eines Zertifikats mithilfe einer eigenständigen Windows Server 2008-Zertifizierungsstelle in Operations Manager 2007
Entfernen von mit MOMCertImport importierten Zertifikaten in Operations Manager 2007