PKI-Zertifikatanforderungen für Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Die PKI-Zertifikate (Public Key Infrastructure), die Sie möglicherweise für Configuration Manager benötigen, sind in den folgenden Tabellen aufgeführt. Diese Informationen setzt Grundkenntnisse zu PKI-Zertifikaten voraus.

Sie können eine beliebige PKI verwenden, um die meisten Zertifikate in Configuration Manager zu erstellen, bereitzustellen und zu verwalten. Für Clientzertifikate, die Configuration Manager auf mobilen Geräten und Mac-Computern registriert werden, ist die Verwendung von Active Directory-Zertifikatdiensten erforderlich.

Wenn Sie Active Directory-Zertifikatdienste und Zertifikatvorlagen verwenden, kann diese Microsoft PKI-Lösung die Verwaltung von Zertifikaten vereinfachen. Verwenden Sie die Microsoft-Zertifikatvorlagenreferenz in den folgenden Abschnitten, um die Zertifikatvorlage zu identifizieren, die den Zertifikatanforderungen am ehesten entspricht. Nur eine Unternehmenszertifizierungsstelle (Ca), die unter den Enterprise- oder Datacenter-Editionen von Windows Server ausgeführt wird, kann vorlagenbasierte Zertifikate verwenden.

Weitere Informationen finden Sie in den folgenden Artikeln:

• Schrittweise Beispielbereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle

• Übersicht über Active Directory-Zertifikatdienste

• Aktivieren von Transport Layer Security (TLS) 1.2

Unterstützte Zertifikattypen

SHA-2-Zertifikate (Secure Hash Algorithm 2)

Stellen Sie neue Server- und Clientauthentifizierungszertifikate aus, die mit SHA-2 signiert sind, einschließlich SHA-256 und SHA-512. Alle Dienste mit Internetzugriff sollten ein SHA-2-Zertifikat verwenden. Wenn Sie beispielsweise ein öffentliches Zertifikat für die Verwendung mit einem Cloudverwaltungsgateway erwerben, stellen Sie sicher, dass Sie ein SHA-2-Zertifikat erwerben.

Windows vertraut nicht mit SHA-1 signierten Zertifikaten. Weitere Informationen finden Sie unter Windows-Erzwingung von SHA1-Zertifikaten.

CNG v3-Zertifikate

Configuration Manager unterstützt CNG v3-Zertifikate (Cryptography: Next Generation). Configuration Manager Clients können ein PKI-Clientauthentifizierungszertifikat mit privatem Schlüssel in einem CNG-Schlüsselspeicheranbieter (KSP) verwenden. Mit KSP-Unterstützung unterstützen Configuration Manager Clients hardwarebasierte private Schlüssel, z. B. einen TPM-KSP für PKI-Clientauthentifizierungszertifikate.

Weitere Informationen finden Sie unter Übersicht über CNG v3-Zertifikate.

PKI-Zertifikate für Server

Standortsysteme, die IIS ausführen und HTTPS-Clientverbindungen unterstützen

Dieses Webserverzertifikat wird für Folgendes verwendet:

• Authentifizieren der Server beim Client
• Verschlüsseln Sie alle Daten, die zwischen dem Client und diesen Servern übertragen werden, mit TLS.

Gilt für:

• Verwaltungspunkt
• Verteilungspunkt
• Softwareupdatepunkt
• Zustandsmigrationspunkt
• Registrierungspunkt
• Registrierungsproxypunkt
• Zertifikatregistrierungspunkt

Zertifikatanforderungen:

• Zertifikatzweck: Serverauthentifizierung

• Microsoft-Zertifikatvorlage: Webserver

• Der Wert "Erweiterte Schlüsselverwendung" muss Server Authentication (1.3.6.1.5.5.7.3.1)

• Antragstellername:

  • Wenn das Standortsystem Verbindungen aus dem Internet akzeptiert, muss der Antragstellername oder alternative Antragstellername den vollqualifizierten Domänennamen (FQDN) des Internets enthalten.

  • Wenn das Standortsystem Verbindungen aus dem Intranet akzeptiert, muss der Antragstellername oder alternative Antragstellername je nach Einrichtung des Standortsystems entweder den Intranet-FQDN (empfohlen) oder den Namen des Computers enthalten.

  • Wenn das Standortsystem Verbindungen sowohl über das Internet als auch über das Intranet akzeptiert, müssen sowohl der Internet-FQDN als auch der Intranet-FQDN (oder der Computername) angegeben werden. Verwenden Sie das Kaufmännische und -Zeichen (&) zwischen den beiden Namen.

  Hinweis

  Wenn der Softwareupdatepunkt nur Clientverbindungen aus dem Internet akzeptiert, muss das Zertifikat sowohl den Internet-FQDN als auch den Intranet-FQDN enthalten.

• Schlüssellänge: Configuration Manager keine maximal unterstützte Schlüssellänge für dieses Zertifikat angibt. Informationen zu Problemen im Zusammenhang mit der Schlüsselgröße für dieses Zertifikat finden Sie in der PKI- und IIS-Dokumentation.

Die meisten Standortsystemrollen unterstützen Schlüsselspeicheranbieter für private Zertifikatschlüssel (v3). Weitere Informationen finden Sie unter Übersicht über CNG v3-Zertifikate.

Dieses Zertifikat muss sich im persönlichen Speicher des Computerzertifikatspeichers befinden.

Einrichten des Cloud-Management-Gateways (CMG)

Dieses Dienstzertifikat wird für Folgendes verwendet:

• Authentifizieren des CMG-Diensts in Azure bei Configuration Manager Clients

• Verschlüsseln Sie alle zwischen ihnen übertragenen Daten mithilfe von TLS.

Exportieren Sie dieses Zertifikat in einem PKCS #12-Format (Public Key Certificate Standard). Sie müssen das Kennwort kennen, damit Sie das Zertifikat importieren können, wenn Sie das CMG erstellen.

Zertifikatanforderungen:

• Zertifikatzweck: Serverauthentifizierung

• Microsoft-Zertifikatvorlage: Webserver

• Der Wert "Erweiterte Schlüsselverwendung" muss Server Authentication (1.3.6.1.5.5.7.3.1)

• Der Antragstellername muss einen vom Kunden definierten Dienstnamen als allgemeiner Name für die spezifische Instanz des Cloudverwaltungsgateways enthalten.

• Der private Schlüssel muss exportierbar sein.

• Unterstützte Schlüssellängen: 2048 Bit oder 4096 Bit

Dieses Zertifikat unterstützt Schlüsselspeicheranbieter für private Zertifikatschlüssel (v3).

Weitere Informationen finden Sie unter CMG-Serverauthentifizierungszertifikat.

Standortsystemserver, auf denen Microsoft SQL Server ausgeführt wird

Dieses Zertifikat wird für die Server-zu-Server-Authentifizierung verwendet.

Zertifikatanforderungen:

• Zertifikatzweck: Serverauthentifizierung

• Microsoft-Zertifikatvorlage: Webserver

• Der Wert "Erweiterte Schlüsselverwendung" muss Server Authentication (1.3.6.1.5.5.7.3.1)

• Der Antragstellername muss den vollqualifizierten Domänennamen (FQDN) des Intranets enthalten.

• Die maximal unterstützte Schlüssellänge beträgt 2.048 Bit.

Dieses Zertifikat muss sich im persönlichen Speicher des Computerzertifikatspeichers befinden. Configuration Manager kopiert es automatisch in den vertrauenswürdigen Personen Store für Server in der Configuration Manager-Hierarchie, die möglicherweise eine Vertrauensstellung mit dem Server einrichten müssen.

SQL Server Always On-Failoverclusterinstanz

Dieses Zertifikat wird für die Server-zu-Server-Authentifizierung verwendet.

Zertifikatanforderungen:

• Zertifikatzweck: Serverauthentifizierung

• Microsoft-Zertifikatvorlage: Webserver

• Der Wert "Erweiterte Schlüsselverwendung" muss Server Authentication (1.3.6.1.5.5.7.3.1)

• Der Antragstellername muss den vollqualifizierten Intranetdomänennamen (FQDN) des Clusters enthalten.

• Der private Schlüssel muss exportierbar sein.

• Das Zertifikat muss eine Gültigkeitsdauer von mindestens zwei Jahren aufweisen, wenn Sie Configuration Manager für die Verwendung der Failoverclusterinstanz konfigurieren.

• Die maximal unterstützte Schlüssellänge beträgt 2.048 Bit.

Fordern Sie dieses Zertifikat an, und installieren Sie es auf einem Knoten im Cluster. Exportieren Sie dann das Zertifikat, und importieren Sie es auf die anderen Knoten.

Dieses Zertifikat muss sich im persönlichen Speicher des Computerzertifikatspeichers befinden. Configuration Manager kopiert es automatisch in den vertrauenswürdigen Personen Store für Server in der Configuration Manager-Hierarchie, die möglicherweise eine Vertrauensstellung mit dem Server einrichten müssen.

Standortsystemüberwachung

Gilt für:

• Verwaltungspunkt
• Zustandsmigrationspunkt

Zertifikatanforderungen:

• Zertifikatzweck: Clientauthentifizierung

• Microsoft-Zertifikatvorlage: Arbeitsstationsauthentifizierung

• Der Wert "Erweiterte Schlüsselverwendung" muss Client Authentication (1.3.6.1.5.5.7.3.2)

• Computer müssen einen eindeutigen Wert im Feld Antragstellername oder im Feld Alternativer Antragstellername aufweisen.

  Hinweis

  Wenn Sie mehrere Werte für den alternativen Antragstellernamen verwenden, wird nur der erste Wert verwendet.

• Die maximal unterstützte Schlüssellänge beträgt 2.048 Bit.

Dieses Zertifikat ist auf den aufgeführten Standortsystemservern erforderlich, auch wenn der Configuration Manager Client nicht installiert ist. Diese Konfiguration ermöglicht es dem Standort, die Integrität dieser Standortsystemrollen zu überwachen und zu melden.

Das Zertifikat für diese Standortsysteme muss sich im persönlichen Speicher des Computerzertifikatspeichers befinden.

Server, auf denen das Configuration Manager-Richtlinienmodul mit dem NDES-Rollendienst (Network Device Enrollment Service) ausgeführt wird

Zertifikatanforderungen:

• Zertifikatzweck: Clientauthentifizierung

• Microsoft-Zertifikatvorlage: Arbeitsstationsauthentifizierung

• Der Wert "Erweiterte Schlüsselverwendung" muss Client Authentication (1.3.6.1.5.5.7.3.2)

• Es gibt keine spezifischen Anforderungen für den Antragstellernamen des Zertifikats oder den alternativen Antragstellernamen (Subject Alternative Name , SAN). Sie können dasselbe Zertifikat für mehrere Server verwenden, auf denen der Registrierungsdienst für Netzwerkgeräte ausgeführt wird.

• Unterstützte Schlüssellängen: 1.024 Bit und 2.048 Bit.

Standortsysteme, auf denen ein Verteilungspunkt installiert ist

Dieses Zertifikat hat zwei Zwecke:

• Er authentifiziert den Verteilungspunkt bei einem HTTPS-fähigen Verwaltungspunkt, bevor der Verteilungspunkt Statusmeldungen sendet.

  Hinweis

  Wenn Sie alle Verwaltungspunkte für HTTPS konfigurieren, müssen HTTPS-fähige Verteilungspunkte ein von PKI ausgestelltes Zertifikat verwenden. Verwenden Sie keine selbstsignierten Zertifikate auf Verteilungspunkten, wenn Verwaltungspunkte Zertifikate verwenden. Andernfalls können Probleme auftreten. Beispielsweise senden Verteilungspunkte keine Zustandsmeldungen.

• Ein PXE-fähiger Verteilungspunkt sendet dieses Zertifikat an Computer. Wenn die Tasksequenz Clientaktionen wie das Abrufen von Clientrichtlinien oder das Senden von Bestandsinformationen enthält, kann der Computer während des Betriebssystembereitstellungsprozesses eine Verbindung mit einem HTTPS-fähigen Verwaltungspunkt herstellen.

  Hinweis

  Für dieses PXE-Szenario wird dieses Zertifikat nur während der Betriebssystembereitstellung verwendet. Es ist nicht auf dem Client installiert. Aufgrund dieser vorübergehenden Verwendung können Sie dasselbe Zertifikat für jede Betriebssystembereitstellung verwenden, wenn Sie nicht mehrere Clientzertifikate verwenden möchten.

  Die Anforderungen für dieses Zertifikat sind identisch mit dem Clientzertifikat für Tasksequenzmedien. Da die Anforderungen identisch sind, können Sie dieselbe Zertifikatdatei verwenden.

  Das Zertifikat, das Sie für die HTTPS-Aktivierung eines Verteilungspunkts angeben, gilt für alle Inhaltsverteilungsvorgänge, nicht nur für die Betriebssystembereitstellung.

Zertifikatanforderungen:

• Zertifikatzweck: Clientauthentifizierung

• Microsoft-Zertifikatvorlage: Arbeitsstationsauthentifizierung

• Der Wert "Erweiterte Schlüsselverwendung" muss Client Authentication (1.3.6.1.5.5.7.3.2)

• Es gibt keine spezifischen Anforderungen für den Antragstellernamen des Zertifikats oder den alternativen Antragstellernamen (Subject Alternative Name , SAN). Es wird empfohlen, für jeden Verteilungspunkt ein anderes Zertifikat zu verwenden, aber Sie können dasselbe Zertifikat verwenden.

• Der private Schlüssel muss exportierbar sein.

• Die maximal unterstützte Schlüssellänge beträgt 2.048 Bit.

Exportieren Sie dieses Zertifikat in einem PKCS #12-Format (Public Key Certificate Standard). Sie müssen das Kennwort kennen, damit Sie das Zertifikat in die Verteilungspunkteigenschaften importieren können.

Proxywebserver für die internetbasierte Clientverwaltung

Wenn die Website die internetbasierte Clientverwaltung unterstützt und Sie einen Proxywebserver mithilfe von SSL-Terminierung (Bridging) für eingehende Internetverbindungen verwenden, gelten für den Proxywebserver die folgenden Zertifikatanforderungen:

Hinweis

Wenn Sie einen Proxywebserver ohne SSL-Beendigung (Tunneling) verwenden, sind keine zusätzlichen Zertifikate auf dem Proxywebserver erforderlich.

Zertifikatanforderungen:

• Zertifikatzweck: Serverauthentifizierung und Clientauthentifizierung

• Microsoft-Zertifikatvorlage: Webserver - und Arbeitsstationsauthentifizierung

• Internet-FQDN im Feld Antragstellername oder Alternativer Antragstellername . Wenn Sie Microsoft-Zertifikatvorlagen verwenden, ist der alternative Antragstellername nur mit der Arbeitsstationsvorlage verfügbar.

Dieses Zertifikat wird verwendet, um die folgenden Server bei Internetclients zu authentifizieren und alle zwischen dem Client und diesem Server übertragenen Daten mit TLS zu verschlüsseln:

• Internetbasierter Verwaltungspunkt
• Internetbasierter Verteilungspunkt
• Internetbasierter Softwareupdatepunkt

Die Clientauthentifizierung wird verwendet, um Clientverbindungen zwischen den Configuration Manager Clients und den internetbasierten Standortsystemen zu überbrücken.

PKI-Zertifikate für Clients

Windows-Clientcomputer

Mit Ausnahme des Softwareupdatepunkts authentifiziert dieses Zertifikat den Client bei Standortsystemen, die IIS ausführen und HTTPS-Clientverbindungen unterstützen.

Zertifikatanforderungen:

• Zertifikatzweck: Clientauthentifizierung

• Microsoft-Zertifikatvorlage: Arbeitsstationsauthentifizierung

• Der Wert "Erweiterte Schlüsselverwendung" muss Client Authentication (1.3.6.1.5.5.7.3.2)

• Der Schlüsselverwendungswert muss folgendes enthalten: Digital Signature, Key Encipherment (a0)

• Clientcomputer müssen über einen eindeutigen Wert im Feld Antragstellername oder Alternativer Antragstellername verfügen. Falls verwendet, muss das Feld Antragstellername den Namen des lokalen Computers enthalten, es sei denn, es wird ein alternatives Zertifikatsauswahlkriterium angegeben. Weitere Informationen finden Sie unter Planen der Auswahl des PKI-Clientzertifikats.

  Hinweis

  Wenn Sie mehrere Werte für den alternativen Antragstellernamen verwenden, wird nur der erste Wert verwendet.

• Es gibt keine maximal unterstützte Schlüssellänge.

Standardmäßig sucht Configuration Manager im Persönlichen Speicher im Computerzertifikatspeicher nach Computerzertifikaten.

Tasksequenzmedien für die Bereitstellung von Betriebssystemen

Dieses Zertifikat wird von einer OSD-Tasksequenz verwendet und ermöglicht es dem Computer, während des Betriebssystembereitstellungsprozesses eine Verbindung mit einem HTTPS-fähigen Verwaltungspunkt und Verteilungspunkt herzustellen. Verbindungen mit dem Verwaltungspunkt und dem Verteilungspunkt können aktionen wie das Abrufen von Clientrichtlinien vom Verwaltungspunkt und das Herunterladen von Inhalten vom Verteilungspunkt umfassen.

Dieses Zertifikat wird nur während der Betriebssystembereitstellung verwendet. Es wird nicht als Teil der Clientinstallationseigenschaften verwendet, wenn der Client während der Aufgabe Windows und ConfigMgr einrichten installiert wird, noch wird er auf dem Gerät installiert. Aufgrund dieser vorübergehenden Verwendung können Sie dasselbe Zertifikat für jede Betriebssystembereitstellung verwenden, wenn Sie nicht mehrere Clientzertifikate verwenden möchten.

Wenn Sie über eine Umgebung verfügen, die nur HTTPS verwendet, müssen die Tasksequenzmedien über ein gültiges Zertifikat verfügen. Dieses Zertifikat ermöglicht es dem Gerät, mit dem Standort zu kommunizieren und die Bereitstellung fortzusetzen. Wenn das Gerät nach Abschluss der Tasksequenz mit Active Directory verknüpft ist, kann der Client automatisch ein PKI-Zertifikat über ein GPO generieren, oder Sie können ein PKI-Zertifikat mithilfe einer anderen Methode installieren.

Hinweis

Die Anforderungen für dieses Zertifikat sind identisch mit denen des Serverzertifikats für Standortsysteme mit der Verteilungspunktrolle. Da die Anforderungen identisch sind, können Sie dieselbe Zertifikatdatei verwenden.

Zertifikatanforderungen:

• Zertifikatzweck: Clientauthentifizierung

• Microsoft-Zertifikatvorlage: Arbeitsstationsauthentifizierung

• Der Wert "Erweiterte Schlüsselverwendung" muss Client Authentication (1.3.6.1.5.5.7.3.2)

• Es gibt keine spezifischen Anforderungen für die Felder Antragstellername des Zertifikats oder Alternativen Antragstellernamens (SAN). Sie können dasselbe Zertifikat für alle Tasksequenzmedien verwenden.

• Der private Schlüssel muss exportierbar sein.

• Die maximal unterstützte Schlüssellänge beträgt 2.048 Bit.

Exportieren Sie dieses Zertifikat in einem PKCS #12-Format (Public Key Certificate Standard). Sie müssen das Kennwort kennen, damit Sie das Zertifikat beim Erstellen der Tasksequenzmedien importieren können.

Wichtig

Startimages enthalten keine PKI-Zertifikate für die Kommunikation mit dem Standort. Stattdessen verwenden Startimages das PKI-Zertifikat, das den Tasksequenzmedien hinzugefügt wurde, um mit dem Standort zu kommunizieren.

Weitere Informationen zum Hinzufügen eines PKI-Zertifikats zu Tasksequenzmedien finden Sie unter Erstellen startbarer Medien und Erstellen vorab bereitgestellter Medien.

macOS-Clientcomputer

Dieses Zertifikat authentifiziert den macOS-Clientcomputer bei den Standortsystemservern, mit denen er kommuniziert. Beispiel: Verwaltungspunkte und Verteilungspunkte.

Zertifikatanforderungen:

• Zertifikatzweck: Clientauthentifizierung

• Microsoft-Zertifikatvorlage:

  • Für Configuration Manager Registrierung: Authentifizierte Sitzung
  • Für zertifikatunabhängige Installation von Configuration Manager: Arbeitsstationsauthentifizierung

• Der Wert "Erweiterte Schlüsselverwendung" muss Client Authentication (1.3.6.1.5.5.7.3.2)

• Antragstellername:

  • Für Configuration Manager, mit dem ein Benutzerzertifikat erstellt wird, wird der Zertifikatsantragstellerwert automatisch mit dem Benutzernamen der Person aufgefüllt, die den macOS-Computer registriert.
  • Für die Zertifikatinstallation, die nicht Configuration Manager Registrierung verwendet, aber ein Computerzertifikat unabhängig von Configuration Manager bereitstellt, muss der Zertifikatsantragsteller-Wert eindeutig sein. Geben Sie beispielsweise den FQDN des Computers an.
  • Das Feld "Alternativer Antragstellername " wird nicht unterstützt.

• Die maximal unterstützte Schlüssellänge beträgt 2.048 Bit.

Clients für mobile Geräte

Dieses Zertifikat authentifiziert den Client für mobile Geräte bei den Standortsystemservern, mit denen er kommuniziert. Beispiel: Verwaltungspunkte und Verteilungspunkte.

Zertifikatanforderungen:

• Zertifikatzweck: Clientauthentifizierung

• Microsoft-Zertifikatvorlage: Authentifizierte Sitzung

• Der Wert "Erweiterte Schlüsselverwendung" muss Client Authentication (1.3.6.1.5.5.7.3.2)

• Die maximal unterstützte Schlüssellänge beträgt 2.048 Bit.

Diese Zertifikate müssen im Distinguished Encoding Rules (DER)-codierten binären X.509-Format vorliegen. Das Base64-codierte X.509-Format wird nicht unterstützt.

Stammzertifizierungsstellenzertifikate

Dieses Zertifikat ist ein Standardzertifikat der Stammzertifizierungsstelle.

Gilt für:

• BS-Bereitstellung
• Clientzertifikatsauthentifizierung
• Registrierung mobiler Geräte

Zertifikatzweck: Zertifikatkette zu einer vertrauenswürdigen Quelle

Das Zertifikat der Stammzertifizierungsstelle muss bereitgestellt werden, wenn Clients die Zertifikate des kommunizierenden Servers mit einer vertrauenswürdigen Quelle verketten müssen. Das Stammzertifizierungsstellenzertifikat für Clients muss bereitgestellt werden, wenn die Clientzertifikate von einer anderen Zertifizierungsstellenhierarchie als der ZS-Hierarchie ausgestellt werden, die das Verwaltungspunktzertifikat ausgestellt hat.