Abrufen eines Zertifikats für die Verwendung mit Windows-Servern und System Center Operations Manager

  • Artikel

In diesem Artikel wird beschrieben, wie Sie ein Zertifikat abrufen und mit Operations Manager Management Server, Gateway oder Agent verwenden, indem Sie entweder einen Stand-Alone- oder AD CS-Zertifizierungsstellenserver (Active Directory Certificate Services) auf der Windows-Plattform verwenden.

  • Verwenden Sie das Befehlszeilenprogramm certreq , um ein Zertifikat anzufordern und zu akzeptieren. Verwenden Sie eine Weboberfläche, um ein Zertifikat zu übermitteln und abzurufen.

Voraussetzungen

Stellen Sie sicher, dass Sie über Folgendes verfügen:

  • AD-CS installiert und konfiguriert in der Umgebung mit Webdiensten oder einer Zertifizierungsstelle eines Drittanbieters mit Zertifikaten, die den angezeigten erforderlichen Einstellungen entsprechen.
  • HTTPS-Bindung und das zugehörige Zertifikat installiert. Informationen zum Erstellen einer HTTPS-Bindung finden Sie unter Konfigurieren einer HTTPS-Bindung für eine Windows Server-Zertifizierungsstelle.
  • Eine typische Desktopumgebung und keine Core-Server.

Wichtig

Der Kryptografie-API-Schlüsselspeicheranbieter (KSP) wird für Operations Manager-Zertifikate nicht unterstützt.

Hinweis

Wenn Ihr organization ad cs nicht verwendet oder eine externe Zertifizierungsstelle verwendet, verwenden Sie die Anweisungen für diese Anwendung, um ein Zertifikat zu erstellen und sicherzustellen, dass es die folgenden Anforderungen für Operations Manager erfüllt, und führen Sie dann die angegebenen Import- und Installationsschritte aus:

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

Wichtig

In diesem Thema sind die Standardeinstellungen für AD-CS wie folgt:

  • Standardschlüssellänge: 2048
  • Kryptografie-API: Kryptografiedienstanbieter (Cryptographic Service Provider, CSP)
  • Sicherer Hashalgorithmus: 256 (SHA256) Bewerten Sie diese Auswahl anhand der Anforderungen der Sicherheitsrichtlinie Ihres Unternehmens.

Allgemeiner Prozess zum Abrufen eines Zertifikats:

  1. Laden Sie das Stammzertifikat von einer Zertifizierungsstelle herunter.

  2. Importieren Sie das Stammzertifikat auf einen Clientserver.

  3. Erstellen Sie eine Zertifikatvorlage.

  4. Fügen Sie die Vorlage dem Ordner Zertifikatvorlagen hinzu.

  5. Erstellen Sie eine Setupinformationsdatei für die Verwendung mit dem <certreq> Befehlszeilenprogramm.

  6. Erstellen Sie eine Anforderungsdatei (oder verwenden Sie das Webportal).

  7. Senden Sie eine Anforderung an die Zertifizierungsstelle.

  8. Importieren Sie das Zertifikat in den Zertifikatspeicher.

  9. Importieren Sie das Zertifikat mithilfe von <MOMCertImport>in Operations Manager.

Herunterladen und Importieren des Stammzertifikats von der Zertifizierungsstelle

Der Zielcomputer muss eine Kopie des Stammzertifikats im vertrauenswürdigen Stammspeicher haben, um allen Zertifikaten zu vertrauen und zu überprüfen, die von Enterprise- oder Stand-Alone-Zertifizierungsstellen erstellt wurden. Die meisten in die Domäne eingebundenen Computer müssen der Unternehmenszertifizierungsstelle vertrauen. Kein Computer vertraut jedoch einem Zertifikat einer Stand-Alone Zertifizierungsstelle, ohne dass das Stammzertifikat installiert ist.

Wenn Sie eine Drittanbieter-Zertifizierungsstelle verwenden, unterscheidet sich der Downloadvorgang. Der Importvorgang bleibt jedoch unverändert.

Herunterladen des vertrauenswürdigen Stammzertifikats von einer Zertifizierungsstelle

Führen Sie die folgenden Schritte aus, um das vertrauenswürdige Stammzertifikat herunterzuladen:

  1. Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installieren möchten. Beispiel: Gatewayserver oder Verwaltungsserver.

  2. Öffnen Sie einen Webbrowser, und stellen Sie eine Verbindung mit der Webadresse des Zertifikatservers her. Beispiel: https://<servername>/certsrv.

  3. Wählen Sie auf der Seite Willkommendie Option Zertifizierungsstellenzertifikat, Zertifikatkette oder Zertifikatsperrliste herunterladen aus.

    a. Wenn Sie zur Bestätigung des Webzugriffs aufgefordert werden, überprüfen Sie den Server und die URL, und wählen Sie Ja aus.

    b. Überprüfen Sie die optionen unter Zertifizierungsstellenzertifikat , und bestätigen Sie die Auswahl.

  4. Ändern Sie die Codierungsmethode in Base 64, und wählen Sie dann Zertifikatkette der Zertifizierungsstelle herunterladen aus.

  5. Speichern Sie das Zertifikat, und geben Sie einen Anzeigenamen an.

Importieren des vertrauenswürdigen Stammzertifikats von der Zertifizierungsstelle auf dem Client

Hinweis

Zum Importieren eines vertrauenswürdigen Stammzertifikats müssen Sie über Administratorrechte auf dem Zielcomputer verfügen.

Führen Sie die folgenden Schritte aus, um das vertrauenswürdige Stammzertifikat zu importieren:

  1. Kopieren Sie die im vorherigen Schritt generierte Datei auf den Client.
  2. Öffnen Sie den Zertifikat-Manager.
    1. Geben Sie über die Befehlszeile, PowerShell oder Ausführen certlm.msc ein, und drücken Sie die EINGABETASTE.
    2. Wählen Sie Ausführen starten > aus, und geben Sie mmc ein, um die Microsoft Management Console (mmc.exe) zu suchen.
      1. Wechseln Sie zu Datei>Hinzufügen/Entfernen Snap in....
      2. Wählen Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen die Option Zertifikate und dann Hinzufügen aus.
      3. Im Dialogfeld Zertifikat-Snap-In
        1. Wählen Sie Computerkonto und dann Weiter aus. Das Dialogfeld Computer auswählen wird geöffnet.
        2. Wählen Sie Lokaler Computer und dann Fertig stellen aus.
      4. Klicken Sie auf OK.
      5. Erweitern Sie unter Konsolenstamm den Eintrag Zertifikate (Lokaler Computer)
  3. Erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, und wählen Sie dann Zertifikate aus.
  4. Wählen Sie Alle Aufgaben aus.
  5. Übernehmen Sie im Zertifikatimport-Assistenten die erste Seite als Standard, und wählen Sie Weiter aus.
    1. Navigieren Sie zu dem Speicherort, an den Sie die Zertifikatdatei der Zertifizierungsstelle heruntergeladen haben, und wählen Sie die Datei des vertrauenswürdigen Stammzertifikats aus, die von der Zertifizierungsstelle kopiert wurde.
    2. Wählen Sie Weiter aus.
    3. Behalten Sie im Speicherort des Zertifikatspeichers die Standardeinstellung Vertrauenswürdige Stammzertifizierungsstellen bei.
    4. Klicken Sie auf Weiter und dann auf Fertig stellen.
  6. Bei erfolgreicher Ausführung wird das vertrauenswürdige Stammzertifikat der Zertifizierungsstelle unter Vertrauenswürdige Stammzertifizierungsstellen>Zertifikate angezeigt.

Erstellen einer Zertifikatvorlage: Enterprise-Zertifizierungsstellen

Unternehmenszertifizierungsstellen:

  • Integriert in Active Directory Domain Services (AD-DS).
  • Veröffentlicht Zertifikate und Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) in AD-DS.
  • Verwendet in AD-DS gespeicherte Informationen zu Benutzerkonten und Sicherheitsgruppen, um Zertifikatanforderungen zu genehmigen oder zu verweigern.
  • Verwendet Zertifikatvorlagen.

Zum Ausstellen eines Zertifikats verwendet die Unternehmenszertifizierungsstelle Informationen in der Zertifikatvorlage, um ein Zertifikat mit den entsprechenden Attributen für diesen Zertifikattyp zu generieren.

Eigenständige Zertifizierungsstellen:

  • Ad-DS ist nicht erforderlich.
  • Verwenden Sie keine Zertifikatvorlagen.

Wenn Sie eigenständige Zertifizierungsstellen verwenden, fügen Sie alle Informationen zum angeforderten Zertifikattyp in die Zertifikatanforderung ein.

Weitere Informationen finden Sie unter Zertifikatvorlagen.

Erstellen einer Zertifikatvorlage für System Center Operations Manager

  1. Melden Sie sich bei einem in die Domäne eingebundenen Server mit AD CS in Ihrer Umgebung (Ihrer Zertifizierungsstelle) an.

  2. Wählen Sie auf dem Windows-Desktop DieWindows-Verwaltungstools-Zertifizierungsstelle> starten > aus.

  3. Erweitern Sie im rechten Navigationsbereich die Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus.

  4. Klicken Sie mit der rechten Maustaste auf IPSec (Offlineanforderung), und wählen Sie Vorlage duplizieren aus.

  5. Das Dialogfeld Eigenschaften der neuen Vorlage wird geöffnet. Treffen Sie die Auswahl wie folgt:

    Registerkarte BESCHREIBUNG
    Kompatibilität 1. Zertifizierungsstelle: Windows Server 2008 (oder die niedrigste AD-Funktionsebene in der Umgebung).
    2. Zertifikatempfänger: Windows Server 2012 (oder die niedrigste Version des Betriebssystems in der Umgebung).
    Allgemein 1. Anzeigename der Vorlage: Geben Sie einen Anzeigenamen ein, z. B. Operations Manager.
    2. Vorlagenname: Geben Sie denselben Namen wie den Anzeigenamen ein.
    3. Gültigkeitszeitraum: Geben Sie den Gültigkeitszeitraum ein, um den Anforderungen Ihrer organization zu entsprechen.
    4. Wählen Sie Zertifikat in Active Directory veröffentlichen aus, und registrieren Sie sich nicht automatisch erneut, wenn ein doppeltes Zertifikat in Active Directory vorhanden ist .
    Anforderungsverarbeitung 1. Zweck: Wählen Sie in der Dropdownliste Signatur und Verschlüsselung aus.
    2. Aktivieren Sie das Kontrollkästchen Exportieren von privatem Schlüssel zulassen .
    Kryptografie 1. Anbieterkategorie: Wählen Sie Legacy Cryptography Service Provider
    2 aus. Algorithmusname: Wählen Sie in der Dropdownliste Von CSP bestimmt aus.
    3. Mindestschlüsselgröße: 2048 oder 4096 gemäß Sicherheitsanforderung der Organisation.
    4. Anbieter: Wählen Sie in der Dropdownliste Microsoft RSA channel Cryptographic Provider und Microsoft Enhanced Cryptographic Provider v1.0 aus.
    Erweiterungen 1. Wählen Sie unter In dieser Vorlage enthaltene Erweiterungendie Option Anwendungsrichtlinien und dann Bearbeiten
    2 aus. Das Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten wird geöffnet.
    3. Wählen Sie unter Anwendungsrichtlinien die Option IP-Sicherheits-IKE-Zwischenprodukt und dann Entfernen
    4 aus. Wählen Sie Hinzufügen und dann unter Anwendungsrichtliniendie Option Clientauthentifizierung und Serverauthentifizierung aus.
    5. Wählen Sie OK aus.
    6. Wählen Sie Schlüsselverwendung und Bearbeiten aus.
    7. Stellen Sie sicher, dass Digitale Signatur und Schlüsselaustausch nur mit Schlüsselverschlüsselung zulassen (Schlüsselverschlüsselung zulassen) ausgewählt sind.
    8. Aktivieren Sie das Kontrollkästchen Diese Erweiterung als kritisch festlegen , und klicken Sie auf OK.
    Sicherheit 1. Stellen Sie sicher, dass die Gruppe Authentifizierte Benutzer (oder Computerobjekt) über die Berechtigungen Lesen und Registrieren verfügt, und wählen Sie Anwenden aus, um die Vorlage zu erstellen.

Hinzufügen der Vorlage zum Ordner "Zertifikatvorlagen"

  1. Melden Sie sich bei einem in die Domäne eingebundenen Server mit AD CS in Ihrer Umgebung (Ihrer Zertifizierungsstelle) an.
  2. Wählen Sie auf dem Windows-Desktop DieWindows-Verwaltungstools-Zertifizierungsstelle> starten > aus.
  3. Erweitern Sie im rechten Navigationsbereich die Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Neue>ausstellende Zertifikatvorlagen aus.
  4. Wählen Sie die neue Vorlage aus, die in den obigen Schritten erstellt wurde, und klicken Sie auf OK.

Anfordern eines Zertifikats mithilfe einer Anforderungsdatei

Erstellen einer Setupinformationsdatei (.inf)

  1. Öffnen Sie auf dem Computer, auf dem das Operations Manager-Feature gehostet wird, für den Sie ein Zertifikat anfordern, eine neue Textdatei in einem Text-Editor.

  2. Erstellen Sie eine Textdatei mit folgendem Inhalt:

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. Speichern Sie die Datei mit der Dateierweiterung .inf . Beispiel: CertRequestConfig.inf.

  4. Schließen Sie den Text-Editor.

Erstellen einer Zertifikatanforderungsdatei

Dieser Prozess codiert die in unserer Konfigurationsdatei in Base64 angegebenen Informationen und gibt in eine neue Datei aus.

  1. Öffnen Sie auf dem Computer, auf dem das Operations Manager-Feature gehostet wird, für den Sie ein Zertifikat anfordern, eine Administratoreingabeaufforderung.

  2. Navigieren Sie zu dem Verzeichnis, in dem sich die INF-Datei befindet.

  3. Führen Sie den folgenden Befehl aus, um den Namen der INF-Datei zu ändern, um sicherzustellen, dass er mit dem zuvor erstellten Dateinamen übereinstimmt. Behalten Sie den Namen der REQ-Datei unverändert bei:

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. Öffnen Sie die neu erstellte Datei, und kopieren Sie den Inhalt.

Übermitteln einer neuen Zertifikatanforderung im AD CS-Webportal mithilfe der Anforderungsdatei

  1. Öffnen Sie auf dem Computer, auf dem das Operations Manager-Feature gehostet wird, für den Sie ein Zertifikat anfordern, einen Webbrowser, und stellen Sie eine Verbindung mit dem Computer her, auf dem die Webadresse des Zertifikatservers gehostet wird. Beispiel: https://<servername>/certsrv.

  2. Wählen Sie auf der Willkommensseite der Microsoft Active Directory-Zertifikatdienstedie Option Zertifikat anfordern aus.

  3. Wählen Sie auf der Seite Zertifikat anfordern die Option Erweiterte Zertifikatanforderung aus.

  4. Wählen Sie auf der Seite Erweiterte Zertifikatanforderungdie Option Zertifikatanforderung übermitteln mithilfe einer Base64-codierten CMC- oder PKCS #10-Datei aus, oder senden Sie eine Verlängerungsanforderung mithilfe einer Base-64-codierten PKCS #7-Datei.

  5. Fügen Sie auf der Seite Zertifikatanforderung oder Verlängerungsanforderung übermitteln in das Textfeld Gespeicherte Anforderung den Inhalt der Datei CertRequest.req ein, die Sie im vorherigen Verfahren in Schritt 4 kopiert haben.

  6. Wählen Sie auf der Zertifikatvorlage die Zertifikatvorlage aus, die Sie erstellt haben. Beispiel : OperationsManagerCert, und wählen Sie dann Übermitteln aus.

  7. Wenn dies erfolgreich war, wählen Sie auf der Seite Zertifikat ausgestellt die Option Base64-codiertes>Zertifikat herunterladen aus.

  8. Speichern Sie das Zertifikat, und geben Sie einen Anzeigenamen an. Speichern Sie beispielsweise als SCOM-MS01.cer.

  9. Schließen Sie den Webbrowser.

Verwenden des AD-CS-Webportals zum Anfordern eines Zertifikats

Neben der Anforderungsdatei können Sie eine Zertifikatanforderung über das Webportal für Zertifikatdienste erstellen. Dieser Schritt wird auf dem Zielcomputer abgeschlossen, um die Zertifikatinstallation zu vereinfachen. Wenn die Zertifikatanforderung über das AD-CS-Webportal nicht möglich ist, stellen Sie sicher, dass das Zertifikat wie unten angegeben exportiert wird:

  1. Öffnen Sie auf dem Computer, auf dem das Operations Manager-Feature gehostet wird, für den Sie ein Zertifikat anfordern, einen Webbrowser, und stellen Sie eine Verbindung mit der Webadresse des Zertifikatservers her. Beispiel: https://<servername>/certsrv.
  2. Wählen Sie auf der Willkommensseite Microsoft Active Directory-Zertifikatdienstedie Option Zertifikat anfordern aus.
  3. Wählen Sie auf der Seite Zertifikat anfordern die Option Erweiterte Zertifikatanforderung aus.
  4. Wählen Sie Erstellen und Übermitteln einer Anforderung an diese Zertifizierungsstelle aus.
  5. Eine erweiterte Zertifikatanforderung wird geöffnet. Gehen Sie folgendermaßen vor:
    1. Zertifikatvorlage: Verwenden Sie die zuvor erstellte oder für Operations Manager bestimmte Vorlage.
    2. Identifizierende Informationen für Offlinevorlage:
      1. Name: FQDN des Servers oder wie er in DNS angezeigt wird
      2. Stellen Sie andere Informationen bereit, die für Ihre organization geeignet sind
    3. Schlüsseloptionen:
      1. Aktivieren Sie das Kontrollkästchen Schlüssel als exportierbar markieren.
    4. Zusätzliche Optionen:
      1. Anzeigename: FQDN des Servers oder wie er in DNS angezeigt wird
  6. Klicken Sie auf Submit (Senden).
  7. Nach erfolgreichem Abschluss der Aufgabe wird die Seite Zertifikat ausgestellt mit einem Link zum Installieren dieses Zertifikats geöffnet.
  8. Wählen Sie Dieses Zertifikat installieren aus.
  9. Auf dem Server speichert der persönliche Zertifikatspeicher das Zertifikat.
  10. Laden Sie die MMC - oder CertMgr-Konsolen , wechseln Sie zu Persönliche>Zertifikate , und suchen Sie das neu erstellte Zertifikat.
  11. Wenn diese Aufgabe auf dem Zielserver nicht abgeschlossen ist, exportieren Sie das Zertifikat:
    1. Klicken Sie mit der rechten Maustaste auf das neue Zertifikat > Alle Aufgaben > exportieren.
    2. Klicken Sie im Zertifikatexport-Assistenten auf Weiter.
    3. Wählen Sie Ja, den privaten Schlüssel exportieren und dann Weiter aus.
    4. Wählen Sie Persönliche Informationsaustausch – PKCS #12 () aus. PFX).
    5. Wählen Sie nach Möglichkeit alle Zertifikate in den Zertifizierungspfad einschließen und alle erweiterten Eigenschaften exportieren aus, und wählen Sie Dann Weiter aus.
    6. Geben Sie ein Kennwort an, um die ruhende Zertifikatdatei zu verschlüsseln, und wählen Sie Weiter aus.
    7. Speichern Sie die exportierte Datei, und geben Sie einen Anzeigenamen an.
    8. Wählen Sie Weiter und Fertig stellen aus.
    9. Suchen Sie die exportierte Zertifikatdatei, und überprüfen Sie das Symbol für die Datei.
      1. Wenn das Symbol einen Schlüssel enthält, muss der private Schlüssel angefügt sein.
      2. Wenn das Symbol keinen Schlüssel enthält, exportieren Sie das Zertifikat erneut mit dem privaten Schlüssel, da Sie ihn für die spätere Verwendung benötigen.
    10. Kopieren Sie die exportierte Datei auf den Zielcomputer.
  12. Schließen Sie den Webbrowser.

Anfordern eines Zertifikats mithilfe des Zertifikat-Managers

Bei Enterprise-Zertifizierungsstellen mit einer definierten Zertifikatvorlage können Sie möglicherweise ein neues Zertifikat von einem in die Domäne eingebundenen Clientcomputer über den Zertifikat-Manager anfordern. Da dabei Vorlagen verwendet werden, gilt diese Methode nicht für Stand-Alone Zertifizierungsstellen.

  1. Melden Sie sich mit Administratorrechten (Verwaltungsserver, Gateway, Agent usw.) beim Zielcomputer an.
  2. Verwenden Sie die Administratoreingabeaufforderung oder das PowerShell-Fenster, um den Zertifikat-Manager zu öffnen.
    1. certlm.msc : Öffnet den Zertifikatspeicher für den lokalen Computer.
    2. mmc.msc – öffnet die Microsoft-Verwaltungskonsole.
      1. Laden Sie das Zertifikat-Manager-Snap-In.
      2. Wechseln Sie zu Datei>Snap-In hinzufügen/entfernen.
      3. Wählen Sie Zertifikateaus.
      4. Wählen Sie Hinzufügen.
      5. Wenn Sie dazu aufgefordert werden, wählen Sie Computerkonto und Dann Weiter aus.
      6. Stellen Sie sicher, dass Sie Lokaler Computer und Fertig stellen auswählen.
      7. Wählen Sie OK aus, um den Assistenten zu schließen.
  3. Starten Sie die Zertifikatanforderung:
    1. Erweitern Sie unter Zertifikate den Persönlichen Ordner.
    2. Klicken Sie mit der rechten Maustaste auf Zertifikate>Alle Aufgaben>Neues Zertifikat anfordern.
  4. Assistent für die Zertifikatregistrierung

    1. Wählen Sie auf der Seite Vorbereitung die Option Weiter.

    2. Wählen Sie die entsprechende Zertifikatregistrierungsrichtlinie aus (standardmäßig kann die Active Directory-Registrierungsrichtlinie sein), und wählen Sie Weiter aus.

    3. Wählen Sie die gewünschte Registrierungsrichtlinienvorlage aus, um das Zertifikat zu erstellen.

      1. Wenn die Vorlage nicht sofort verfügbar ist, wählen Sie unter der Liste das Feld Alle Vorlagen anzeigen aus.
      2. Wenn die benötigte Vorlage mit einem roten X daneben verfügbar ist, wenden Sie sich an Ihr Active Directory- oder Zertifikatteam.

    4. In den meisten Umgebungen finden Sie eine Warnmeldung mit einem Link unter der Zertifikatvorlage, wählen Sie den Link aus, und füllen Sie die Informationen für das Zertifikat weiter aus.

    5. Assistent für Zertifikateigenschaften:

      Registerkarte BESCHREIBUNG
      Subject 1. Wählen Sie unter Antragstellername den Allgemeinen Namen oder den vollständigen DN aus, geben Sie den Wert Hostname oder BIOS-Name des Zielservers an, und wählen Sie Hinzufügen aus.
      Allgemein 1. Geben Sie einen Anzeigenamen für das generierte Zertifikat an.
      2. Geben Sie bei Bedarf eine Beschreibung des Zwecks dieses Tickets an.
      Erweiterungen 1. Stellen Sie unter Schlüsselverwendung sicher, dass Sie die Option Digitale Signatur und Schlüsselenchiffrierung auswählen, und aktivieren Sie das Kontrollkästchen Diese Schlüsselverwendungen kritisch machen.
      2. Stellen Sie unter Erweiterte Schlüsselverwendung sicher, dass Sie die Optionen Serverauthentifizierung und Clientauthentifizierung auswählen.
      Privater Schlüssel 1. Stellen Sie unter Schlüsseloptionen sicher, dass die Schlüsselgröße mindestens 1024 oder 2048 ist, und aktivieren Sie das Kontrollkästchen Private Schlüssel exportierbar machen .
      2. Stellen Sie unter Schlüsseltyp sicher, dass Sie die Option Exchange auswählen.
      Registerkarte Zertifizierungsstelle Stellen Sie sicher, dass Sie das Kontrollkästchen Zertifizierungsstelle aktivieren.
      Signatur Wenn Ihr organization eine Registrierungsstelle erfordert, geben Sie ein Signaturzertifikat für diese Anforderung an.

    6. Nachdem die Informationen im Assistenten für Zertifikateigenschaften bereitgestellt wurden, wird der Warnungslink von früher nicht mehr angezeigt.

    7. Wählen Sie Registrieren aus, um das Zertifikat zu erstellen. Wenn ein Fehler auftritt, wenden Sie sich an Ihr AD- oder Zertifikatteam.

    8. Bei erfolgreicher Ausführung lautet der status Erfolgreich, und ein neues Zertifikat wird im Persönlichen/Zertifikatspeicher abgelegt.

  5. Wenn diese Aktionen für den beabsichtigten Empfänger des Zertifikats ausgeführt wurden, fahren Sie mit den nächsten Schritten fort.
  6. Exportieren Sie andernfalls das neue Zertifikat vom Computer, und kopieren Sie es in das nächste Zertifikat.
    1. Öffnen Sie das Fenster Zertifikat-Manager, und navigieren Sie zu Persönliche>Zertifikate.
    2. Wählen Sie das zu exportierende Zertifikat aus.
    3. Klicken Sie mit der rechten Maustaste auf Alle Aufgaben>exportieren.
    4. Im Zertifikatexport-Assistenten.
      1. Wählen Sie auf der Willkommensseite Weiter aus.
      2. Stellen Sie sicher, dass Sie Ja auswählen, exportieren Sie den privaten Schlüssel.
      3. Wählen Sie Persönliche Informationsaustausch – PKCS #12 () aus. PFX) aus den Formatoptionen.
        1. Wählen Sie nach Möglichkeit alle Zertifikate in den Zertifizierungspfad einschließen und alle erweiterten Eigenschaften exportieren aus.
      4. Wählen Sie Weiter aus.
      5. Geben Sie ein bekanntes Kennwort an, um die Zertifikatdatei zu verschlüsseln.
      6. Wählen Sie Weiter aus.
      7. Geben Sie einen barrierefreien Pfad und einen erkennbaren Dateinamen für das Zertifikat an.
    5. Kopieren Sie die neu erstellte Zertifikatdatei auf den Zielcomputer.

Installieren des Zertifikats auf dem Zielcomputer

Um das neu erstellte Zertifikat zu verwenden, importieren Sie es in den Zertifikatspeicher auf dem Clientcomputer.

Hinzufügen des Zertifikats zum Zertifikatspeicher

  1. Melden Sie sich bei dem Computer an, auf dem die Zertifikate für den Verwaltungsserver, das Gateway oder den Agent erstellt werden.

  2. Kopieren Sie das oben erstellte Zertifikat an einen barrierefreien Speicherort auf diesem Computer.

  3. Öffnen Sie eine Administratoreingabeaufforderung oder ein PowerShell-Fenster, und navigieren Sie zu dem Ordner, in dem sich die Zertifikatdatei befindet.

  4. Führen Sie den folgenden Befehl aus, und ersetzen Sie NewCertificate.cer durch den richtigen Namen/Pfad der Datei:

    CertReq -Accept -Machine NewCertificate.cer

  5. Dieses Zertifikat sollte jetzt im persönlichen Lokalen Computerspeicher auf diesem Computer vorhanden sein.

Alternativ klicken Sie mit der rechten Maustaste auf die Zertifikatdatei > Install Local machine (Lokaler Computer installieren > ), und wählen Sie das Ziel des persönlichen Speichers aus, um das Zertifikat zu installieren.

Hinweis

Wenn Sie dem Zertifikatspeicher ein Zertifikat mit dem privaten Schlüssel hinzufügen und es zu einem späteren Zeitpunkt aus dem Speicher löschen, enthält das Zertifikat beim erneuten Importieren nicht mehr den privaten Schlüssel. Für die Operations Manager-Kommunikation ist ein privater Schlüssel erforderlich, da die ausgehenden Daten verschlüsselt werden müssen. Sie können das Zertifikat mithilfe von certutil reparieren. Sie müssen die Seriennummer des Zertifikats angeben. Verwenden Sie beispielsweise den folgenden Befehl in einer Administratoreingabeaufforderung oder in einem PowerShell-Fenster, um den privaten Schlüssel wiederherzustellen:

certutil -repairstore my <certificateSerialNumber>

Importieren des Zertifikats in Operations Manager

Abgesehen von der Installation des Zertifikats auf dem System müssen Sie Operations Manager aktualisieren, um das Zertifikat zu kennen, das Sie verwenden möchten. Mit den folgenden Aktionen wird der Microsoft Monitoring Agent-Dienst neu gestartet.

Verwenden Sie das Hilfsprogramm MOMCertImport.exe, das im Ordner SupportTools auf den Operations Manager-Installationsmedien enthalten ist. Kopieren Sie die Datei auf Ihren Server.

Führen Sie die folgenden Schritte aus, um das Zertifikat mithilfe von MOMCertImport in Operations Manager zu importieren:

  1. Melden Sie sich beim Zielcomputer an.

  2. Öffnen Sie eine Administratoreingabeaufforderung oder ein PowerShell-Fenster, und navigieren Sie zum MOMCertImport.exe Hilfsprogrammordner.

  3. Ausführen des HilfsprogrammsMomCertImport.exe

    1. In CMD: MOMCertImport.exe
    2. In PowerShell: .\MOMCertImport.exe

  4. Ein GUI-Fenster wird angezeigt, um ein Zertifikat auszuwählen.

    1. Sie können eine Liste von Zertifikaten sehen. Wenn sie nicht sofort eine Liste sehen, wählen Sie Weitere Optionen aus.

  5. Wählen Sie in der Liste das neue Zertifikat für den Computer aus.

    1. Sie können das Zertifikat überprüfen, indem Sie es auswählen. Nach der Auswahl können Sie die Zertifikateigenschaften anzeigen.

  6. Klicken Sie auf OK.

  7. Bei erfolgreicher Ausführung wird in einem Popupfenster die folgende Meldung angezeigt:

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. Navigieren Sie zum Überprüfen zu Ereignisanzeige>Anwendungs- und Dienstprotokolle>Operations Manager für eine Ereignis-ID 20053. Dies gibt an, dass das Authentifizierungszertifikat erfolgreich geladen wurde.

  9. Wenn die Ereignis-ID 20053 auf dem System nicht vorhanden ist, suchen Sie nach einer der folgenden Ereignis-IDs nach Fehlern, und korrigieren Sie sie entsprechend:

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. MOMCertImport aktualisiert diesen Registrierungsspeicherort so, dass er den Wert enthält, der mit der Rückseite der Seriennummer übereinstimmt, die auf dem Zertifikat angezeigt wird:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Erneuern eines Zertifikats

Operations Manager generiert eine Warnung, wenn sich ein importiertes Zertifikat für Verwaltungsserver und Gateways dem Ablauf nähert. Wenn Sie eine Warnung erhalten, erneuern oder erstellen Sie ein neues Zertifikat für die Server vor dem Ablaufdatum. Dies funktioniert nur, wenn das Zertifikat Vorlageninformationen (von einer Unternehmenszertifizierungsstelle) enthält.

  1. Melden Sie sich mit dem ablaufenden Zertifikat beim Server an, und starten Sie den Zertifikatkonfigurations-Manager (certlm.msc).
  2. Suchen Sie das ablaufende Operations Manager-Zertifikat.
  3. Wenn Sie das Zertifikat nicht finden, wurde es möglicherweise entfernt oder über die Datei und nicht über den Zertifikatspeicher importiert. Möglicherweise müssen Sie von der Zertifizierungsstelle ein neues Zertifikat für diesen Computer ausstellen. Lesen Sie dazu die obigen Anweisungen.
  4. Wenn Sie das Zertifikat finden, finden Sie im Folgenden die Optionen zum Verlängern des Zertifikats:
    1. Anfordern eines Zertifikats mit neuem Schlüssel
    2. Zertifikat mit neuem Schlüssel verlängern
    3. Erneuern des Zertifikats mit demselben Schlüssel
  5. Wählen Sie die Option aus, die am besten für das, was Sie tun möchten, gilt, und befolgen Sie den Assistenten.
  6. Führen Sie nach Abschluss des Tools das MOMCertImport.exe Tool aus, um sicherzustellen, dass Operations Manager die neue Seriennummer des Zertifikats (reversed) hat, wenn es sich geändert hat. Weitere Details finden Sie im obigen Abschnitt.

Wenn die Zertifikatverlängerung über diese Methode nicht verfügbar ist, führen Sie die vorherigen Schritte aus, um ein neues Zertifikat oder bei der Zertifizierungsstelle des organization anzufordern. Installieren und importieren Sie (MOMCertImport) das neue Zertifikat zur Verwendung durch Operations Manager.

Optional: Konfigurieren der automatischen Registrierung und Verlängerung des Zertifikats

Verwenden Sie die Enterprise-Zertifizierungsstelle, um die automatische Registrierung und Verlängerungen von Zertifikaten zu konfigurieren, wenn sie ablaufen. Dadurch wird das vertrauenswürdige Stammzertifikat an alle in die Domäne eingebundenen Systeme verteilt.

Die Konfiguration der automatischen Registrierung und Verlängerung von Zertifikaten funktioniert nicht mit Stand-Alone oder Zertifizierungsstellen von Drittanbietern. Für Systeme in einer Arbeitsgruppe oder einer separaten Domäne sind Zertifikatverlängerungen und Registrierungen weiterhin ein manueller Prozess.

Weitere Informationen finden Sie im Windows Server-Handbuch.

Hinweis

Die automatische Registrierung und Verlängerung konfiguriert Operations Manager nicht automatisch für die Verwendung des neuen Zertifikats. Wenn das Zertifikat automatisch mit demselben Schlüssel verlängert wird, bleibt der Fingerabdruck möglicherweise gleich, und ein Administrator erfordert keine Aktion. Wenn ein neues Zertifikat generiert wird oder sich der Fingerabdruck ändert, muss das aktualisierte Zertifikat mithilfe des oben beschriebenen MOMCertImport-Tools in Operations Manager importiert werden.