• Artikel

PKI-Zertifikatanforderungen für Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Die für System Center 2012 Configuration Manager erforderlichen PKI-Zertifikate (Public Key-Infrastruktur) sind in den folgenden Tabellen aufgeführt. Für diese Informationen wird ein grundlegendes Verständnis von PKI-Zertifikaten vorausgesetzt. Detaillierte Anleitungen für eine Beispielbereitstellung dieser Zertifikate finden Sie unter Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle. Weitere Informationen zu Active Directory-Zertifikatdiensten finden Sie in der folgenden Dokumentation:

Mit Ausnahme der Clientzertifikate, die von Configuration Manager auf mobilen Geräten und Macintosh-Computern angemeldet werden, der Zertifikate, die von Microsoft Intune automatisch für die Verwaltung mobiler Geräte erstellt werden, und der Zertifikate, die von Configuration Manager auf AMT-basierten Computern installiert werden, können Sie eine beliebige PKI zum Erstellen, Bereitstellen und Verwalten der folgenden Zertifikate verwenden. Wenn Sie Active Directory-Zertifikatdienste und Zertifikatvorlagen nutzen, kann Ihnen diese Microsoft PKI-Lösung jedoch die Verwaltung der Zertifikate erleichtern. Verwenden Sie in den folgenden Tabellen die Spalte Zu verwendende Microsoft-Zertifikatvorlage, um die Zertifikatvorlage zu identifizieren, mit der die Zertifikatanforderungen am ehesten erfüllt werden. Auf Vorlagen basierende Zertifikate können nur von einer Unternehmenszertifizierungsstelle ausgestellt werden, die unter der Enterprise Edition oder Datacenter Edition des Serverbetriebssystems ausgeführt wird, z. B. Windows Server 2008 Enterprise und Windows Server 2008 Datacenter.

System_CAPS_importantWichtig

Verwenden Sie beim Nutzen einer Unternehmenszertifizierungsstelle und von Zertifikatvorlagen keine Vorlagen der Version 3. Mit diesen Zertifikatvorlagen werden Zertifikate erstellt, die nicht mit Configuration Manager kompatibel sind. Verwenden Sie stattdessen die Vorlagen der Version 2 unter Beachtung der folgenden Anweisungen:

  • Für eine Zertifizierungsstelle unter Windows Server 2012: Tragen Sie auf der Registerkarte Kompatibilität der Zertifikateigenschaften unter der Option Zertifizierungsstelle die Angabe Windows Server 2003 und unter der Option Zertifikatempfänger die Angabe Windows XP/Server 2003 ein.

  • Für eine Zertifizierungsstelle unter Windows Server 2008: Behalten Sie beim Duplizieren einer Zertifikatvorlage die Standardauswahl Windows Server 2003 Enterprise bei, wenn Sie über das Dialogfeld Doppelte Vorlage zu einer Eingabe aufgefordert werden. Wählen Sie nicht Windows Server 2008 Enterprise Edition aus.

Mithilfe der folgenden Abschnitte können Sie die Zertifikatanforderungen anzeigen.

PKI-Zertifikate für Server

Configuration Manager-Komponente

Zertifikatzweck

Zu verwendende Microsoft-Zertifikatvorlage

Spezifische Informationen im Zertifikat

Verwendung des Zertifikats in Configuration Manager

Standortsysteme, auf denen Internet Information Services (IIS) ausgeführt wird und die für HTTPS-Clientverbindungen konfiguriert sind:

  • Verwaltungspunkt

  • Verteilungspunkt

  • Softwareupdatepunkt

  • Zustandsmigrationspunkt

  • Anmeldungspunkt

  • Anmeldungsproxypunkt

  • Anwendungskatalog-Webdienstpunkt

  • Anwendungskatalog-Websitepunkt

Serverauthentifizierung

Webserver

Der Wert Erweiterte Schlüsselverwendung muss Serverauthentifizierung (1.3.6.1.5.5.7.3.1) enthalten.

Wenn das Standortsystem Verbindungen aus dem Internet akzeptiert, muss der „Antragstellername“ oder der „Alternative Antragstellername“ den internetbasierten, vollständig qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) enthalten.

Wenn das Standortsystem Verbindungen aus dem Intranet akzeptiert, muss der „Antragstellername“ oder der „Alternative Antragstellername“ entweder den Intranet-FQDN (empfohlen) oder den Computernamen enthalten, je nachdem, wie das Standortsystem konfiguriert ist.

Wenn das Standortsystem Verbindungen aus dem Internet und dem Intranet akzeptiert, müssen Internet-FQDN und Intranet-FQDN (oder der Computername) angegeben werden. Als Trennzeichen zwischen den zwei Namen muss das kaufmännische Und-Zeichen (&) verwendet werden.

System_CAPS_importantWichtig

Wenn der Softwareupdatepunkt nur Clientverbindungen aus dem Internet akzeptiert, muss das Zertifikat sowohl den Internet-FQDN als auch den Intranet-FQDN enthalten.

SHA-1- und SHA-2-Hashalgorithmen werden unterstützt.

Für dieses Zertifikat ist in Configuration Manager keine maximal zulässige Schlüssellänge angegeben. Informationen zu Problemen hinsichtlich der Schlüssellänge dieses Zertifikats finden Sie in der PKI- und IIS-Dokumentation.

Dieses Zertifikat muss sich im privaten Speicher des Computerzertifikatspeichers befinden.

Das Webserverzertifikat wird zur Authentifizierung dieser Server auf dem Client und zur Verschlüsselung aller Daten mit SSL (Secure Sockets Layer) verwendet, die zwischen dem Client und diesen Servern übertragen werden.

Cloudbasierter Verteilungspunkt

Serverauthentifizierung

Webserver

Der Wert Erweiterte Schlüsselverwendung muss Serverauthentifizierung (1.3.6.1.5.5.7.3.1) enthalten.

Der Antragstellername muss für die jeweilige Instanz des cloudbasierten Verteilungspunkts einen vom Kunden definierten Dienstnamen und Domänennamen im FQDN-Format als allgemeinen Namen enthalten.

Der private Schlüssel muss exportierbar sein.

SHA-1- und SHA-2-Hashalgorithmen werden unterstützt.

Unterstützte Schlüssellängen: 2048 Bits.

Für System Center 2012 Configuration Manager SP1 und höher:

Dieses Dienstzertifikat wird zur Authentifizierung des cloudbasierten Verteilungspunktdiensts für Configuration Manager-Clients und zur Verschlüsselung aller Daten per SSL (Secure Sockets Layer) verwendet, die zwischen diesen Komponenten übertragen werden.

Dieses Zertifikat muss in einem öffentlichen Schlüsselzertifikatstandard-Format (Public Key Certificate Standard, PKCS #12) exportiert werden, und das Kennwort muss bekannt sein, damit es importiert werden kann, wenn Sie einen cloudbasierten Verteilungspunkt erstellen.

System_CAPS_noteHinweis

Dieses Zertifikat wird in Verbindung mit dem Windows Azure-Verwaltungszertifikat verwendet. Weitere Informationen zu diesem Zertifikat finden Sie unter Erstellen eines Verwaltungszertifikats für Windows Azure und Gewusst wie: Hinzufügen eines Verwaltungszertifikats zu einem Windows Azure-Abonnement im Abschnitt zur Windows Azure-Plattform in der MSDN Library.

NLB-Cluster für einen Softwareupdatepunkt

Serverauthentifizierung

Webserver

Der Wert Erweiterte Schlüsselverwendung muss Serverauthentifizierung (1.3.6.1.5.5.7.3.1) enthalten.

  1. Der FQDN des NLB-Clusters im Feld „Antragstellername“ oder „Alternativer Antragstellername“:

    • Verwenden Sie für NLB-Server, die die internetbasierte Clientverwaltung unterstützen, den Internet-NLB-FQDN.

    • Verwenden Sie für NLB-Server, die intranetbasierte Clients unterstützen, den Intranet-NLB-FQDN.

  2. Der Computername des Standortsystems im NLB-Cluster im Feld „Antragstellername“ oder „Alternativer Antragstellername“. Dieser Servername muss nach dem NLB-Clusternamen und dem kaufmännischen und-Zeichen (&) angegeben werden:

    • Verwenden Sie für Standortsysteme im Intranet den Intranet-FQDN, wenn dieser angegeben ist (empfohlen), oder den NetBIOS-Namen des Computers.

    • Verwenden Sie für Standortsysteme, die die internetbasierte Clientverwaltung unterstützen, den Internet-FQDN.

SHA-1- und SHA-2-Hashalgorithmen werden unterstützt.

Für System Center 2012 Configuration Manager ohne Service Pack gilt Folgendes:

Mit diesem Zertifikat wird der NLB-Softwareupdatepunkt beim Client authentifiziert, und alle zwischen dem Client und diesen Servern übertragenen Daten werden mit SSL verschlüsselt.

System_CAPS_noteHinweis

Dieses Zertifikat gilt nur für Configuration Manager ohne Service Pack, da ab System Center 2012 Configuration Manager SP1 keine NLB-Softwareupdatepunkte unterstützt werden.

Standortsystemserver, auf denen Microsoft SQL Server ausgeführt wird

Serverauthentifizierung

Webserver

Der Wert Erweiterte Schlüsselverwendung muss Serverauthentifizierung (1.3.6.1.5.5.7.3.1) enthalten.

Der Antragstellername muss den vollqualifizierten Intranet-Domänennamen (FQDN) enthalten.

SHA-1- und SHA-2-Hashalgorithmen werden unterstützt.

Es wird eine maximale Schlüssellänge von 2048 Bits unterstützt.

Dieses Zertifikat muss sich im privaten Speicher des Computerzertifikatspeichers befinden. Es wird von Configuration Manager automatisch in den Speicher für vertrauenswürdige Personen für solche Server in der Configuration Manager-Hierarchie kopiert, für die möglicherweise eine Vertrauensstellung mit dem Server hergestellt werden muss.

Diese Zertifikate werden für die Server-zu-Server-Authentifizierung verwendet.

SQL Server-Cluster: Standortsystemserver, auf denen Microsoft SQL Server ausgeführt wird

Serverauthentifizierung

Webserver

Der Wert Erweiterte Schlüsselverwendung muss Serverauthentifizierung (1.3.6.1.5.5.7.3.1) enthalten.

Der Antragstellername muss den vollqualifizierten Intranet-Domänennamen (FQDN) des Clusters enthalten.

Der private Schlüssel muss exportierbar sein.

Das Zertifikat muss einen Gültigkeitszeitraum von mindestens zwei Jahren aufweisen, wenn Sie Configuration Manager für die Verwendung des SQL Server-Clusters konfigurieren.

SHA-1- und SHA-2-Hashalgorithmen werden unterstützt.

Es wird eine maximale Schlüssellänge von 2048 Bits unterstützt.

Nachdem Sie dieses Zertifikat auf einem Knoten im Cluster angefordert und installiert haben, exportieren Sie das Zertifikat und importieren es dann in jeden Knoten des SQL Server-Clusters.

Dieses Zertifikat muss sich im privaten Speicher des Computerzertifikatspeichers befinden. Es wird von Configuration Manager automatisch in den Speicher für vertrauenswürdige Personen für solche Server in der Configuration Manager-Hierarchie kopiert, für die möglicherweise eine Vertrauensstellung mit dem Server hergestellt werden muss.

Diese Zertifikate werden für die Server-zu-Server-Authentifizierung verwendet.

Standortsystemüberwachung für die folgenden Standortsystemrollen:

  • Verwaltungspunkt

  • Zustandsmigrationspunkt

Clientauthentifizierung

Arbeitsstationsauthentifizierung

Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten.

Computer müssen einen eindeutigen Wert im Feld Antragstellername oder Alternativer Antragstellername aufweisen.

System_CAPS_noteHinweis

Wenn Sie mehrere Werte für den alternativen Antragstellernamen verwenden, wird nur der erste Wert verwendet.

SHA-1- und SHA-2-Hashalgorithmen werden unterstützt.

Es wird eine maximale Schlüssellänge von 2048 Bits unterstützt.

Dieses Zertifikat ist auf den aufgelisteten Standortsystemservern erforderlich. Dies ist selbst dann der Fall, wenn der System Center 2012 Configuration Manager-Client nicht installiert ist, damit die Integrität dieser Standortsystemrollen überwacht und dem Standort berichtet werden kann.

Das Zertifikat für die Standortsysteme muss sich im privaten Speicher des Computerzertifikatspeichers befinden.

Server, auf denen das Configuration Manager-Richtlinienmodul mit dem Rollendienst „Registrierungsdienst für Netzwerkgeräte“ ausgeführt wird.

Clientauthentifizierung

Arbeitsstationsauthentifizierung

Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten.

Es gelten keine speziellen Anforderungen für den Zertifikatantragsteller oder den alternativen Antragstellernamen (Subject Alternative Name, SAN). Sie können ein Zertifikat für mehrere Verteilungspunkte auf mehreren Servern verwenden, auf denen der Registrierungsdienst für Netzwerkgeräte ausgeführt wird.

SHA-1-, SHA-2- und SHA-3-Hashalgorithmen werden unterstützt.

Unterstützte Schlüssellängen: 1024 Bit und 2048 Bit.

Die Informationen in diesem Thema gelten nur für System Center 2012 R2 Configuration Manager-Versionen.

Mit diesem Zertifikat wird das Configuration Manager-Richtlinienmodul gegenüber dem Standortsystemserver für den Zertifikatregistrierungspunkt authentifiziert, sodass Zertifikate für Benutzer und Geräte in Configuration Manager registriert werden können.

Standortsysteme mit installiertem Verteilungspunkt

Clientauthentifizierung

Arbeitsstationsauthentifizierung

Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten.

Es gelten keine speziellen Anforderungen für den Zertifikatantragsteller oder den alternativen Antragstellernamen (Subject Alternative Name, SAN). Sie können ein Zertifikat für mehrere Verteilungspunkte verwenden. Es wird jedoch ein anderes Zertifikat für jeden Verteilungspunkt empfohlen.

Der private Schlüssel muss exportierbar sein.

SHA-1- und SHA-2-Hashalgorithmen werden unterstützt.

Es wird eine maximale Schlüssellänge von 2048 Bits unterstützt.

Von diesem Zertifikat werden zwei Zwecke erfüllt:

  • Durch das Zertifikat wird der Verteilungspunkt gegenüber einem HTTPS-fähigen Verwaltungspunkt authentifiziert, bevor vom Verteilungspunkt Statusmeldungen gesendet werden.

  • Wenn die Verteilungspunktoption PXE-Unterstützung für Clients aktivieren ausgewählt ist, wird das Zertifikat an Computer gesendet. Wenn in den Tasksequenzen des Bereitstellungsprozesses für das Betriebssystem Clientaktionen enthalten sind, wie z. B. Clientrichtlinienabruf oder das Senden von Inventurinformationen, kann somit von den Clientcomputern während der Bereitstellung des Betriebssystems eine Verbindung mit HTTPS-fähigen Verwaltungspunkten hergestellt werden.

    Dieses Zertifikat wird nur für die Dauer der Betriebssystembereitstellung verwendet und wird nicht auf dem Client installiert. Aufgrund dieser temporären Verwendung kann dasselbe Zertifikat für jede Betriebssystembereitstellung verwendet werden, wenn Sie nur ein Clientzertifikat verwenden möchten.

Dieses Zertifikat muss in einem öffentlichen Schlüsselzertifikatstandard-Format (Public Key Certificate Standard, PKCS #12) exportiert werden, und das Kennwort muss bekannt sein, damit es in die Eigenschaften des Verteilungspunkts importiert werden kann.

System_CAPS_noteHinweis

Die Anforderungen für dieses Zertifikat sind identisch mit denen des Clientzertifikats für Startabbilder zum Bereitstellen von Betriebssystemen. Da die Anforderungen identisch sind, können Sie die gleiche Zertifikatdatei verwenden.

Out-of-Band-Dienstpunkt

AMT-Bereitstellung

Webserver (geändert)

Der Wert Erweiterte Schlüsselverwendung muss Serverauthentifizierung (1.3.6.1.5.5.7.3.1) und die folgenden Objektkennungen enthalten: 2.16.840.1.113741.1.2.3.

Der Antragstellername muss den FQDN des Servers enthalten, von dem der Out-of-Band-Dienstpunkt gehostet wird.

System_CAPS_noteHinweis

Wenn Sie ein AMT-Bereitstellungszertifikat von einer externen Zertifizierungsstelle statt von einer eigenen internen Zertifizierungsstelle anfordern und die Objekt-ID 2.16.840.1.113741.1.2.3 für die AMT-Bereitstellung von dieser Zertifizierungsstelle nicht unterstützt wird, können Sie alternativ folgende Textzeichenfolge als OU-Attribut im Zertifikatantragstellernamen angeben: Intel(R) Client Setup Certificate. Zusätzlich zum FQDN des Servers, von dem der Out-of-Band-Dienstpunkt gehostet wird, muss unter genauer Beachtung der Groß-/Kleinschreibung und ohne einen abschließenden Punkt exakt diese Textzeichenfolge (in Englisch) verwendet werden.

SHA-1 ist der einzig unterstützte Hash-Algorithmus.

Unterstützte Schlüssellängen: 1024 und 2048. Für AMT 6.0 und spätere Versionen wird auch eine Schlüssellänge von 4096 Bits unterstützt.

Dieses Zertifikat befindet sich im privaten Speicher innerhalb des Computerzertifikatspeichers des Standortsystemservers für den Out-of-Band-Dienstpunkt.

Dieses AMT-Bereitstellungszertifikat dient zum Vorbereiten von Computern für die Out-of-Band-Verwaltung.

Sie müssen dieses Zertifikat von einer Zertifizierungsstelle anfordern, die AMT-Bereitstellungszertifikate bereitstellt, und die BIOS-Erweiterung für die Intel AMT-basierten Computer muss für die Verwendung des Zertifikatfingerabdrucks des Stammzertifikats (auch als Zertifikathash bezeichnet) für dieses Bereitstellungszertifikat konfiguriert werden.

VeriSign ist ein typisches Beispiel für eine externe Zertifizierungsstelle, die AMT-Bereitstellungszertifikate bereitstellt. Sie können jedoch auch eine interne Zertifizierungsstelle verwenden.

Installieren Sie das Zertifikat auf dem Server, von dem der Out-of-Band-Dienstpunkt gehostet wird. Dieser muss erfolgreich mit der Stammzertifizierungsstelle für das Zertifikat verkettet werden können. (Das Stammzertifizierungsstellen-Zertifikat und Zwischenzertifizierungsstellen-Zertifikat für VeriSign sind standardmäßig unter Windows installiert.)

Standortsystemserver, auf dem der Microsoft Intune-Connector ausgeführt wird

Clientauthentifizierung

Nicht zutreffend: Dieses Zertifikat wird von Intune automatisch erstellt.

Der Wert Erweiterte Schlüsselverwendung enthält Clientauthentifizierung (1.3.6.1.5.5.7.3.2).

Mithilfe von drei benutzerdefinierten Erweiterungen wird das Intune-Abonnement des Kunden eindeutig identifiziert.

Die Schlüsselgröße beträgt 2048 Bit, und es wird der SHA-1-Hashalgorithmus verwendet.

System_CAPS_noteHinweis

Sie können diese Einstellungen nicht ändern: Diese Informationen werden nur zu Informationszwecken bereitgestellt.

Dieses Zertifikat wird automatisch angefordert und in der Configuration Manager-Datenbank installiert, wenn Sie Microsoft Intune abonnieren. Wenn Sie den Microsoft Intune-Connector installieren, wird dieses Zertifikat auf dem Standortsystemserver installiert, auf dem der Microsoft Intune-Connector ausgeführt wird. Er wird im Zertifikatspeicher des Computers installiert.

Dieses Zertifikat wird zum Authentifizieren der Configuration Manager-Hierarchie für Microsoft Intune mithilfe des Microsoft Intune-Connectors verwendet. Für alle Daten, die zwischen diesen Komponenten übertragen werden, wird eine SSL-Verbindung (Secure Sockets Layer) genutzt.

Proxywebserver für internetbasierte Clientverwaltung

Wenn der Standort die internetbasierte Clientverwaltung unterstützt und Sie einen Proxywebserver mit SSL-Tunnelabschluss (Bridging) für eingehende Internetverbindungen verwenden, verfügt der Proxywebserver über die in der folgenden Tabelle aufgelisteten Zertifikatanforderungen.

System_CAPS_noteHinweis

Wenn Sie einen Proxywebserver ohne SSL-Tunnelabschluss (Tunneling) verwenden, sind für den Proxywebserver keine weiteren Zertifikate erforderlich.

Netzwerkinfrastrukturkomponente

Zertifikatzweck

Zu verwendende Microsoft-Zertifikatvorlage

Spezifische Informationen im Zertifikat

Verwendung des Zertifikats in Configuration Manager 

Proxywebserver, von denen Clientverbindungen über das Internet akzeptiert werden

Serverauthentifizierung und Clientauthentifizierung

  1. Webserver

  2. Arbeitsstationsauthentifizierung

Internet-FQDN im Feld „Antragstellername“ oder „Alternativer Antragstellername“ (wenn Sie Microsoft-Zertifikatsvorlagen verwenden, ist der „Alternative Antragstellername“ nur für die Arbeitsstationsvorlage verfügbar).

SHA-1- und SHA-2-Hashalgorithmen werden unterstützt.

Mithilfe dieses Zertifikats werden die folgenden Server auf Internetclients authentifiziert und alle Daten, die zwischen dem Client und diesem Server übertragen werden, mit SSL (Secure Sockets Layer) verschlüsselt:

  • Internetbasierter Verwaltungspunkt

  • Internetbasierter Verteilungspunkt

  • Internetbasierter Softwareupdatepunkt

Die Clientauthentifizierung dient dazu, Clientverbindungen zwischen System Center 2012 Configuration Manager-Clients und den internetbasierten Standortsystemen herzustellen.

PKI-Zertifikate für Clients

Configuration Manager-Komponente

Zertifikatzweck

Zu verwendende Microsoft-Zertifikatvorlage

Spezifische Informationen im Zertifikat

Verwendung des Zertifikats in Configuration Manager 

Windows-Clientcomputer

Clientauthentifizierung

Arbeitsstationsauthentifizierung

Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten.

Clientcomputer müssen einen eindeutigen Wert im Feld Antragstellername oder Alternativer Antragstellername aufweisen.

System_CAPS_noteHinweis

Wenn Sie mehrere Werte für den alternativen Antragstellernamen verwenden, wird nur der erste Wert verwendet.

SHA-1- und SHA-2-Hashalgorithmen werden unterstützt.

Es wird eine maximale Schlüssellänge von 2048 Bits unterstützt.

In Configuration Manager wird standardmäßig im privaten Speicher des Computerzertifikatspeichers nach Computerzertifikaten gesucht.

Mit Ausnahme des Softwareupdatepunkts und des Anwendungskatalog-Websitepunkts wird der Client über dieses Zertifikat bei Standortsystemservern authentifiziert, auf denen IIS ausgeführt wird und die zur Verwendung von HTTPS konfiguriert sind.

Clients für mobile Geräte

Clientauthentifizierung

Authentifizierte Sitzung

Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten.

SHA-1 ist der einzig unterstützte Hash-Algorithmus.

Es wird eine maximale Schlüssellänge von 2048 Bits unterstützt.

System_CAPS_importantWichtig

Diese Zertifikate müssen das Format „DER-codiertes binäres X.509“ (Distinguished Encoding Rules) aufweisen.

Das Format „Base64-codiertes X.509“ wird nicht unterstützt.

Über dieses Zertifikat wird der Client für mobile Geräte bei den Standortsystemservern authentifiziert, mit denen die Kommunikation stattfindet, wie z. B. Verwaltungs- und Verteilungspunkte.

Startabbilder zum Bereitstellen von Betriebssystemen

Clientauthentifizierung

Arbeitsstationsauthentifizierung

Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten.

Es gelten keine speziellen Anforderungen für den Zertifikatantragsteller oder den alternativen Antragstellernamen (Subject Alternative Name, SAN). Sie können ein Zertifikat für alle Startabbilder verwenden.

Der private Schlüssel muss exportierbar sein.

SHA-1- und SHA-2-Hashalgorithmen werden unterstützt.

Es wird eine maximale Schlüssellänge von 2048 Bits unterstützt.

Das Zertifikat wird verwendet, wenn Tasksequenzen bei der Betriebssystembereitstellung Clientaktionen erfordern, z. B. den Clientrichtlinienabruf oder das Senden von Inventurinformationen.

Dieses Zertifikat wird nur für die Dauer der Betriebssystembereitstellung verwendet und wird nicht auf dem Client installiert. Aufgrund dieser temporären Verwendung kann dasselbe Zertifikat für jede Betriebssystembereitstellung verwendet werden, wenn Sie nur ein Clientzertifikat verwenden möchten.

Dieses Zertifikat muss in einem öffentlichen Schlüsselzertifikatstandard-Format (Public Key Certificate Standard, PKCS #12) exportiert werden, und das Kennwort muss bekannt sein, damit es in die Configuration Manager-Startabbilder importiert werden kann.

System_CAPS_noteHinweis

Die Anforderungen für dieses Zertifikat sind identisch mit denen des Serverzertifikats für Standortsysteme mit installiertem Verteilungspunkt. Da die Anforderungen identisch sind, können Sie die gleiche Zertifikatdatei verwenden.

Macintosh-Clientcomputer

Clientauthentifizierung

Für Configuration Manager-Anmeldung: Authentifizierte Sitzung

Für die von Configuration Manager unabhängige Zertifikatinstallation: Arbeitsstationsauthentifizierung

Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten.

Wenn unter Configuration Manager ein Benutzerzertifikat erstellt wird, wird der Wert für den Antragsteller des Zertifikats automatisch mit dem Benutzernamen der Person gefüllt, die den Macintosh-Computer anmeldet.

Für eine Zertifikatinstallation, bei der keine Configuration Manager-Anmeldung verwendet wird, sondern ein Computerzertifikat unabhängig von Configuration Manager bereitgestellt wird, muss der Wert für den Antragsteller des Zertifikats eindeutig sein. Geben Sie beispielsweise den vollqualifizierten Domänennamen (FQDN) des Computers an.

Das Feld für den alternativen Antragstellernamen wird nicht unterstützt.

SHA-1- und SHA-2-Hashalgorithmen werden unterstützt.

Es wird eine maximale Schlüssellänge von 2048 Bits unterstützt.

Für System Center 2012 Configuration Manager SP1 und höher:

Über dieses Zertifikat wird der Macintosh-Clientcomputer bei den Standortsystemservern authentifiziert, mit denen die Kommunikation stattfindet, z. B. Verwaltungs- und Verteilungspunkte.

Linux- und UNIX-Clientcomputer

Clientauthentifizierung

Arbeitsstationsauthentifizierung

Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten.

Das Feld für den alternativen Antragstellernamen wird nicht unterstützt.

Der private Schlüssel muss exportierbar sein.

Der SHA-1-Hashalgorithmus wird unterstützt.

Der SHA-2-Hashalgorithmus wird unterstützt, wenn das Betriebssystem des Clients SHA-2 unterstützt. Weitere Informationen finden Sie im Abschnitt Führen Sie über Linux und UNIX Betriebssysteme, keine Unterstützung SHA-256 des Themas Planen der Clientbereitstellung für Linux- und UNIX-Server.

Unterstützte Schlüssellängen: 2048 Bits.

System_CAPS_importantWichtig

Diese Zertifikate müssen das Format „DER-codiertes binäres X.509“ (Distinguished Encoding Rules) aufweisen. Das Format „Base64-codiertes X.509“ wird nicht unterstützt.

Für System Center 2012 Configuration Manager SP1 und höher:

Über dieses Zertifikat wird der Client für Linux und UNIX bei den Standortsystemservern authentifiziert, mit denen die Kommunikation stattfindet, z. B. Verwaltungs- und Verteilungspunkte.

Dieses Zertifikat muss in einem öffentlichen Schlüsselzertifikatstandard-Format (Public Key Certificate Standard, PKCS#12) exportiert werden, und das Kennwort muss bekannt sein, damit Sie es für den Client angeben können, wenn Sie das PKI-Zertifikat angeben.

Weitere Informationen finden Sie im Abschnitt Planen von Sicherheit und Zertifikate für Linux und UNIX-Server des Themas Planen der Clientbereitstellung für Linux- und UNIX-Server.

Stammzertifikate von Zertifizierungsstellen (CA) für die folgenden Szenarien:

  • Betriebssystembereitstellung

  • Anmeldung mobiler Geräte

  • RADIUS-Serverauthentifizierung für Intel AMT-basierte Computer

  • Authentifizierung von Clientzertifikaten

Zertifikatkette zu einer vertrauenswürdigen Quelle

Nicht zutreffend.

Standardstammzertifikat einer Zertifizierungsstelle

Das Stammzertifikat einer Zertifizierungsstelle muss bereitgestellt werden, wenn die Zertifikate des Kommunikationsservers von Clients mit einer vertrauenswürdigen Quelle verkettet werden müssen. Dies gilt in den folgenden Szenarien:

  • Wenn bei der Bereitstellung eines Betriebssystems Tasksequenzen ausgeführt werden, um eine Verbindung zwischen dem Clientcomputer und einem Verwaltungspunkt herzustellen, der für die Verwendung von HTTPS konfiguriert ist

  • Wenn Sie ein mobiles Gerät zur Verwaltung durch System Center 2012 Configuration Manager anmelden

  • Wenn Sie für AMT-basierte Computer 802.1X-Authentifizierung verwenden und eine Datei für das Stammzertifikat des RADIUS-Servers angeben möchten

Darüber hinaus muss das Stammzertifikat einer Zertifizierungsstelle für Clients bereitgestellt werden, wenn die Clientzertifikate von einer anderen Zertifizierungsstellenhierarchie ausgestellt wurden als die Verwaltungspunktzertifikate.

Intel AMT-basierte Computer

Serverauthentifizierung

Webserver (geändert)

Sie müssen den Antragstellernamen für Aus diesen Informationen in Active Directory erstellen konfigurieren und dann für Format des Antragstellernamens die Option Allgemeiner Name auswählen.

Sie müssen der universellen Sicherheitsgruppe, die Sie in den Eigenschaften der Out-of-Band-Verwaltungskomponente angeben, die Berechtigungen Lesen und Anmelden gewähren.

Der Wert Erweiterte Schlüsselverwendung muss Serverauthentifizierung (1.3.6.1.5.5.7.3.1) enthalten.

Der Antragstellername muss den FQDN für den AMT-basierten Computer enthalten, der automatisch von den Active Directory-Domänendiensten bereitgestellt wird.

SHA-1 ist der einzig unterstützte Hash-Algorithmus.

Maximal unterstützte Schlüssellänge: 2048 Bits.

Dieses Zertifikat befindet sich im permanenten Arbeitsspeicher des Verwaltungscontrollers des Computers und kann unter Windows nicht angezeigt werden.

Jeder Intel AMT-basierte Computer fordert dieses Zertifikat während der AMT-Bereitstellung und für nachfolgende Updates an. Wenn Sie die AMT-Bereitstellungsinformationen von diesen Computern entfernen, wird dieses Zertifikat gesperrt.

Bei der Installation dieses Zertifikats auf Intel AMT-basierten Computern wird auch die Zertifikatkette zur Stammzertifizierungsstelle installiert. Von AMT-basierten Computern werden keine Zertifizierungsstellenzertifikate unterstützt, deren Schlüssellänge 2048 Bits überschreitet.

Wenn das Zertifikat auf Intel AMT-basierten Computern installiert ist, werden dadurch die AMT-basierten Computer für den Standortsystemserver des Out-of-Band-Dienstpunkts und für Computer authentifiziert, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird, und alle Datenübertragungen zwischen den Computern werden durch Transport Layer Security (TLS) geschützt.

Intel AMT 802.1X-Clientzertifikat

Clientauthentifizierung

Arbeitsstationsauthentifizierung

Sie müssen den Antragstellernamen für Aus diesen Informationen in Active Directory erstellen konfigurieren und dann für Format des Antragstellernamens die Option Allgemeiner Name auswählen, den DNS-Namen löschen und den Benutzerprinzipalnamen (UPN) für den alternativen Antragstellernamen auswählen.

Sie müssen der universellen Sicherheitsgruppe, die Sie in den Eigenschaften der Out-of-Band-Verwaltungskomponente angeben, die Berechtigungen Lesen und Anmelden für diese Zertifikatvorlage gewähren.

Der Wert Erweiterte Schlüsselverwendung muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten.

Der Antragstellername muss den FQDN für den AMT-basierten Computer enthalten und der alternative Antragstellername den UPN.

Maximal unterstützte Schlüssellänge: 2048 Bits.

Dieses Zertifikat befindet sich im permanenten Arbeitsspeicher des Verwaltungscontrollers des Computers und kann unter Windows nicht angezeigt werden.

Jeder Intel AMT-basierte Computer kann dieses Zertifikat während der AMT-Bereitstellung anfordern, jedoch wird dieses Zertifikat durch die Entfernung der AMT-Bereitstellungsinformationen nicht gesperrt.

Nach der Installation des Zertifikats auf AMT-basierten Computern authentifiziert dieses Zertifikat die AMT-basierten Computer gegenüber dem RADIUS-Server, damit sie für den Netzwerkzugriff autorisiert werden können.

Mobile Geräte, die mithilfe von Microsoft Intune angemeldet werden

Clientauthentifizierung

Nicht zutreffend: Dieses Zertifikat wird von Intune automatisch erstellt.

Der Wert Erweiterte Schlüsselverwendung enthält Clientauthentifizierung (1.3.6.1.5.5.7.3.2).

Mithilfe von drei benutzerdefinierten Erweiterungen wird das Intune-Abonnement des Kunden eindeutig identifiziert.

Benutzer können den Wert Antragsteller des Zertifikats während der Anmeldung angeben. Dieser Wert wird von Intune jedoch nicht verwendet, um das Gerät zu identifizieren.

Die Schlüsselgröße beträgt 2048 Bit, und es wird der SHA-1-Hashalgorithmus verwendet.

System_CAPS_noteHinweis

Sie können diese Einstellungen nicht ändern: Diese Informationen werden nur zu Informationszwecken bereitgestellt.

Dieses Zertifikat wird automatisch angefordert und installiert, wenn authentifizierte Benutzer ihre mobilen Geräte mit Microsoft Intune anmelden. Das resultierende Zertifikat auf dem Gerät befindet sich im Computerspeicher und dient zum Authentifizieren des angemeldeten mobilen Geräts bei Intune, damit es danach verwaltet werden kann.

Aufgrund der benutzerdefinierten Erweiterungen im Zertifikat ist die Authentifizierung auf das Intune-Abonnement beschränkt, das für die Organisation eingerichtet wurde.