Erstellen von Zertifikatprofilen in Configuration Manager
Betrifft: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} Hinweis |
|---|
Die Informationen in diesem Thema gelten nur für System Center 2012 R2 Configuration Manager-Versionen. |
Zertifikatprofile in System Center 2012 Configuration Manager werden in Active Directory-Zertifikatdienste und in die Rolle „Registrierungsdienst für Netzwerkgeräte“ integriert, damit verwalteten Geräten Authentifizierungszertifikate bereitgestellt werden können, sodass Benutzer mit Zertifikaten auf Unternehmensressourcen zugreifen können. Die Informationen in diesem Thema helfen Ihnen beim Erstellen von Zertifikatprofilen in Configuration Manager.
.jpeg "System_CAPS_important"){kind=icon} Wichtig |
|---|
Damit Sie Zertifikatprofile erstellen können, müssen Sie zuerst die Konfiguration vornehmen. Weitere Informationen finden Sie unter Konfigurieren von Zertifikatprofilen in Configuration Manager. |
Schritte zum Erstellen eines Zertifikatprofils
Führen Sie die folgenden erforderlichen Schritte aus, um mithilfe des Assistenten zum Erstellen von Zertifikatprofilen ein Zertifikatprofil zu erstellen.
Schritt |
Details |
Weitere Informationen |
|---|---|---|
Schritt 1: Starten des Assistenten zum Erstellen von Zertifikatprofilen |
Starten Sie den Assistenten im Arbeitsbereich Bestand und Kompatibilität im Knoten Kompatibilitätseinstellungen. |
Weitere Informationen finden Sie in diesem Thema im Abschnitt Schritt 1: Starten des Assistenten zum Erstellen von Zertifikatprofilen. |
Schritt 2: Bereitstellen von allgemeinen Informationen zum Zertifikatprofil |
Geben Sie allgemeine Informationen wie den Namen und eine Beschreibung des Zertifikatprofils sowie den zu erstellenden Typ des Zertifikatprofils an. |
Weitere Informationen finden Sie in diesem Thema im Abschnitt Schritt 2: Bereitstellen von allgemeinen Informationen zum Zertifikatprofil. |
Schritt 3: Bereitstellen von Informationen zum Zertifikatprofil |
Stellen Konfigurationsinformationen für das Zertifikatprofil bereit. |
Weitere Informationen finden Sie in diesem Thema im Abschnitt Schritt 3: Bereitstellen von Informationen zum Zertifikatprofil. |
Schritt 4: Konfigurieren unterstützter Plattformen für das Zertifikatprofil |
Geben Sie Betriebssysteme an, unter denen Sie das Zertifikatprofil installieren werden. |
Weitere Informationen finden Sie in diesem Thema im Abschnitt Schritt 4: Konfigurieren unterstützter Plattformen für das Zertifikatprofil. |
Schritt 5: Abschließen des Assistenten |
Schließen Sie den Assistenten ab, um das neue Zertifikatprofil zu erstellen. |
Weitere Informationen finden Sie in diesem Thema im Abschnitt Schritt 5: Abschließen des Assistenten. |
.jpeg "System_CAPS_caution") Achtung |
|---|
Wenn Sie bereits mit einem SCEP-Zertifikatprofil (Simple Certificate Enrollment Protocol) ein Zertifikat bereitgestellt haben, wird durch das Ändern einiger Konfigurationsoptionen ein neues Zertifikat mit den neuen Werten angefordert. Wenn aufgrund dieser Änderungen die Anzahl der Erneuerungen von Zertifikatanforderungen hoch ist, kann dadurch eine hohe CPU-Auslastung auf dem Server verursacht werden, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird. Bezieht sich die Zertifikatanforderung auf einen Client im Intranet (beispielsweise Windows 8.1), dann wird das ursprüngliche Zertifikat gelöscht, wenn ein neues Zertifikat mit den neuen Werten angefordert wird. Bezieht sich die Zertifikatanforderung hingegen auf einen Client, der mithilfe des Microsoft Intune-Connectors verwaltet wird, dann wird das ursprüngliche Zertifikat nicht vom Gerät gelöscht, sondern bleibt installiert. Achten Sie in den folgenden Abschnitten auf diejenigen Einstellungen, die die Anforderung einer Zertifikaterneuerung zur Folge haben. |
Zusätzliche Verfahren zum Erstellen eines neuen Zertifikatprofils
Verwenden Sie die folgenden Informationen, wenn die Schritte in der vorstehenden Tabelle zusätzliche Verfahren erfordern.
Schritt 1: Starten des Assistenten zum Erstellen von Zertifikatprofilen
Verwenden Sie dieses Verfahren, um den Assistenten zum Erstellen von Zertifikatprofilen zu starten.
So starten Sie den Assistenten zum Erstellen von Zertifikatprofilen
-
Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.
-
Erweitern Sie im Arbeitsbereich Bestand und Kompatibilität die Kompatibilitätseinstellungen, den Zugriff auf Unternehmensressourcen, und klicken Sie dann auf Zertifikatprofile.
-
Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Zertifikatprofil erstellen.
Schritt 2: Bereitstellen von allgemeinen Informationen zum Zertifikatprofil
Verwenden Sie dieses Verfahren, um allgemeine Informationen zum Zertifikatprofil bereitzustellen.
So stellen Sie allgemeine Informationen zum Zertifikatprofil bereit
-
Geben Sie auf der Seite Allgemein des Assistenten zum Erstellen von Zertifikatprofilen die folgenden Informationen an:
- **Name**: Geben Sie einen eindeutigen Namen für das Zertifikatprofil ein. Sie können maximal 256 Zeichen verwenden. - **Beschreibung**: Geben Sie eine Beschreibung mit einem Überblick über das Zertifikatprofil sowie weitere relevante Informationen ein, die der Identifikation des Profils in der Configuration Manager-Konsole dienen. Sie können maximal 256 Zeichen verwenden. - **Geben Sie den Typ des Zertifikatprofils an, das Sie erstellen möchten**: Wählen Sie einen der folgenden Typen für das Zertifikatprofil aus: - **Vertrauenswürdiges Zertifikat der Zertifizierungsstelle**: Wählen Sie diesen Typ für das Zertifikatprofil aus, falls Sie ein vertrauenswürdiges Zertifikat der Stamm- oder Zwischenzertifizierungsstelle bereitstellen möchten, um eine Vertrauenskette zu bilden, wenn sich der Benutzer oder das Gerät bei einem anderen Gerät authentifizieren müssen. Hierbei könnte es sich etwa um einen RADIUS-Server (Remote Authentication Dial-In User Service) oder einen VPN-Server (Virtual Private Network) handeln. Darüber hinaus müssen Sie ein Profil mit einem vertrauenswürdigen Zertifikat der Zertifizierungsstelle konfigurieren, bevor Sie ein SCEP-Zertifikatprofil erstellen können. In diesem Fall muss das vertrauenswürdige Zertifikat der Zertifizierungsstelle das vertrauenswürdige Stammzertifikat für die Zertifizierungsstelle sein, von der das Zertifikat für den Benutzer oder das Gerät ausgestellt wird. - **Einstellungen für Simple Certificate Enrollment-Protokoll (SCEP)**: Wählen Sie diesen Typ für das Zertifikatprofil aus, wenn Sie mit dem Simple Certificate Enrollment-Protokoll und dem Rollendienst „Registrierungsdienst für Netzwerkgeräte“ ein Zertifikat für einen Benutzer oder ein Gerät anfordern möchten.
Schritt 3: Bereitstellen von Informationen zum Zertifikatprofil
Verwenden Sie eines der folgenden Verfahren, um im Zertifikatprofil Informationen zum Zertifikatprofil für vertrauenswürdige Zertifikate der Zertifizierungsstelle und SCEP-Zertifikate zu konfigurieren.
| Wichtig |
|---|
Sie müssen mindestens ein Profil mit einem vertrauenswürdigen Zertifikat der Zertifizierungsstelle konfigurieren, bevor Sie ein SCEP-Zertifikatprofil erstellen können. |
So konfigurieren Sie ein vertrauenswürdiges Zertifikat der Zertifizierungsstelle
-
Geben Sie auf der Seite Vertrauenswürdiges Zertifikat der Zertifizierungsstelle des Assistenten zum Erstellen von Zertifikatprofilen die folgenden Informationen an:
- **Zertifikatdatei**: Klicken Sie auf **Importieren**, und navigieren Sie dann zu der Zertifikatdatei, die Sie verwenden möchten. - **Zielspeicher**: Wählen Sie für Geräte, die mehr als einen Zertifikatspeicher haben, den Speicherort des Zertifikats aus. Bei Geräten, die nur einen Speicher haben, wird diese Einstellung ignoriert. -
Stellen Sie mit dem Wert Zertifikatfingerabdruck sicher, dass Sie das richtige Zertifikat importiert haben.
Fahren Sie mit Schritt 4: Konfigurieren unterstützter Plattformen für das Zertifikatprofil fort.
So konfigurieren Sie SCEP-Zertifikatinformationen
-
Geben Sie auf der Seite SCEP-Anmeldung des Assistenten zum Erstellen von Zertifikatprofilen die folgenden Informationen an:
- **Wiederholungen**: Geben Sie an, wie häufig vom Gerät automatisch versucht werden soll, das Zertifikat beim Server mit dem Registrierungsdienst für Netzwerkgeräte anzufordern. Mit dieser Einstellung wird das Szenario unterstützt, bei dem eine Zertifikatanforderung von einem Zertifizierungsstellen-Manager genehmigt werden muss, bevor sie akzeptiert wird. Sie wird üblicherweise in Umgebungen mit hoher Sicherheit oder in Fällen verwendet, in denen eine eigenständige ausstellende Zertifizierungsstelle statt einer Unternehmenszertifizierungsstelle eingesetzt wird. Sie können diese Einstellung auch für Testzwecke nutzen, sodass Sie die Optionen der Zertifikatanforderung prüfen können, bevor die Zertifikatanforderung von der ausstellenden Zertifizierungsstelle verarbeitet wird. Verwenden Sie diese Einstellung zusammen mit der Einstellung **Wiederholungsverzögerung (Minuten)**. - **Wiederholungsverzögerung (Minuten)**: Geben Sie das Intervall in Minuten zwischen den Anmeldeversuchen an, wenn die Genehmigung durch einen Zertifizierungsstellen-Manager benötigt wird, bevor die Zertifikatanforderungen von der ausstellenden Zertifizierungsstelle verarbeitet werden. Wenn Sie zu Testzwecken die Genehmigung eines Managers nutzen, sollten Sie einen niedrigen Wert angeben, damit Sie nach der Genehmigung der Zertifikatanforderung nicht zu lange auf die Wiederholung der Anforderung durch das Gerät warten müssen. Wenn Sie die Genehmigung eines Managers in einem Produktionsnetzwerk nutzen, sollten Sie dagegen einen höheren Wert angeben, damit der Zertifizierungsstellenadministrator ausreichend Zeit zum Überprüfen und Genehmigen bzw. Verweigern ausstehender Genehmigungen hat. - **Erneuerungsschwellenwert (%)**: Geben Sie den Prozentsatz der Zertifikatgültigkeitsdauer an, die verbleibt, bevor das Gerät eine Erneuerung des Zertifikats anfordert. - **Schlüsselspeicheranbieter**: Geben Sie an, wo der Schlüssel für das Zertifikat gespeichert wird. Wählen Sie einen der folgenden Werte aus: - **In Trusted Platform Module (TPM) installieren (sofern vorhanden)**: Hiermit wird der Schlüssel im TPM installiert. Wenn das TPM nicht vorhanden ist, wird der Schlüssel im Speicheranbieter für den Softwareschlüssel installiert. - **In Trusted Platform Module (TPM) installieren (andernfalls Fehler)**: Hiermit wird der Schlüssel im TPM installiert. Wenn das TPM nicht vorhanden ist, schlägt die Installation fehl. - **In Softwareschlüsselspeicher-Anbieter installieren**: Der Schlüssel wird im Speicheranbieter für den Softwareschlüssel installiert. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie diesen Wert nach der Zertifikatbereitstellung ändern, wird das alte Zertifikat gelöscht, und ein neues Zertifikat wird angefordert.</p></td> </tr> </tbody> </table> </div> - **Geräte für die Zertifikatregistrierung**: Wenn das Zertifikatprofil in einer Benutzersammlung bereitgestellt wird, wählen Sie aus, ob die Zertifikatregistrierung nur auf dem primären Gerät des Benutzers oder auf allen Geräten, bei denen der Benutzer sich anmeldet, zulässig sein soll. Wenn das Zertifikatprofil in einer Gerätesammlung bereitgestellt wird, wählen Sie aus, ob die Zertifikatregistrierung nur für den primären Benutzer des Geräts oder für alle Benutzer, die sich bei dem Gerät anmelden, zulässig sein soll. -
Geben Sie auf der Seite Zertifikateigenschaften des Assistenten zum Erstellen von Zertifikatprofilen die folgenden Informationen an:
- **Name der Zertifikatvorlage**: Klicken Sie auf **Durchsuchen**, um den Namen der Zertifikatvorlage auszuwählen, der im Registrierungsdienst für Netzwerkgeräte konfiguriert ist und der einer ausstellenden Zertifizierungsstelle hinzugefügt wurde. Damit Sie Zertifikatvorlagen durchsuchen können, muss das Benutzerkonto, mit dem Sie die Configuration Manager-Konsole ausführen, über die Berechtigung Lesen für die Zertifikatvorlage verfügen. Wenn Sie **Durchsuchen** nicht verwenden können, geben Sie alternativ den Namen der Zertifikatvorlage ein. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn249696.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Wichtig</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Sind im Namen der Zertifikatvorlage Nicht-ASCII-Zeichen enthalten (beispielsweise Zeichen aus dem chinesischen Alphabet), dann wird das Zertifikat nicht bereitgestellt. Damit sichergestellt ist, dass das Zertifikat bereitgestellt wird, müssen Sie zunächst eine Kopie der Zertifikatvorlage auf die Zertifizierungsstelle kopieren und diese Kopie dann unter Verwendung von ASCII-Zeichen umbenennen.</p></td> </tr> </tbody> </table> </div> Beachten Sie je nachdem, ob Sie zur Zertifikatvorlage navigieren oder den Namen des Zertifikats eingeben, Folgendes: - Wenn Sie zur Auswahl des Zertifikatvorlagennamens zur Zertifikatvorlage navigieren, werden einige Felder auf der Seite automatisch aus der Zertifikatvorlage aufgefüllt. In einigen Fällen können Sie diese Werte erst ändern, wenn Sie eine andere Zertifikatvorlage auswählen. - Wenn Sie den Namen der Zertifikatvorlage eingeben, stellen Sie sicher, dass der Name genau mit einer der in der Registrierung des Servers mit dem Registrierungsdienst für Netzwerkgeräte aufgeführten Zertifikatvorlagen übereinstimmt. Achten Sie darauf, dass Sie den Namen der Zertifikatvorlage und nicht den Anzeigenamen der Zertifikatvorlage angeben. Navigieren Sie zum folgenden Schlüssel, um die Namen der Zertifikatvorlagen zu suchen: HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\MSCEP. Die Zertifikatvorlagen werden als Werte für **EncryptionTemplate**, **GeneralPurposeTemplate** und **SignatureTemplate** aufgeführt. Standardmäßig ist der Wert für die drei Zertifikatvorlagen **IPSECIntermediateOffline**. Dieser Wert entspricht dem Anzeigenamen **IPSec (Offlineanforderung)**. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh427340.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-warning(TechNet.10).jpeg" title="System_CAPS_warning" alt="System_CAPS_warning" />Warnung</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Da die Inhalte der Zertifikatvorlage von Configuration Manager nicht überprüft werden können, wenn Sie den Namen der Zertifikatvorlage eingeben, statt zu ihm zu navigieren, können Sie möglicherweise Optionen auswählen, die von der Zertifikatvorlage nicht unterstützt werden. Dies führt zu einem Fehler bei der Zertifikatanforderung. In diesem Fall wird in der Datei CPR.log eine Fehlermeldung für w3wp.exe angezeigt, die besagt, dass der Vorlagenname in der Zertifikatsignieranforderung (CSR) und die Abfrage nicht übereinstimmen.</p> <p>Wenn Sie den Namen der Zertifikatvorlage eingeben, der für den Wert <strong>GeneralPurposeTemplate</strong> angegeben ist, müssen Sie für dieses Zertifikatprofil die Optionen <strong>Schlüsselverschlüsselung</strong> und <strong>Digitale Signatur</strong> auswählen. Wenn Sie in diesem Zertifikatprofil jedoch nur die Option <strong>Schlüsselverschlüsselung</strong> aktivieren möchten, geben Sie den Namen der Zertifikatvorlage für den Schlüssel <strong>EncryptionTemplate</strong> an. Wenn Sie in diesem Zertifikatprofil dagegen nur die Option <strong>Digitale Signatur</strong> aktivieren möchten, geben Sie den Namen der Zertifikatvorlage für den Schlüssel <strong>SignatureTemplate</strong> an.</p></td> </tr> </tbody> </table> </div> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie diesen Wert nach der Zertifikatbereitstellung ändern, wird das alte Zertifikat gelöscht, und ein neues Zertifikat wird angefordert.</p></td> </tr> </tbody> </table> </div> - **Zertifikattyp**: Wählen Sie aus, ob das Zertifikat für ein Gerät oder einen Benutzer bereitgestellt wird. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie diesen Wert nach der Zertifikatbereitstellung ändern, wird das alte Zertifikat gelöscht, und ein neues Zertifikat wird angefordert.</p></td> </tr> </tbody> </table> </div> - **Format des Antragstellernamens**: Wählen Sie in der Liste aus, wie Configuration Manager den Antragstellernamen in der Zertifikatanforderung automatisch erstellt. Wenn das Zertifikat für einen Benutzer bestimmt ist, können Sie auch die E-Mail-Adresse des Benutzers im Antragstellernamen einschließen. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie diesen Wert nach der Zertifikatbereitstellung ändern, wird das alte Zertifikat gelöscht, und ein neues Zertifikat wird angefordert.</p></td> </tr> </tbody> </table> </div> - **Alternativer Antragstellername**: Geben Sie an, wie die Werte für den alternativen Antragstellernamen (Subject Alternative Name, SAN) in der Zertifikatanforderung von Configuration Manager automatisch erstellt werden sollen. Beispiel: Wenn Sie einen Benutzerzertifikattyp ausgewählt haben, könnten Sie in den alternativen Antragstellernamen den Benutzerprinzipalnamen (User Principal Name, UPN) aufnehmen. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh427330.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Tipp</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn das Clientzertifikat für die Authentifizierung bei einem Netzwerkrichtlinienserver verwendet werden soll, müssen Sie den alternativen Antragstellernamen auf den Benutzerprinzipalnamen festlegen.</p></td> </tr> </tbody> </table> </div> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie diesen Wert nach der Zertifikatbereitstellung ändern, wird das alte Zertifikat gelöscht, und ein neues Zertifikat wird angefordert.</p></td> </tr> </tbody> </table> </div> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn249696.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Wichtig</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Von iOS-Geräten werden beschränkte Formate des Antragstellernamens und alternative Antragstellernamen in SCEP-Zertifikaten unterstützt. Wenn Sie ein nicht unterstütztes Format angeben, werden Zertifikate auf iOS-Geräten nicht registriert. Wenn Sie ein SCEP-Zertifikatprofil für die Bereitstellung auf iOS-Geräten konfigurieren, verwenden Sie den <strong>allgemeinen Namen</strong> für <strong>Format des Antragstellernamens</strong> und den <strong>DNS-Namen</strong>, die <strong>E-Mail-Adresse</strong> oder den <strong>UPN</strong> für <strong>Alternativer Antragstellername</strong>.</p></td> </tr> </tbody> </table> </div> - **Gültigkeitsdauer des Zertifikats**: Wenn Sie den Befehl certutil - setreg Policy\\EditFlags +EDITF\_ATTRIBUTEENDDATE auf der ausstellenden Zertifizierungsstelle ausgeführt haben, die eine benutzerdefinierte Gültigkeitsdauer ermöglicht, können Sie die verbleibende Dauer vor dem Ablaufen des Zertifikats angeben. Weitere Informationen zu diesem Befehl finden Sie im Abschnitt [Schritt 1: Installieren und Konfigurieren des Registrierungsdiensts für Netzwerkgeräte und der Abhängigkeiten](dn270539\(v=technet.10\).md) dieses Themas [Konfigurieren von Zertifikatprofilen in Configuration Manager](dn270539\(v=technet.10\).md). Sie können einen niedrigeren Wert als den für die Gültigkeitsdauer in der angegebenen Zertifikatvorlage angeben, aber keinen höheren. Beispiel: Wenn die Gültigkeitsdauer des Zertifikats in der Zertifikatvorlage zwei Jahre beträgt, können Sie als Wert ein Jahr angeben, aber nicht fünf Jahre. Zudem muss der Wert niedriger als die verbleibende Gültigkeitsdauer des Zertifikats der ausstellenden Zertifizierungsstelle sein. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie diesen Wert nach der Zertifikatbereitstellung ändern, wird das alte Zertifikat gelöscht, und ein neues Zertifikat wird angefordert.</p></td> </tr> </tbody> </table> </div> - **Schlüsselverwendung**: Geben Sie Schlüsselverwendungsoptionen für das Zertifikat an. Sie können unter folgenden Optionen wählen: - **Schlüsselverschlüsselung**: Der Schlüsselaustausch wird nur gestattet, wenn der Schlüssel verschlüsselt wird. - **Digitale Signatur**: Der Schlüsselaustausch wird nur gestattet, wenn der Schutz des Schlüssels durch eine digitale Signatur unterstützt wird. Wenn Sie eine Zertifikatvorlage über **Durchsuchen** ausgewählt haben, können Sie diese Einstellungen eventuell erst dann ändern, wenn Sie eine andere Zertifikatvorlage ausgewählt haben. Die ausgewählte Zertifikatvorlage muss mit mindestens einer der beiden oben angegebenen Optionen zur Schlüsselnutzung konfiguriert sein. Andernfalls wird die Meldung **Schlüsselverwendung in CSR und Abfrage stimmen nicht überein** in der Protokolldatei **Crp.log** für den Zertifikatregistrierungspunkt aufgeführt. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie diesen Wert nach der Zertifikatbereitstellung ändern, wird das alte Zertifikat gelöscht, und ein neues Zertifikat wird angefordert.</p></td> </tr> </tbody> </table> </div> - **Schlüsselgröße (Bits)**: Wählen Sie die Größe des Schlüssels in Bit. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie diesen Wert nach der Zertifikatbereitstellung ändern, wird das alte Zertifikat gelöscht, und ein neues Zertifikat wird angefordert.</p></td> </tr> </tbody> </table> </div> - **Erweiterte Schlüsselverwendung**: Klicken Sie auf **Auswählen**, um Werte für den beabsichtigten Zweck des das Zertifikats hinzuzufügen. In den meisten Fällen erfordert das Zertifikat **Clientauthentifizierung**, damit der Benutzer bzw. das Gerät auf einem Server authentifiziert werden kann. Sie können jedoch nach Bedarf weitere Schlüsselverwendungen hinzufügen. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie diesen Wert nach der Zertifikatbereitstellung ändern, wird das alte Zertifikat gelöscht, und ein neues Zertifikat wird angefordert.</p></td> </tr> </tbody> </table> </div> - **Hashalgorithmus**: Wählen Sie einen der verfügbaren Hashalgorithmustypen, der für dieses Zertifikat verwendet werden soll. Wählen Sie die höchste Sicherheitsebene aus, die die verbundenen Geräten unterstützen. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p><strong>SHA-1</strong> unterstützt nur SHA-1.<strong>SHA-2</strong> unterstützt SHA-256, SHA-384 und SHA-512.<strong>SHA-3</strong> unterstützt nur SHA-3.</p></td> </tr> </tbody> </table> </div> - **Zertifikat der Stammzertifizierungsstelle**: Klicken Sie auf **Auswählen**, um ein Profil für ein Stamm-Zertifizierungsstellenzertifikat auszuwählen, das Sie zuvor konfiguriert und für den Benutzer oder das Gerät bereitgestellt haben. Dieses Zertifizierungsstellenzertifikat muss das Stammzertifikat für die Zertifizierungsstelle sein, die das Zertifikat ausstellt, das Sie in diesem Zertifikatprofil konfigurieren. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn249696.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Wichtig</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie ein Zertifikat der Stammzertifizierungsstelle angeben, das dem Benutzer oder Gerät noch nicht bereitgestellt wurde, wird die Anforderung des Zertifikats, das Sie in diesem Zertifikatprofil konfigurieren, von Configuration Manager eingeleitet.</p></td> </tr> </tbody> </table> </div> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie diesen Wert nach der Zertifikatbereitstellung ändern, wird das alte Zertifikat gelöscht, und ein neues Zertifikat wird angefordert.</p></td> </tr> </tbody> </table> </div>
Schritt 4: Konfigurieren unterstützter Plattformen für das Zertifikatprofil
Verwenden Sie das folgende Verfahren, um Betriebssysteme anzugeben, unter denen Sie das Zertifikatprofil installieren werden.
So geben Sie unterstützte Plattformen für das Zertifikatprofil an
-
Wählen Sie auf der Seite Unterstützte Plattformen des Assistenten zum Erstellen von Zertifikatprofilen die Betriebssysteme aus, unter denen das Zertifikatprofil installiert wird. Alternativ klicken Sie auf Alle auswählen, um das Zertifikatprofil unter allen verfügbaren Betriebssystemen zu installieren.
Schritt 5: Abschließen des Assistenten
Überprüfen Sie auf der Seite Zusammenfassung des Assistenten die auszuführenden Aktionen, und schließen Sie dann den Assistenten ab. Das neue Zertifikatprofil wird im Knoten Zertifikatprofile im Arbeitsbereich Bestand und Kompatibilität angezeigt und steht zur Bereitstellung für Benutzer oder Geräte zur Verfügung. Weitere Informationen finden Sie unter Bereitstellen von Zertifikatprofilen in Configuration Manager.