Voraussetzungen für Zertifikatprofile in Configuration Manager
Betrifft: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Hinweis |
---|
Die Informationen in diesem Thema gelten nur für System Center 2012 R2 Configuration Manager-Versionen. |
Zertifikatprofile in System Center 2012 Configuration Manager verfügen über externe Abhängigkeiten und Abhängigkeiten innerhalb des Produkts.
Externe Abhängigkeiten von Configuration Manager
Abhängigkeit |
Weitere Informationen |
||
---|---|---|---|
Eine ausstellende Zertifizierungsstelle, unter der Active Directory-Zertifikatdienste (AD CS) ausgeführt werden. Zum Widerrufen von Zertifikaten muss die ausstellende Zertifizierungsstelle mit der Berechtigung „Zertifikate ausstellen und verwalten“ für den Standortserver auf der obersten Ebene der Hierarchie konfiguriert werden.
|
Weitere Informationen zu Active Directory-Zertifikatdiensten finden Sie in der Dokumentation zu Windows Server:
|
||
Der Rollendienst „Registrierungsdienst für Netzwerkgeräte“ für Active Directory-Zertifikatdienste, der unter Windows Server 2012 R2 ausgeführt wird. Beachten Sie auch Folgendes:
|
Durch die Kommunikation von Configuration Manager mit dem Registrierungsdienst für Netzwerkgeräte in Windows Server 2012 R2 werden SCEP-Anforderungen (Simple Certificate Enrollment-Protokoll) generiert und überprüft. Wenn Sie Zertifikate für Benutzer oder Geräte ausstellen, die eine Verbindung über das Internet herstellen (z. B. für mobile Geräte, die mit Microsoft Intune verwaltet werden), muss der Server, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird, für diese Geräte über das Internet verfügbar sein. Installieren Sie den Server beispielsweise in einem Umkreisnetzwerk (auch als überwachtes Subnetz bezeichnet). Wenn sich zwischen dem Server, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird, und der ausstellenden Zertifizierungsstelle eine Firewall befindet, müssen Sie diese so konfigurieren, dass der Datenverkehr (DCOM) zwischen den Servern zugelassen wird. Diese Anforderung zur Firewall gilt auch für den Server, auf dem der Configuration Manager-Standortserver und die ausstellende Zertifizierungsstelle ausgeführt werden, damit Zertifikate von Configuration Manager gesperrt werden können. Wenn der Registrierungsdienst für Netzwerkgeräte so konfiguriert wurde, dass die bewährte Sicherheitsmethode SSL verwendet werden muss, stellen Sie sicher, dass Geräte, mit denen eine Verbindung hergestellt wird, zum Überprüfen des Serverzertifikats Zugriff auf die Zertifikatsperrliste (Certificate Revocation List, CRL) haben. Weitere Informationen zum Registrierungsdienst für Netzwerkgeräte in Windows Server 2012 R2 finden Sie unter Using a Policy Module with the Network Device Enrollment Service (Verwenden eines Richtlinienmoduls mit dem Registrierungsdienst für Netzwerkgeräte). |
||
Wenn die ausstellende Zertifizierungsstelle unter Windows Server 2008 R2 ausgeführt wird, ist für diesen Server ein Hotfix für SCEP-Erneuerungsanforderungen erforderlich. |
Installieren Sie den Hotfix, sofern Sie dies nicht bereits getan haben. Weitere Informationen finden Sie im Artikel : Erneuerungsanforderung für ein SCEP-Zertifikat in Windows Server 2008 R2 schlägt fehl, wenn das Zertifikat mithilfe der NDES verwaltet wird in der Microsoft Knowledge Base. |
||
Ein PKI-Clientauthentifizierungszertifikat und ein exportiertes Zertifikat der Stammzertifizierungsstelle. |
Mit diesem Zertifikat wird der Server, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird, für Configuration Manager authentifiziert. Weitere Informationen finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager. |
||
Unterstützte Gerätebetriebssysteme. |
Zertifikatprofile können für Geräte unter den Betriebssystemen iOS, Windows 8.1, Windows RT 8.1 und Android bereitgestellt werden. |
Abhängigkeiten in Configuration Manager
Abhängigkeit |
Weitere Informationen |
||
---|---|---|---|
Standortsystemrolle für Zertifikatregistrierungspunkt |
Zertifikatprofile können erst nach der Installation der Standortsystemrolle für den Zertifikatregistrierungspunkt verwendet werden. Diese Rolle wird für die Kommunikation mit der Configuration Manager-Datenbank, dem Configuration Manager-Standortserver und dem Configuration Manager-Richtlinienmodul verwendet. Weitere Informationen zu Systemanforderungen für diese Standortsystemrolle sowie zur Installation in der Hierarchie finden Sie hier:
|
||
Das Configuration Manager-Richtlinienmodul, das auf dem Server installiert ist, auf dem der Rollendienst „Registrierungsdienst für Netzwerkgeräte“ für Active Directory-Zertifikatdienste ausgeführt wird |
Zum Bereitstellen von Zertifikatprofilen muss das Configuration Manager-Richtlinienmodul installiert werden. Dieses Richtlinienmodul befindet sich auf dem Configuration Manager-Installationsmedium. |
||
Ermittlungsdaten |
Die Werte für den Zertifikatantragsteller und den alternativen Antragstellernamen werden von Configuration Manager bereitgestellt und aus den von der Ermittlung gesammelten Informationen abgerufen.
Weitere Informationen zur Ermittlung finden Sie unter Planen der Ermittlung in Configuration Manager. |
||
Spezielle Sicherheitsberechtigungen für die Verwaltung von Zertifikatprofilen |
Sie müssen über die folgenden Sicherheitsberechtigungen verfügen, um Einstellungen für den Zugriff auf Unternehmensressourcen wie Zertifikatprofile, WLAN-Profile und VPN-Profile zu verwalten:
In der Sicherheitsrolle Zugriffs-Manager für Unternehmensressourcen sind diese Berechtigungen zum Verwalten der Zertifikatprofile in Configuration Manager enthalten. Weitere Informationen finden Sie im Abschnitt Konfigurieren der rollenbasierten Verwaltung des Themas Konfigurieren der Sicherheit für Configuration Manager. |