Schrittweise Beispielbereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle
Gilt für: Configuration Manager (Current Branch)
Diese schrittweise Beispielbereitstellung, die eine Windows Server 2008-Zertifizierungsstelle (Ca) verwendet, enthält Verfahren, die Ihnen zeigen, wie Sie die PKI-Zertifikate (Public Key Infrastructure) erstellen und bereitstellen, die Configuration Manager verwenden. In diesen Verfahren werden eine Unternehmenszertifizierungsstelle (Ca) und Zertifikatvorlagen verwendet. Die Schritte sind nur für ein Testnetzwerk geeignet, als Proof of Concept.
Da es keine einzelne Bereitstellungsmethode für die erforderlichen Zertifikate gibt, finden Sie in der Dokumentation zur jeweiligen PKI-Bereitstellung die erforderlichen Verfahren und bewährten Methoden zum Bereitstellen der erforderlichen Zertifikate für eine Produktionsumgebung. Weitere Informationen zu den Zertifikatanforderungen finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.
Tipp
Sie können die Anweisungen in diesem Thema für Betriebssysteme anpassen, die nicht im Abschnitt Testnetzwerkanforderungen dokumentiert sind. Wenn Sie die ausstellende Zertifizierungsstelle jedoch auf Windows Server 2012 ausführen, werden Sie nicht zur Eingabe der Zertifikatvorlagenversion aufgefordert. Geben Sie stattdessen dies auf der Registerkarte Kompatibilität der Vorlageneigenschaften an:
-
Zertifizierungsstelle: Windows Server 2003
- Zertifikatempfänger: Windows XP/Server 2003
Testen der Netzwerkanforderungen
Die schritt-für-Schritt-Anleitungen enthalten die folgenden Anforderungen:
Das Testnetzwerk wird Active Directory Domain Services mit Windows Server 2008 ausgeführt und als einzelne Domäne und gesamtstruktur installiert.
Sie verfügen über einen Mitgliedsserver, auf dem Windows Server 2008 Enterprise Edition ausgeführt wird, auf dem die Rolle Active Directory-Zertifikatdienste installiert ist, und der als Stammzertifizierungsstelle (Ca) des Unternehmens eingerichtet ist.
Sie haben einen Computer installiert, auf dem Windows Server 2008 (Standard Edition oder Enterprise Edition, R2 oder höher) installiert ist, auf dem der Computer als Mitgliedsserver festgelegt ist und auf dem Internetinformationsdienste (Internet Information Services, IIS) installiert sind. Dieser Computer ist der Configuration Manager Standortsystemserver, den Sie mit einem vollqualifizierten Intranetdomänennamen (FQDN) zur Unterstützung von Clientverbindungen im Intranet und einem Internet-FQDN konfigurieren, wenn Sie mobile Geräte unterstützen müssen, die von Configuration Manager und Clients im Internet registriert sind.
Sie verfügen über einen Windows Vista-Client, auf dem das neueste Service Pack installiert ist, und dieser Computer ist mit einem Computernamen eingerichtet, der ASCII-Zeichen enthält und mit der Domäne verknüpft ist. Dieser Computer ist ein Configuration Manager Clientcomputer.
Sie können sich mit einem Stammdomänenadministratorkonto oder einem Unternehmensdomänenadministratorkonto anmelden und dieses Konto für alle Verfahren in dieser Beispielbereitstellung verwenden.
Übersicht über die Zertifikate
In der folgenden Tabelle sind die Typen von PKI-Zertifikaten aufgeführt, die möglicherweise für Configuration Manager erforderlich sind, und ihre Verwendung wird beschrieben.
Zertifikatanforderung | Zertifikatbeschreibung |
---|---|
Webserverzertifikat für Standortsysteme, auf denen IIS ausgeführt wird | Dieses Zertifikat wird verwendet, um Daten zu verschlüsseln und den Server bei Clients zu authentifizieren. Es muss extern von Configuration Manager auf Standortsystemservern installiert werden, auf denen Internetinformationsdienste (IIS) ausgeführt werden und die in Configuration Manager für die Verwendung von HTTPS eingerichtet sind. Die Schritte zum Einrichten und Installieren dieses Zertifikats finden Sie in diesem Thema unter Bereitstellen des Webserverzertifikats für Standortsysteme, auf denen IIS ausgeführt wird . |
Dienstzertifikat für Clients zum Herstellen einer Verbindung mit cloudbasierten Verteilungspunkten | Die Schritte zum Konfigurieren und Installieren dieses Zertifikats finden Sie unter Bereitstellen des Dienstzertifikats für cloudbasierte Verteilungspunkte in diesem Thema. Wichtig: Dieses Zertifikat wird in Verbindung mit dem Windows Azure-Verwaltungszertifikat verwendet. Weitere Informationen zum Verwaltungszertifikat finden Sie unter Erstellen eines Verwaltungszertifikats und Hinzufügen eines Verwaltungszertifikats zu einem Windows Azure-Abonnement. |
Clientzertifikat für Windows-Computer | Dieses Zertifikat wird verwendet, um Configuration Manager Clientcomputer bei Standortsystemen zu authentifizieren, die für die Verwendung von HTTPS eingerichtet sind. Es kann auch für Verwaltungspunkte und Zustandsmigrationspunkte verwendet werden, um deren Betriebsstatus zu überwachen, wenn sie für die Verwendung von HTTPS eingerichtet sind. Es muss extern von Configuration Manager auf Computern installiert werden. Die Schritte zum Einrichten und Installieren dieses Zertifikats finden Sie unter Bereitstellen des Clientzertifikats für Windows-Computer in diesem Thema. |
Clientzertifikat für Verteilungspunkte | Dieses Zertifikat hat zwei Zwecke: Das Zertifikat wird verwendet, um den Verteilungspunkt bei einem HTTPS-fähigen Verwaltungspunkt zu authentifizieren, bevor der Verteilungspunkt Statusmeldungen sendet. Wenn die Option PXE-Unterstützung für Clientverteilungspunkt aktivieren ausgewählt ist, wird das Zertifikat an Computer gesendet, auf denen PXE gestartet wird, damit diese während der Bereitstellung des Betriebssystems eine Verbindung mit einem HTTPS-fähigen Verwaltungspunkt herstellen können. Die Schritte zum Einrichten und Installieren dieses Zertifikats finden Sie unter Bereitstellen des Clientzertifikats für Verteilungspunkte in diesem Thema. |
Registrierungszertifikat für mobile Geräte | Dieses Zertifikat wird verwendet, um Configuration Manager Clients mobiler Geräte bei Standortsystemen zu authentifizieren, die für die Verwendung von HTTPS eingerichtet sind. Sie muss im Rahmen der Registrierung mobiler Geräte in Configuration Manager installiert werden, und Sie wählen die konfigurierte Zertifikatvorlage als Clienteinstellung für mobile Geräte aus. Die Schritte zum Einrichten dieses Zertifikats finden Sie unter Bereitstellen des Registrierungszertifikats für mobile Geräte in diesem Thema. |
Clientzertifikat für Mac-Computer | Sie können dieses Zertifikat von einem Mac-Computer anfordern und installieren, wenn Sie Configuration Manager Registrierung verwenden und die konfigurierte Zertifikatvorlage als Clienteinstellung für mobile Geräte auswählen. Die Schritte zum Einrichten dieses Zertifikats finden Sie unter Bereitstellen des Clientzertifikats für Mac-Computer in diesem Thema. |
Bereitstellen des Webserverzertifikats für Standortsysteme, auf denen IIS ausgeführt wird
Diese Zertifikatbereitstellung umfasst die folgenden Verfahren:
Erstellen und Ausstellen der Webserverzertifikatvorlage bei der Zertifizierungsstelle
Anfordern des Webserverzertifikats
Konfigurieren von IIS für die Verwendung des Webserverzertifikats
Erstellen und Ausstellen der Webserverzertifikatvorlage bei der Zertifizierungsstelle
Mit diesem Verfahren wird eine Zertifikatvorlage für Configuration Manager Standortsysteme erstellt und der Zertifizierungsstelle hinzugefügt.
So erstellen Sie die Webserverzertifikatvorlage für die Zertifizierungsstelle und stellen sie aus
Erstellen Sie eine Sicherheitsgruppe mit dem Namen ConfigMgr IIS Servers, die über die Mitgliedsserver verfügt, um Configuration Manager Standortsysteme zu installieren, auf denen IIS ausgeführt wird.
Klicken Sie auf dem Mitgliedsserver, auf dem Zertifikatdienste installiert sind, in der Zertifizierungsstelle-Konsole mit der rechten Maustaste auf Zertifikatvorlagen , und wählen Sie dann Verwalten aus, um die Zertifikatvorlagenkonsole zu laden.
Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag mit Webserver in der Spalte Vorlagenanzeigename , und wählen Sie dann Vorlage duplizieren aus.
Stellen Sie im Dialogfeld Vorlage duplizieren sicher, dass Windows 2003 Server, Enterprise Edition ausgewählt ist, und klicken Sie dann auf OK.
Wichtig
Wählen Sie nicht Windows 2008 Server, Enterprise Edition aus.
Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Vorlagennamen ein, z. B. ConfigMgr-Webserverzertifikat, um die Webzertifikate zu generieren, die auf Configuration Manager-Standortsystemen verwendet werden.
Wählen Sie die Registerkarte Antragstellername aus, und stellen Sie sicher, dass In der Anforderung angeben ausgewählt ist.
Wählen Sie die Registerkarte Sicherheit aus, und entfernen Sie dann die Berechtigung Registrieren aus den Sicherheitsgruppen Domänenadministratoren und Unternehmensadministratoren .
Wählen Sie Hinzufügen aus, geben Sie ConfigMgr IIS Server in das Textfeld ein, und klicken Sie dann auf OK.
Wählen Sie die Berechtigung Registrieren für diese Gruppe aus, und löschen Sie die Leseberechtigung nicht.
Wählen Sie OK aus, und schließen Sie dann die Zertifikatvorlagenkonsole.
Klicken Sie in der Konsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neu und dann Zertifikatvorlage aus, die ausgegeben werden soll.
Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neue Vorlage aus, die Sie gerade erstellt haben, ConfigMgr-Webserverzertifikat, und klicken Sie dann auf OK.
Wenn Sie keine weiteren Zertifikate erstellen und ausstellen müssen, schließen Sie die Zertifizierungsstelle.
Anfordern des Webserverzertifikats
Mit diesem Verfahren können Sie die Intranet- und Internet-FQDN-Werte angeben, die in den Eigenschaften des Standortsystemservers eingerichtet werden. Anschließend wird das Webserverzertifikat auf dem Mitgliedsserver installiert, auf dem IIS ausgeführt wird.
So fordern Sie das Webserverzertifikat an
Starten Sie den Mitgliedsserver, auf dem IIS ausgeführt wird, neu, um sicherzustellen, dass der Computer mithilfe der von Ihnen konfigurierten Berechtigungen Lesen und Registrieren auf die von Ihnen erstellte Zertifikatvorlage zugreifen kann.
Wählen Sie Start aus, wählen Sie Ausführen aus, und geben Sie dann mmc.exe ein. Wählen Sie in der leeren Konsole Datei und dann Snap-In hinzufügen/entfernen aus.
Wählen Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen die Option Zertifikate aus der Liste Verfügbare Snap-Ins aus, und wählen Sie dann Hinzufügen aus.
Wählen Sie im Dialogfeld Zertifikat-Snap-Indie Option Computerkonto und dann Weiter aus.
Stellen Sie im Dialogfeld Computer auswählen sicher, dass Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und wählen Sie dann Fertig stellen aus.
Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen auf OK.
Erweitern Sie in der Konsole Zertifikate (Lokaler Computer), und wählen Sie dann Persönlich aus.
Klicken Sie mit der rechten Maustaste auf Zertifikate, wählen Sie Alle Aufgaben und dann Neues Zertifikat anfordern aus.
Wählen Sie auf der Seite Before You Begin (Vorbereitung ) die Option Weiter aus.
Wenn die Seite Zertifikatregistrierungsrichtlinie auswählen angezeigt wird, wählen Sie Weiter aus.
Identifizieren Sie auf der Seite Zertifikate anfordern das ConfigMgr-Webserverzertifikat aus der Liste der verfügbaren Zertifikate, und wählen Sie dann Weitere Informationen erforderlich aus, um sich für dieses Zertifikat zu registrieren. Klicken Sie hier, um Einstellungen zu konfigurieren.
Nehmen Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Betreff keine Änderungen am Antragstellernamen vor. Dies bedeutet, dass das Feld Wert für den Abschnitt Antragstellername leer bleibt. Wählen Sie stattdessen im Abschnitt Alternativer Name die Dropdownliste Typ und dann DNS aus.
Geben Sie im Feld Wert die FQDN-Werte an, die Sie in den Configuration Manager Standortsystemeigenschaften angeben, und wählen Sie dann OK aus, um das Dialogfeld Zertifikateigenschaften zu schließen.
Beispiele:
Wenn das Standortsystem nur Clientverbindungen aus dem Intranet akzeptiert und der Intranet-FQDN des Standortsystemservers server1.internal.contoso.com ist, geben Sie server1.internal.contoso.com ein, und wählen Sie dann Hinzufügen aus.
Wenn das Standortsystem Clientverbindungen aus dem Intranet und dem Internet akzeptiert und der Intranet-FQDN des Standortsystemservers server1.internal.contoso.com ist und der Internet-FQDN des Standortsystemservers server.contoso.com ist:
Geben Sie server1.internal.contoso.com ein, und wählen Sie dann Hinzufügen aus.
Geben Sie server.contoso.com ein, und wählen Sie dann Hinzufügen aus.
Hinweis
Sie können die FQDNs für Configuration Manager in beliebiger Reihenfolge angeben. Überprüfen Sie jedoch, ob alle Geräte, die das Zertifikat verwenden werden, z. B. mobile Geräte und Proxywebserver, einen alternativen Antragstellernamen (Certificate Subject Alternative Name, SAN) und mehrere Werte im SAN verwenden können. Wenn Geräte eine eingeschränkte Unterstützung für SAN-Werte in Zertifikaten haben, müssen Sie möglicherweise die Reihenfolge der FQDNs ändern oder stattdessen den Antragstellerwert verwenden.
Wählen Sie auf der Seite Zertifikate anfordern die Option ConfigMgr-Webserverzertifikat aus der Liste der verfügbaren Zertifikate aus, und wählen Sie dann Registrieren aus.
Warten Sie auf der Seite Zertifikatinstallationsergebnisse , bis das Zertifikat installiert ist, und wählen Sie dann Fertig stellen aus.
Schließen Sie Zertifikate (lokaler Computer).
Konfigurieren von IIS für die Verwendung des Webserverzertifikats
Dieses Verfahren bindet das installierte Zertifikat an die IIS-Standardwebsite.
So richten Sie IIS für die Verwendung des Webserverzertifikats ein
Wählen Sie auf dem Mitgliedsserver, auf dem IIS installiert ist, Start, Programme, Verwaltung und dann Internetinformationsdienste-Manager aus.
Erweitern Sie Websites, klicken Sie mit der rechten Maustaste auf Standardwebsite, und wählen Sie dann Bindungen bearbeiten aus.
Wählen Sie den Eintrag https und dann Bearbeiten aus.
Wählen Sie im Dialogfeld Websitebindung bearbeiten das Zertifikat aus, das Sie mithilfe der Vorlage ConfigMgr-Webserverzertifikate angefordert haben, und klicken Sie dann auf OK.
Hinweis
Wenn Sie nicht sicher sind, welches Zertifikat das richtige ist, wählen Sie eines aus, und wählen Sie dann Ansicht aus. Auf diese Weise können Sie die ausgewählten Zertifikatdetails mit den Zertifikaten im Zertifikat-Snap-In vergleichen. Das Snap-In Zertifikate zeigt beispielsweise die Zertifikatvorlage an, die zum Anfordern des Zertifikats verwendet wurde. Anschließend können Sie den Zertifikatfingerabdruck des Zertifikats, das mithilfe der Vorlage ConfigMgr-Webserverzertifikate angefordert wurde, mit dem Zertifikatfingerabdruck des Zertifikats vergleichen, das derzeit im Dialogfeld Websitebindung bearbeiten ausgewählt ist.
Klicken Sie im Dialogfeld Websitebindung bearbeiten auf OK, und klicken Sie dann auf Schließen.
Schließen Sie den Internetinformationsdienste-Manager (IIS).
Der Mitgliedsserver ist jetzt mit einem Configuration Manager Webserverzertifikat eingerichtet.
Wichtig
Wenn Sie den Configuration Manager Standortsystemserver auf diesem Computer installieren, stellen Sie sicher, dass Sie in den Standortsystemeigenschaften dieselben FQDNs angeben, die Sie beim Anfordern des Zertifikats angegeben haben.
Bereitstellen des Dienstzertifikats für cloudbasierte Verteilungspunkte
Diese Zertifikatbereitstellung umfasst die folgenden Verfahren:
Erstellen und Ausstellen einer benutzerdefinierten Webserverzertifikatvorlage bei der Zertifizierungsstelle
Mit diesem Verfahren wird eine benutzerdefinierte Zertifikatvorlage erstellt, die auf der Zertifikatvorlage des Webservers basiert. Das Zertifikat ist für Configuration Manager cloudbasierte Verteilungspunkte vorgesehen, und der private Schlüssel muss exportierbar sein. Nachdem die Zertifikatvorlage erstellt wurde, wird sie der Zertifizierungsstelle hinzugefügt.
Hinweis
In diesem Verfahren wird eine andere Zertifikatvorlage als die Webserverzertifikatvorlage verwendet, die Sie für Standortsysteme erstellt haben, auf denen IIS ausgeführt wird. Obwohl beide Zertifikate eine Serverauthentifizierungsfunktion erfordern, müssen Sie für das Zertifikat für cloudbasierte Verteilungspunkte einen benutzerdefinierten Wert für den Antragstellernamen eingeben, und der private Schlüssel muss exportiert werden. Aus Sicherheitsgründen sollten Sie keine Zertifikatvorlagen so einrichten, dass der private Schlüssel exportiert werden kann, es sei denn, diese Konfiguration ist erforderlich. Der cloudbasierte Verteilungspunkt erfordert diese Konfiguration, da Sie das Zertifikat als Datei importieren müssen, anstatt es aus dem Zertifikatspeicher auszuwählen.
Wenn Sie eine neue Zertifikatvorlage für dieses Zertifikat erstellen, können Sie die Computer einschränken, die ein Zertifikat anfordern können, dessen privater Schlüssel exportiert werden kann. In einem Produktionsnetzwerk können Sie auch erwägen, die folgenden Änderungen für dieses Zertifikat hinzuzufügen:
- Erfordere die Genehmigung, um das Zertifikat zu installieren, um zusätzliche Sicherheit zu gewährleisten.
- Erhöhen Sie die Gültigkeitsdauer des Zertifikats. Da Sie das Zertifikat jedes Mal exportieren und importieren müssen, bevor es abläuft, verringert eine Erhöhung des Gültigkeitszeitraums, wie oft Sie dieses Verfahren wiederholen müssen. Eine Erhöhung des Gültigkeitszeitraums verringert jedoch auch die Sicherheit des Zertifikats, da es einem Angreifer mehr Zeit bietet, den privaten Schlüssel zu entschlüsseln und das Zertifikat zu stehlen.
- Verwenden Sie einen benutzerdefinierten Wert im San (Subject Alternative Name) des Zertifikats, um dieses Zertifikat anhand von Standardwebserverzertifikaten zu identifizieren, die Sie mit IIS verwenden.
So erstellen Sie die benutzerdefinierte Webserverzertifikatvorlage für die Zertifizierungsstelle und stellen sie aus
Erstellen Sie eine Sicherheitsgruppe mit dem Namen ConfigMgr-Standortserver, die über die Mitgliedsserver verfügt, um Configuration Manager primären Standortserver zu installieren, die cloudbasierte Verteilungspunkte verwalten.
Klicken Sie auf dem Mitgliedsserver, auf dem die Konsole der Zertifizierungsstelle ausgeführt wird, mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie dann Verwalten aus, um die Verwaltungskonsole für Zertifikatvorlagen zu laden.
Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag mit Webserver in der Spalte Vorlagenanzeigename , und wählen Sie dann Vorlage duplizieren aus.
Stellen Sie im Dialogfeld Vorlage duplizieren sicher, dass Windows 2003 Server, Enterprise Edition ausgewählt ist, und klicken Sie dann auf OK.
Wichtig
Wählen Sie nicht Windows 2008 Server, Enterprise Edition aus.
Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Vorlagennamen ein, z. B. ConfigMgr Cloud-Based Verteilungspunktzertifikat, um das Webserverzertifikat für cloudbasierte Verteilungspunkte zu generieren.
Wählen Sie die Registerkarte Anforderungsverarbeitung und dann Exportieren von privatem Schlüssel zulassen aus.
Wählen Sie die Registerkarte Sicherheit aus, und entfernen Sie dann die Berechtigung Registrieren aus der Sicherheitsgruppe Unternehmensadministratoren .
Wählen Sie Hinzufügen aus, geben Sie ConfigMgr-Standortserver in das Textfeld ein, und klicken Sie dann auf OK.
Wählen Sie die Berechtigung Registrieren für diese Gruppe aus, und löschen Sie die Leseberechtigung nicht.
Wählen Sie die Registerkarte Kryptografie aus, und stellen Sie sicher, dass mindeste Schlüsselgröße auf 2048 festgelegt wurde.
Klicken Sie auf OK, und schließen Sie dann die Zertifikatvorlagenkonsole.
Klicken Sie in der Konsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neu und dann Zertifikatvorlage aus, die ausgegeben werden soll.
Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neue Vorlage aus, die Sie gerade erstellt haben, ConfigMgr Cloud-Based Verteilungspunktzertifikat, und klicken Sie dann auf OK.
Wenn Sie keine weiteren Zertifikate erstellen und ausstellen müssen, schließen Sie die Zertifizierungsstelle.
Anfordern des benutzerdefinierten Webserverzertifikats
Diese Prozedur fordert das benutzerdefinierte Webserverzertifikat an und installiert es dann auf dem Mitgliedsserver, auf dem der Standortserver ausgeführt wird.
So fordern Sie das benutzerdefinierte Webserverzertifikat an
Starten Sie den Mitgliedsserver neu, nachdem Sie die Sicherheitsgruppe ConfigMgr-Standortserver erstellt und konfiguriert haben, um sicherzustellen, dass der Computer mithilfe der von Ihnen konfigurierten Berechtigungen Lesen und Registrieren auf die von Ihnen erstellte Zertifikatvorlage zugreifen kann.
Wählen Sie Start aus, wählen Sie Ausführen aus, und geben Sie dann mmc.exe ein. Wählen Sie in der leeren Konsole Datei und dann Snap-In hinzufügen/entfernen aus.
Wählen Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen die Option Zertifikate aus der Liste Verfügbare Snap-Ins aus, und wählen Sie dann Hinzufügen aus.
Wählen Sie im Dialogfeld Zertifikat-Snap-Indie Option Computerkonto und dann Weiter aus.
Stellen Sie im Dialogfeld Computer auswählen sicher, dass Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und wählen Sie dann Fertig stellen aus.
Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen auf OK.
Erweitern Sie in der Konsole Zertifikate (Lokaler Computer), und wählen Sie dann Persönlich aus.
Klicken Sie mit der rechten Maustaste auf Zertifikate, wählen Sie Alle Aufgaben und dann Neues Zertifikat anfordern aus.
Wählen Sie auf der Seite Before You Begin (Vorbereitung ) die Option Weiter aus.
Wenn die Seite Zertifikatregistrierungsrichtlinie auswählen angezeigt wird, wählen Sie Weiter aus.
Identifizieren Sie auf der Seite Zertifikate anfordern das ConfigMgr-Cloud-Based Verteilungspunktzertifikat aus der Liste der verfügbaren Zertifikate, und wählen Sie dann Weitere Informationen erforderlich aus, um sich für dieses Zertifikat zu registrieren. Wählen Sie hier aus, um Einstellungen zu konfigurieren.
Wählen Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Betreff für den Antragstellernamendie Option Allgemeiner Name als Typ aus.
Geben Sie im Feld Wert den dienstnamen und den Domänennamen ihrer Wahl an, indem Sie ein FQDN-Format verwenden. Beispiel: clouddp1.contoso.com.
Hinweis
Legen Sie den Dienstnamen in Ihrem Namespace eindeutig fest. Sie verwenden DNS, um einen Alias (CNAME-Eintrag) zu erstellen, um diesen Dienstnamen einem automatisch generierten Bezeichner (GUID) und einer IP-Adresse aus Windows Azure zuzuordnen.
Wählen Sie Hinzufügen und dann OK aus, um das Dialogfeld Zertifikateigenschaften zu schließen.
Wählen Sie auf der Seite Zertifikate anfordern die Option ConfigMgr Cloud-Based Verteilungspunktzertifikat aus der Liste der verfügbaren Zertifikate aus, und wählen Sie dann Registrieren aus.
Warten Sie auf der Seite Zertifikatinstallationsergebnisse , bis das Zertifikat installiert ist, und wählen Sie dann Fertig stellen aus.
Schließen Sie Zertifikate (lokaler Computer).
Exportieren des benutzerdefinierten Webserverzertifikats für cloudbasierte Verteilungspunkte
Mit dieser Prozedur wird das benutzerdefinierte Webserverzertifikat in eine Datei exportiert, sodass es beim Erstellen des cloudbasierten Verteilungspunkts importiert werden kann.
So exportieren Sie das benutzerdefinierte Webserverzertifikat für cloudbasierte Verteilungspunkte
Klicken Sie in der Konsole Zertifikate (Lokaler Computer) mit der rechten Maustaste auf das Zertifikat, das Sie gerade installiert haben, wählen Sie Alle Aufgaben und dann Exportieren aus.
Wählen Sie im Zertifikatexport-Assistenten die Option Weiter aus.
Wählen Sie auf der Seite Privaten Schlüssel exportierendie Option Ja, privaten Schlüssel exportieren und dann Weiter aus.
Hinweis
Wenn diese Option nicht verfügbar ist, wurde das Zertifikat ohne die Option zum Exportieren des privaten Schlüssels erstellt. In diesem Szenario können Sie das Zertifikat nicht im erforderlichen Format exportieren. Sie müssen die Zertifikatvorlage so einrichten, dass der private Schlüssel exportiert werden kann, und dann das Zertifikat erneut anfordern.
Stellen Sie auf der Seite Dateiformat exportieren sicher, dass personal information exchange – PKCS #12 (. PFX) ausgewählt ist.
Geben Sie auf der Seite Kennwort ein sicheres Kennwort an, um das exportierte Zertifikat mit seinem privaten Schlüssel zu schützen, und wählen Sie dann Weiter aus.
Geben Sie auf der Seite Zu exportierende Datei den Namen der Datei an, die Sie exportieren möchten, und wählen Sie dann Weiter aus.
Klicken Sie zum Schließen des Assistenten auf der Seite Zertifikatexport-Assistent auf Fertig stellen, und klicken Sie dann im Bestätigungsdialogfeld auf OK.
Schließen Sie Zertifikate (lokaler Computer).
Speichern Sie die Datei sicher, und stellen Sie sicher, dass Sie über die Configuration Manager-Konsole darauf zugreifen können.
Das Zertifikat kann nun importiert werden, wenn Sie einen cloudbasierten Verteilungspunkt erstellen.
Bereitstellen des Clientzertifikats für Windows-Computer
Diese Zertifikatbereitstellung umfasst die folgenden Verfahren:
Erstellen und Ausstellen der Zertifikatvorlage für die Arbeitsstationsauthentifizierung bei der Zertifizierungsstelle
Konfigurieren der automatischen Registrierung der Vorlage für die Arbeitsstationsauthentifizierung mithilfe von Gruppenrichtlinie
Automatisches Registrieren des Arbeitsstationsauthentifizierungszertifikats und Überprüfen der Installation auf Computern
Erstellen und Ausstellen der Zertifikatvorlage für die Arbeitsstationsauthentifizierung bei der Zertifizierungsstelle
Mit diesem Verfahren wird eine Zertifikatvorlage für Configuration Manager Clientcomputer erstellt und der Zertifizierungsstelle hinzugefügt.
So erstellen Sie die Zertifikatvorlage für die Arbeitsstationsauthentifizierung und stellen sie bei der Zertifizierungsstelle aus
Klicken Sie auf dem Mitgliedsserver, auf dem die Konsole der Zertifizierungsstelle ausgeführt wird, mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie dann Verwalten aus, um die Verwaltungskonsole für Zertifikatvorlagen zu laden.
Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag mit arbeitsstationsbasierter Authentifizierung in der Spalte Vorlagenanzeigename , und wählen Sie dann Vorlage duplizieren aus.
Stellen Sie im Dialogfeld Vorlage duplizieren sicher, dass Windows 2003 Server, Enterprise Edition ausgewählt ist, und klicken Sie dann auf OK.
Wichtig
Wählen Sie nicht Windows 2008 Server, Enterprise Edition aus.
Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Vorlagennamen ein, z. B. ConfigMgr-Clientzertifikat, um die Clientzertifikate zu generieren, die auf Configuration Manager Clientcomputern verwendet werden.
Wählen Sie die Registerkarte Sicherheit , dann die Gruppe Domänencomputer und dann die zusätzlichen Berechtigungen lesen und automatisch registrieren aus. Deaktivieren Sie die Option Registrieren nicht.
Klicken Sie auf OK, und schließen Sie dann die Zertifikatvorlagenkonsole.
Klicken Sie in der Konsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neu und dann Zertifikatvorlage aus, die ausgegeben werden soll.
Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neue Vorlage aus, die Sie gerade erstellt haben, ConfigMgr-Clientzertifikat, und klicken Sie dann auf OK.
Wenn Sie keine weiteren Zertifikate erstellen und ausstellen müssen, schließen Sie die Zertifizierungsstelle.
Konfigurieren der automatischen Registrierung der Vorlage für die Arbeitsstationsauthentifizierung mithilfe von Gruppenrichtlinie
Mit diesem Verfahren wird Gruppenrichtlinie zum automatischen Registrieren des Clientzertifikats auf Computern eingerichtet.
So richten Sie die automatische Registrierung der Vorlage für die Arbeitsstationsauthentifizierung mithilfe von Gruppenrichtlinie
Klicken Sie auf dem Domänencontroller auf Start, dann auf Verwaltung und dann auf Gruppenrichtlinie Verwaltung.
Wechseln Sie zu Ihrer Domäne, klicken Sie mit der rechten Maustaste auf die Domäne, und wählen Sie dann Gruppenrichtlinienobjekt in dieser Domäne erstellen aus, und verknüpfen Sie es hier.
Hinweis
In diesem Schritt wird die bewährte Methode verwendet, um eine neue Gruppenrichtlinie für benutzerdefinierte Einstellungen zu erstellen, anstatt die Standarddomänenrichtlinie zu bearbeiten, die mit Active Directory Domain Services installiert wird. Wenn Sie diese Gruppenrichtlinie auf Domänenebene zuweisen, wenden Sie sie auf alle Computer in der Domäne an. In einer Produktionsumgebung können Sie die automatische Registrierung so einschränken, dass sie nur auf ausgewählten Computern registriert wird. Sie können die Gruppenrichtlinie auf Organisationseinheitsebene zuweisen oder die Domäne Gruppenrichtlinie mit einer Sicherheitsgruppe filtern, sodass sie nur für die Computer in der Gruppe gilt. Wenn Sie die automatische Registrierung einschränken, denken Sie daran, den Server einzubeziehen, der als Verwaltungspunkt eingerichtet ist.
Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt für das neue Gruppenrichtlinie einen Namen ein, z. B. Zertifikate automatisch registrieren, und wählen Sie dann OK aus.
Klicken Sie im Ergebnisbereich auf der Registerkarte Verknüpfte Gruppenrichtlinie Objekte mit der rechten Maustaste auf den neuen Gruppenrichtlinie, und wählen Sie dann Bearbeiten aus.
Erweitern Sie im Gruppenrichtlinie Verwaltungs-Editor unter Computerkonfigurationden Eintrag Richtlinien, und wechseln Sie dann zu Windows-Einstellungen / Sicherheitseinstellungen / Public Key-Richtlinien.
Klicken Sie mit der rechten Maustaste auf den Objekttyp Certificate Services Client – Auto-enrollment, und wählen Sie dann Eigenschaften aus.
Wählen Sie in der Dropdownliste Konfigurationsmodell die Option Aktiviert aus, wählen Sie Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren, widerrufene Zertifikate entfernen, Zertifikate aktualisieren, die Zertifikatvorlagen verwenden, und klicken Sie dann auf OK.
Schließen Sie Gruppenrichtlinie Management.
Automatisches Registrieren des Arbeitsstationsauthentifizierungszertifikats und Überprüfen der Installation auf Computern
Mit diesem Verfahren wird das Clientzertifikat auf Computern installiert und die Installation überprüft.
So registrieren Sie das Arbeitsstationsauthentifizierungszertifikat automatisch und überprüfen seine Installation auf dem Clientcomputer
Starten Sie den Arbeitsstationscomputer neu, und warten Sie einige Minuten, bevor Sie sich anmelden.
Hinweis
Das Neustarten eines Computers ist die zuverlässigste Methode, um eine erfolgreiche automatische Zertifikatregistrierung sicherzustellen.
Melden Sie sich mit einem Konto an, das über Administratorrechte verfügt.
Geben Sie im Suchfeld mmc.exe. ein, und drücken Sie dann die EINGABETASTE.
Wählen Sie in der leeren Verwaltungskonsole Datei und dann Snap-In hinzufügen/entfernen aus.
Wählen Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen die Option Zertifikate aus der Liste Verfügbare Snap-Ins aus, und wählen Sie dann Hinzufügen aus.
Wählen Sie im Dialogfeld Zertifikat-Snap-Indie Option Computerkonto und dann Weiter aus.
Stellen Sie im Dialogfeld Computer auswählen sicher, dass Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und wählen Sie dann Fertig stellen aus.
Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen auf OK.
Erweitern Sie in der Konsole Zertifikate (Lokaler Computer), erweitern Sie Persönlich, und wählen Sie dann Zertifikate aus.
Vergewissern Sie sich im Ergebnisbereich, dass für ein Zertifikat die Clientauthentifizierung in der Spalte Beabsichtigter Zweck und das ConfigMgr-Clientzertifikat in der Spalte Zertifikatvorlage enthalten ist.
Schließen Sie Zertifikate (lokaler Computer).
Wiederholen Sie die Schritte 1 bis 11 für den Mitgliedsserver, um zu überprüfen, ob der Server, der als Verwaltungspunkt eingerichtet wird, auch über ein Clientzertifikat verfügt.
Der Computer ist jetzt mit einem Configuration Manager Clientzertifikat eingerichtet.
Bereitstellen des Clientzertifikats für Verteilungspunkte
Hinweis
Dieses Zertifikat kann auch für Medienimages verwendet werden, die keinen PXE-Start verwenden, da die Zertifikatanforderungen identisch sind.
Diese Zertifikatbereitstellung umfasst die folgenden Verfahren:
Erstellen und Ausstellen einer benutzerdefinierten Zertifikatvorlage für die Arbeitsstationsauthentifizierung bei der Zertifizierungsstelle
Anfordern des benutzerdefinierten Arbeitsstationsauthentifizierungszertifikats
Exportieren des Clientzertifikats für Verteilungspunkte
Erstellen und Ausstellen einer benutzerdefinierten Zertifikatvorlage für die Arbeitsstationsauthentifizierung bei der Zertifizierungsstelle
Mit diesem Verfahren wird eine benutzerdefinierte Zertifikatvorlage für Configuration Manager Verteilungspunkte erstellt, damit der private Schlüssel exportiert werden kann, und fügt die Zertifikatvorlage der Zertifizierungsstelle hinzu.
Hinweis
In diesem Verfahren wird eine andere Zertifikatvorlage als die Zertifikatvorlage verwendet, die Sie für Clientcomputer erstellt haben. Obwohl beide Zertifikate clientauthentifizierungsfähig sind, erfordert das Zertifikat für Verteilungspunkte, dass der private Schlüssel exportiert wird. Als bewährte Sicherheitsmethode sollten Sie keine Zertifikatvorlagen so einrichten, dass der private Schlüssel exportiert werden kann, es sei denn, diese Konfiguration ist erforderlich. Der Verteilungspunkt erfordert diese Konfiguration, da Sie das Zertifikat als Datei importieren müssen, anstatt es aus dem Zertifikatspeicher auszuwählen.
Wenn Sie eine neue Zertifikatvorlage für dieses Zertifikat erstellen, können Sie die Computer einschränken, die ein Zertifikat anfordern können, dessen privater Schlüssel exportiert werden kann. In unserer Beispielbereitstellung ist dies die Sicherheitsgruppe, die Sie zuvor für Configuration Manager Standortsystemserver erstellt haben, auf denen IIS ausgeführt wird. Erwägen Sie in einem Produktionsnetzwerk, das die IIS-Standortsystemrollen verteilt, eine neue Sicherheitsgruppe für die Server zu erstellen, auf denen Verteilungspunkte ausgeführt werden, damit Sie das Zertifikat auf diese Standortsystemserver beschränken können. Sie können auch erwägen, die folgenden Änderungen für dieses Zertifikat hinzuzufügen:
- Erfordere die Genehmigung, um das Zertifikat zu installieren, um zusätzliche Sicherheit zu gewährleisten.
- Erhöhen Sie die Gültigkeitsdauer des Zertifikats. Da Sie das Zertifikat jedes Mal exportieren und importieren müssen, bevor es abläuft, verringert eine Erhöhung des Gültigkeitszeitraums, wie oft Sie dieses Verfahren wiederholen müssen. Eine Erhöhung des Gültigkeitszeitraums verringert jedoch auch die Sicherheit des Zertifikats, da es einem Angreifer mehr Zeit bietet, den privaten Schlüssel zu entschlüsseln und das Zertifikat zu stehlen.
- Verwenden Sie einen benutzerdefinierten Wert im Feld Zertifikatantragsteller oder alternativer Antragstellername (Subject Alternative Name, SAN), um dieses Zertifikat anhand von Standardclientzertifikaten zu identifizieren. Dies kann besonders hilfreich sein, wenn Sie dasselbe Zertifikat für mehrere Verteilungspunkte verwenden.
So erstellen Sie die benutzerdefinierte Zertifikatvorlage für die Arbeitsstationsauthentifizierung und stellen sie auf der Zertifizierungsstelle aus
Klicken Sie auf dem Mitgliedsserver, auf dem die Konsole der Zertifizierungsstelle ausgeführt wird, mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie dann Verwalten aus, um die Verwaltungskonsole für Zertifikatvorlagen zu laden.
Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag mit arbeitsstationsbasierter Authentifizierung in der Spalte Vorlagenanzeigename , und wählen Sie dann Vorlage duplizieren aus.
Stellen Sie im Dialogfeld Vorlage duplizieren sicher, dass Windows 2003 Server, Enterprise Edition ausgewählt ist, und klicken Sie dann auf OK.
Wichtig
Wählen Sie nicht Windows 2008 Server, Enterprise Edition aus.
Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Vorlagennamen ein, z. B. ConfigMgr-Clientverteilungspunktzertifikat, um das Clientauthentifizierungszertifikat für Verteilungspunkte zu generieren.
Wählen Sie die Registerkarte Anforderungsverarbeitung und dann Exportieren von privatem Schlüssel zulassen aus.
Wählen Sie die Registerkarte Sicherheit aus, und entfernen Sie dann die Berechtigung Registrieren aus der Sicherheitsgruppe Unternehmensadministratoren .
Wählen Sie Hinzufügen aus, geben Sie ConfigMgr IIS Server in das Textfeld ein, und klicken Sie dann auf OK.
Wählen Sie die Berechtigung Registrieren für diese Gruppe aus, und löschen Sie die Leseberechtigung nicht.
Klicken Sie auf OK, und schließen Sie dann die Zertifikatvorlagenkonsole.
Klicken Sie in der Konsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neu und dann Zertifikatvorlage aus, die ausgegeben werden soll.
Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neue Vorlage aus, die Sie soeben erstellt haben, ConfigMgr ClientVerteilungspunktzertifikat, und klicken Sie dann auf OK.
Wenn Sie keine weiteren Zertifikate erstellen und ausstellen müssen, schließen Sie die Zertifizierungsstelle.
Anfordern des benutzerdefinierten Arbeitsstationsauthentifizierungszertifikats
Mit dieser Prozedur wird das benutzerdefinierte Clientzertifikat auf dem Mitgliedsserver angefordert und installiert, auf dem IIS ausgeführt wird und der als Verteilungspunkt eingerichtet wird.
So fordern Sie das benutzerdefinierte Arbeitsstationsauthentifizierungszertifikat an
Wählen Sie Start aus, wählen Sie Ausführen aus, und geben Sie dann mmc.exe ein. Wählen Sie in der leeren Konsole Datei und dann Snap-In hinzufügen/entfernen aus.
Wählen Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen die Option Zertifikate aus der Liste Verfügbare Snap-Ins aus, und wählen Sie dann Hinzufügen aus.
Wählen Sie im Dialogfeld Zertifikat-Snap-Indie Option Computerkonto und dann Weiter aus.
Stellen Sie im Dialogfeld Computer auswählen sicher, dass Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und wählen Sie dann Fertig stellen aus.
Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen auf OK.
Erweitern Sie in der Konsole Zertifikate (Lokaler Computer), und wählen Sie dann Persönlich aus.
Klicken Sie mit der rechten Maustaste auf Zertifikate, wählen Sie Alle Aufgaben und dann Neues Zertifikat anfordern aus.
Wählen Sie auf der Seite Before You Begin (Vorbereitung ) die Option Weiter aus.
Wenn die Seite Zertifikatregistrierungsrichtlinie auswählen angezeigt wird, wählen Sie Weiter aus.
Wählen Sie auf der Seite Zertifikate anfordern in der Liste der verfügbaren Zertifikate die Option ConfigMgr-Clientverteilungspunktzertifikat aus, und wählen Sie dann Registrieren aus.
Warten Sie auf der Seite Zertifikatinstallationsergebnisse , bis das Zertifikat installiert ist, und wählen Sie dann Fertig stellen aus.
Vergewissern Sie sich im Ergebnisbereich, dass ein Zertifikat in der Spalte Beabsichtigter Zweck über Clientauthentifizierung verfügt und dass sich das ConfigMgr-Clientverteilungspunktzertifikat in der Spalte Zertifikatvorlage befindet.
Schließen Sie Zertifikate (lokaler Computer) nicht.
Exportieren des Clientzertifikats für Verteilungspunkte
Mit dieser Prozedur wird das benutzerdefinierte Arbeitsstationsauthentifizierungszertifikat in eine Datei exportiert, sodass es in den Verteilungspunkteigenschaften importiert werden kann.
So exportieren Sie das Clientzertifikat für Verteilungspunkte
Klicken Sie in der Konsole Zertifikate (Lokaler Computer) mit der rechten Maustaste auf das Zertifikat, das Sie gerade installiert haben, wählen Sie Alle Aufgaben und dann Exportieren aus.
Wählen Sie im Zertifikatexport-Assistenten die Option Weiter aus.
Wählen Sie auf der Seite Privaten Schlüssel exportierendie Option Ja, privaten Schlüssel exportieren und dann Weiter aus.
Hinweis
Wenn diese Option nicht verfügbar ist, wurde das Zertifikat ohne die Option zum Exportieren des privaten Schlüssels erstellt. In diesem Szenario können Sie das Zertifikat nicht im erforderlichen Format exportieren. Sie müssen die Zertifikatvorlage so einrichten, dass der private Schlüssel exportiert und dann erneut angefordert werden kann.
Stellen Sie auf der Seite Dateiformat exportieren sicher, dass personal information exchange – PKCS #12 (. PFX) ausgewählt ist.
Geben Sie auf der Seite Kennwort ein sicheres Kennwort an, um das exportierte Zertifikat mit seinem privaten Schlüssel zu schützen, und wählen Sie dann Weiter aus.
Geben Sie auf der Seite Zu exportierende Datei den Namen der Datei an, die Sie exportieren möchten, und wählen Sie dann Weiter aus.
Klicken Sie zum Schließen des Assistenten auf der Seite Zertifikatexport-Assistent auf Fertig stellen, und klicken Sie im Bestätigungsdialogfeld auf OK.
Schließen Sie Zertifikate (lokaler Computer).
Speichern Sie die Datei sicher, und stellen Sie sicher, dass Sie über die Configuration Manager-Konsole darauf zugreifen können.
Das Zertifikat kann nun importiert werden, wenn Sie den Verteilungspunkt einrichten.
Tipp
Sie können dieselbe Zertifikatdatei verwenden, wenn Sie Medienimages für eine Betriebssystembereitstellung einrichten, die keinen PXE-Start verwendet. Die Tasksequenz zum Installieren des Images muss einen Verwaltungspunkt kontaktieren, der HTTPS-Clientverbindungen erfordert.
Bereitstellen des Registrierungszertifikats für mobile Geräte
Diese Zertifikatbereitstellung verfügt über ein einzelnes Verfahren zum Erstellen und Ausstellen der Registrierungszertifikatvorlage bei der Zertifizierungsstelle.
Erstellen und Ausstellen der Registrierungszertifikatvorlage bei der Zertifizierungsstelle
Mit diesem Verfahren wird eine Registrierungszertifikatvorlage für Configuration Manager mobile Geräte erstellt und der Zertifizierungsstelle hinzugefügt.
So erstellen Sie die Registrierungszertifikatvorlage für die Zertifizierungsstelle und stellen sie aus
Erstellen Sie eine Sicherheitsgruppe mit Benutzern, die mobile Geräte in Configuration Manager registrieren.
Klicken Sie auf dem Mitgliedsserver, auf dem Zertifikatdienste installiert sind, in der Konsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie dann Verwalten aus, um die Verwaltungskonsole für Zertifikatvorlagen zu laden.
Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag mit authentifizierter Sitzung in der Spalte Vorlagenanzeigename , und wählen Sie dann Vorlage duplizieren aus.
Stellen Sie im Dialogfeld Vorlage duplizieren sicher, dass Windows 2003 Server, Enterprise Edition ausgewählt ist, und klicken Sie dann auf OK.
Wichtig
Wählen Sie nicht Windows 2008 Server, Enterprise Edition aus.
Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Vorlagennamen ein, z. B. ConfigMgr Mobile Device Enrollment Certificate, um die Registrierungszertifikate für die mobilen Geräte zu generieren, die von Configuration Manager verwaltet werden sollen.
Wählen Sie die Registerkarte Antragstellername aus, stellen Sie sicher, dass Aus diesen Active Directory-Informationen erstellen ausgewählt ist, wählen Sie Allgemeiner Name für das Format Des Antragstellernamens aus, und deaktivieren Sie dann Benutzerprinzipalname (UPN) unter Diese Informationen in alternativen Antragstellernamen einschließen.
Wählen Sie die Registerkarte Sicherheit aus, wählen Sie die Sicherheitsgruppe aus, die Benutzer enthält, die mobile Geräte registrieren müssen, und wählen Sie dann die zusätzliche Berechtigung Registrieren aus. Deaktivieren Sie "Lesen" nicht.
Klicken Sie auf OK, und schließen Sie dann die Zertifikatvorlagenkonsole.
Klicken Sie in der Konsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neu und dann Zertifikatvorlage aus, die ausgegeben werden soll.
Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neue Vorlage aus, die Sie gerade erstellt haben, ConfigMgr Mobile Device Enrollment Certificate ( Zertifikat für die Registrierung mobiler Geräte), und klicken Sie dann auf OK.
Wenn Sie keine weiteren Zertifikate erstellen und ausstellen müssen, schließen Sie die Zertifizierungsstellenkonsole.
Die Zertifikatvorlage für die Registrierung mobiler Geräte kann jetzt ausgewählt werden, wenn Sie ein Registrierungsprofil für mobile Geräte in den Clienteinstellungen einrichten.
Bereitstellen des Clientzertifikats für Mac-Computer
Diese Zertifikatbereitstellung verfügt über ein einzelnes Verfahren zum Erstellen und Ausstellen der Registrierungszertifikatvorlage bei der Zertifizierungsstelle.
Erstellen und Ausstellen einer Mac-Clientzertifikatvorlage bei der Zertifizierungsstelle
Mit diesem Verfahren wird eine benutzerdefinierte Zertifikatvorlage für Configuration Manager Mac-Computer erstellt und der Zertifizierungsstelle die Zertifikatvorlage hinzugefügt.
Hinweis
In diesem Verfahren wird eine andere Zertifikatvorlage als die Zertifikatvorlage verwendet, die Sie möglicherweise für Windows-Clientcomputer oder Verteilungspunkte erstellt haben.
Wenn Sie eine neue Zertifikatvorlage für dieses Zertifikat erstellen, können Sie die Zertifikatanforderung auf autorisierte Benutzer beschränken.
So erstellen Sie die Mac-Clientzertifikatvorlage für die Zertifizierungsstelle und stellen sie aus
Erstellen Sie eine Sicherheitsgruppe mit Benutzerkonten für Administratoren, die das Zertifikat mithilfe von Configuration Manager auf dem Mac-Computer registrieren.
Klicken Sie auf dem Mitgliedsserver, auf dem die Konsole der Zertifizierungsstelle ausgeführt wird, mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie dann Verwalten aus, um die Verwaltungskonsole für Zertifikatvorlagen zu laden.
Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf den Eintrag, in dem in der Spalte Vorlagenanzeigenameauthentifizierte Sitzung angezeigt wird, und wählen Sie dann Vorlage duplizieren aus.
Stellen Sie im Dialogfeld Vorlage duplizieren sicher, dass Windows 2003 Server, Enterprise Edition ausgewählt ist, und klicken Sie dann auf OK.
Wichtig
Wählen Sie nicht Windows 2008 Server, Enterprise Edition aus.
Geben Sie im Dialogfeld Eigenschaften der neuen Vorlage auf der Registerkarte Allgemein einen Vorlagennamen ein, z. B. ConfigMgr Mac-Clientzertifikat, um das Mac-Clientzertifikat zu generieren.
Wählen Sie die Registerkarte Antragstellername aus, stellen Sie sicher, dass Aus diesen Active Directory-Informationen erstellen ausgewählt ist, wählen Sie Allgemeiner Name für das Format Des Antragstellernamens aus, und deaktivieren Sie dann Benutzerprinzipalname (UPN) unter Diese Informationen in alternativen Antragstellernamen einschließen.
Wählen Sie die Registerkarte Sicherheit aus, und entfernen Sie dann die Berechtigung Registrieren aus den Sicherheitsgruppen Domänenadministratoren und Unternehmensadministratoren .
Wählen Sie Hinzufügen aus, geben Sie die Sicherheitsgruppe an, die Sie in Schritt 1 erstellt haben, und wählen Sie dann OK aus.
Wählen Sie die Berechtigung Registrieren für diese Gruppe aus, und löschen Sie die Leseberechtigung nicht.
Klicken Sie auf OK, und schließen Sie dann die Zertifikatvorlagenkonsole.
Klicken Sie in der Konsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neu und dann Zertifikatvorlage aus, die ausgegeben werden soll.
Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren die neue Vorlage aus, die Sie gerade erstellt haben, ConfigMgr Mac-Clientzertifikat, und klicken Sie dann auf OK.
Wenn Sie keine weiteren Zertifikate erstellen und ausstellen müssen, schließen Sie die Zertifizierungsstelle.
Die Mac-Clientzertifikatvorlage kann jetzt ausgewählt werden, wenn Sie Clienteinstellungen für die Registrierung einrichten.