Freigeben über


Konfigurieren der Zertifikatinfrastruktur

Gilt für: Configuration Manager (Current Branch)

Wichtig

Ab Version 2203 wird dieses Feature für den Zugriff auf Unternehmensressourcen nicht mehr unterstützt. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung des Ressourcenzugriffs.

Erfahren Sie, wie Sie die Zertifikatinfrastruktur in Configuration Manager konfigurieren. Bevor Sie beginnen, überprüfen Sie, ob die Voraussetzungen unter Voraussetzungen für Zertifikatprofile aufgeführt sind.

Verwenden Sie diese Schritte, um Ihre Infrastruktur für SCEP- oder PFX-Zertifikate zu konfigurieren.

Schritt 1: Installieren und Konfigurieren des Registrierungsdiensts für Netzwerkgeräte und abhängigkeiten (nur für SCEP-Zertifikate)

Sie müssen den Rollendienst für den Registrierungsdienst für Netzwerkgeräte für Active Directory-Zertifikatdienste (AD CS) installieren und konfigurieren, die Sicherheitsberechtigungen für die Zertifikatvorlagen ändern, ein PKI-Clientauthentifizierungszertifikat (Public Key Infrastructure) bereitstellen und die Registrierung bearbeiten, um die Standard-URL-Größenbeschränkung für Internetinformationsdienste (IIS) zu erhöhen. Bei Bedarf müssen Sie auch die ausstellende Zertifizierungsstelle so konfigurieren, dass sie einen benutzerdefinierten Gültigkeitszeitraum zulässt.

Wichtig

Bevor Sie Configuration Manager für die Arbeit mit dem Registrierungsdienst für Netzwerkgeräte konfigurieren, überprüfen Sie die Installation und Konfiguration des Registrierungsdiensts für Netzwerkgeräte. Wenn diese Abhängigkeiten nicht ordnungsgemäß funktionieren, haben Sie Probleme bei der Problembehandlung bei der Zertifikatregistrierung mithilfe von Configuration Manager.

So installieren und konfigurieren Sie den Registrierungsdienst für Netzwerkgeräte und Abhängigkeiten

  1. Installieren und konfigurieren Sie auf einem Server, auf dem Windows Server 2012 R2 ausgeführt wird, den Rollendienst für den Registrierungsdienst für Netzwerkgeräte für die Serverrolle Active Directory-Zertifikatdienste. Weitere Informationen finden Sie unter Leitfaden zum Registrierungsdienst für Netzwerkgeräte.

  2. Überprüfen Und ändern Sie ggf. die Sicherheitsberechtigungen für die Zertifikatvorlagen, die der Registrierungsdienst für Netzwerkgeräte verwendet:

    • Für das Konto, das die Configuration Manager-Konsole ausführt: Leseberechtigung.

      Diese Berechtigung ist erforderlich, damit Sie beim Ausführen des Assistenten zum Erstellen von Zertifikatprofilen navigieren können, um die Zertifikatvorlage auszuwählen, die Sie beim Erstellen eines SCEP-Einstellungsprofils verwenden möchten. Wenn Sie eine Zertifikatvorlage auswählen, werden einige Einstellungen im Assistenten automatisch aufgefüllt, sodass Sie weniger Konfigurieren müssen, und es besteht ein geringeres Risiko, Dass Einstellungen ausgewählt werden, die nicht mit den Zertifikatvorlagen kompatibel sind, die der Registrierungsdienst für Netzwerkgeräte verwendet.

    • Für das SCEP-Dienstkonto, das der Anwendungspool des Registrierungsdiensts für Netzwerkgeräte verwendet: Lese - und Registrierungsberechtigungen .

      Diese Anforderung bezieht sich nicht auf Configuration Manager sondern ist Teil der Konfiguration des Registrierungsdiensts für Netzwerkgeräte. Weitere Informationen finden Sie unter Leitfaden zum Registrierungsdienst für Netzwerkgeräte.

    Tipp

    Um zu ermitteln, welche Zertifikatvorlagen der Registrierungsdienst für Netzwerkgeräte verwendet, zeigen Sie den folgenden Registrierungsschlüssel auf dem Server an, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

    Hinweis

    Dies sind die Standardsicherheitsberechtigungen, die für die meisten Umgebungen geeignet sind. Sie können jedoch eine alternative Sicherheitskonfiguration verwenden. Weitere Informationen finden Sie unter Planen von Zertifikatvorlagenberechtigungen für Zertifikatprofile.

  3. Stellen Sie auf diesem Server ein PKI-Zertifikat bereit, das die Clientauthentifizierung unterstützt. Möglicherweise haben Sie bereits ein geeignetes Zertifikat auf dem Computer installiert, den Sie verwenden können, oder Sie müssen ein Zertifikat speziell für diesen Zweck bereitstellen (oder bevorzugen). Weitere Informationen zu den Anforderungen für dieses Zertifikat finden Sie in den Details zu Servern, auf denen das Configuration Manager-Richtlinienmodul mit dem Rollendienst für den Registrierungsdienst für Netzwerkgeräte ausgeführt wird, im Abschnitt PKI-Zertifikate für Server des Themas PKI-Zertifikatanforderungen für Configuration Manager.

    Tipp

    Wenn Sie Hilfe bei der Bereitstellung dieses Zertifikats benötigen, können Sie die Anweisungen zum Bereitstellen des Clientzertifikats für Verteilungspunkte verwenden, da die Zertifikatanforderungen mit einer Ausnahme identisch sind:

    • Aktivieren Sie nicht das Kontrollkästchen Export von privatem Schlüssel zulassen auf der Registerkarte Anforderungsverarbeitung der Eigenschaften für die Zertifikatvorlage.

      Sie müssen dieses Zertifikat nicht mit dem privaten Schlüssel exportieren, da Sie zum lokalen Computerspeicher navigieren und ihn auswählen können, wenn Sie das Configuration Manager-Richtlinienmodul konfigurieren.

  4. Suchen Sie das Stammzertifikat, mit dem das Clientauthentifizierungszertifikat verkettet ist. Exportieren Sie dann dieses Zertifikat der Stammzertifizierungsstelle in eine Zertifikatdatei (.cer). Speichern Sie diese Datei an einem sicheren Speicherort, auf den Sie sicher zugreifen können, wenn Sie später den Standortsystemserver für den Zertifikatregistrierungspunkt installieren und konfigurieren.

  5. Verwenden Sie auf demselben Server den Registrierungs-Editor, um die IIS-Standard-URL-Größenbeschränkung zu erhöhen, indem Sie die folgenden DWORD-Werte für Registrierungsschlüssel in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters festlegen:

  6. Ändern Sie auf demselben Server im IIS-Manager (Internetinformationsdienste) die Einstellungen für die Anforderungsfilterung für die Anwendung /certsrv/mscep, und starten Sie dann den Server neu. Im Dialogfeld Einstellungen für die Anforderungsfilterung bearbeiten sollten die Einstellungen für Anforderungsgrenzwerte wie folgt aussehen:

    • Maximal zulässige Inhaltslänge (Bytes):30000000

    • Maximale URL-Länge (Bytes):65534

    • Maximale Abfragezeichenfolge (Bytes):65534

      Weitere Informationen zu diesen Einstellungen und deren Konfiguration finden Sie unter IIS-Anforderungslimits.

  7. Wenn Sie ein Zertifikat anfordern möchten, das einen niedrigeren Gültigkeitszeitraum als die von Ihnen verwendete Zertifikatvorlage aufweist: Diese Konfiguration ist für eine Unternehmenszertifizierungsstelle standardmäßig deaktiviert. Um diese Option für eine Unternehmenszertifizierungsstelle zu aktivieren, verwenden Sie das Befehlszeilentool Certutil, und beenden Sie dann den Zertifikatdienst mit den folgenden Befehlen, und starten Sie ihn neu:

    1. certutil – setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    2. net stop certsvc

    3. net start certsvc

      Weitere Informationen finden Sie unter Tools und Einstellungen für Zertifikatdienste.

  8. Überprüfen Sie, ob der Registrierungsdienst für Netzwerkgeräte funktioniert, indem Sie den folgenden Link als Beispiel verwenden: https://server.contoso.com/certsrv/mscep/mscep.dll. Die integrierte Webseite des Registrierungsdiensts für Netzwerkgeräte sollte angezeigt werden. Auf dieser Webseite wird erläutert, was der Dienst ist, und es wird erläutert, dass Netzwerkgeräte die URL verwenden, um Zertifikatanforderungen zu übermitteln.

    Nachdem der Registrierungsdienst für Netzwerkgeräte und die Abhängigkeiten konfiguriert wurden, können Sie den Zertifikatregistrierungspunkt installieren und konfigurieren.

Schritt 2: Installieren und Konfigurieren des Zertifikatregistrierungspunkts

Sie müssen mindestens einen Zertifikatregistrierungspunkt in der Configuration Manager-Hierarchie installieren und konfigurieren, und Sie können diese Standortsystemrolle am Standort der zentralen Verwaltung oder an einem primären Standort installieren.

Wichtig

Bevor Sie den Zertifikatregistrierungspunkt installieren, finden Sie im Abschnitt Standortsystemanforderungen im Thema Unterstützte Konfigurationen für Configuration Manager Informationen zu Betriebssystemanforderungen und Abhängigkeiten für den Zertifikatregistrierungspunkt.

So installieren und konfigurieren Sie den Zertifikatregistrierungspunkt
  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Knoten Standortkonfiguration, klicken Sie auf Server und Standortsystemrollen, und wählen Sie dann den Server aus, den Sie für den Zertifikatregistrierungspunkt verwenden möchten.

  3. Klicken Sie auf der Registerkarte Start in der Gruppe Server auf Standortsystemrollen hinzufügen.

  4. Geben Sie auf der Seite Allgemein die allgemeinen Einstellungen für das Standortsystem an, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf der Seite Proxy auf Weiter. Der Zertifikatregistrierungspunkt verwendet keine Internetproxyeinstellungen.

  6. Wählen Sie auf der Seite Systemrollenauswahl in der Liste der verfügbaren Rollen zertifikatregistrierungspunkt aus, und klicken Sie dann auf Weiter.

  7. Wählen Sie auf der Seite Zertifikatregistrierungsmodus aus, ob dieser Zertifikatregistrierungspunkt SCEP-Zertifikatanforderungen verarbeiten oder PFX-Zertifikatanforderungen verarbeiten soll. Ein Zertifikatregistrierungspunkt kann nicht beide Arten von Anforderungen verarbeiten, aber Sie können mehrere Zertifikatregistrierungspunkte erstellen, wenn Sie mit beiden Zertifikattypen arbeiten.

    Bei der Verarbeitung von PFX-Zertifikaten müssen Sie eine Zertifizierungsstelle auswählen, entweder Microsoft oder Entrust.

  8. Die Seite Einstellungen des Zertifikatregistrierungspunkts variiert je nach Zertifikattyp:

    • Wenn Sie SCEP-Zertifikatanforderungen verarbeiten ausgewählt haben, konfigurieren Sie Folgendes:

      • Websitename, HTTPS-Portnummer und Name der virtuellen Anwendung für den Zertifikatregistrierungspunkt. Diese Felder werden automatisch mit Standardwerten ausgefüllt.
      • URL für den Registrierungsdienst für Netzwerkgeräte und das Zertifikat der Stammzertifizierungsstelle : Klicken Sie auf Hinzufügen, und geben Sie dann im Dialogfeld URL und Stammzertifizierungsstellenzertifikat hinzufügen Folgendes an:
        • URL für den Registrierungsdienst für Netzwerkgeräte: Geben Sie die URL im folgenden Format an: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Wenn der FQDN Ihres Servers, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird, beispielsweise server1.contoso.com ist, geben Sie ein https://server1.contoso.com/certsrv/mscep/mscep.dll.
        • Zertifikat der Stammzertifizierungsstelle: Navigieren Sie zu der Zertifikatdatei (CER), die Sie in Schritt 1: Installieren und Konfigurieren des Registrierungsdiensts für Netzwerkgeräte erstellt und gespeichert haben, und wählen Sie sie aus. Dieses Zertifikat der Stammzertifizierungsstelle ermöglicht es dem Zertifikatregistrierungspunkt, das Clientauthentifizierungszertifikat zu überprüfen, das vom Configuration Manager Richtlinienmodul verwendet wird.
    • Wenn Sie PFX-Zertifikatanforderungen verarbeiten ausgewählt haben, konfigurieren Sie die Verbindungsdetails und Anmeldeinformationen für die ausgewählte Zertifizierungsstelle.

      • Um Microsoft als Zertifizierungsstelle zu verwenden, klicken Sie auf Hinzufügen, und geben Sie dann im Dialogfeld Zertifizierungsstelle und Konto hinzufügen Folgendes an:

        • Name des Zertifizierungsstellenservers : Geben Sie den Namen Ihres Zertifizierungsstellenservers ein.

        • Zertifizierungsstellenkonto : Klicken Sie auf Festlegen , um das Konto auszuwählen oder zu erstellen, das über Berechtigungen zum Registrieren von Vorlagen bei der Zertifizierungsstelle verfügt.

        • Verbindungskonto des Zertifikatregistrierungspunkts: Wählen Sie das Konto aus, das den Zertifikatregistrierungspunkt mit der Configuration Manager-Datenbank verbindet, oder erstellen Sie es. Alternativ können Sie das lokale Computerkonto des Computers verwenden, auf dem der Zertifikatregistrierungspunkt gehostet wird.

        • Active Directory-Zertifikatveröffentlichungskonto : Wählen Sie ein Konto aus, oder erstellen Sie ein neues Konto, das zum Veröffentlichen von Zertifikaten in Benutzerobjekten in Active Directory verwendet wird.

        • Geben Sie in der URL für das Dialogfeld Netzwerkgeräteregistrierung und Zertifikat der Stammzertifizierungsstelle Folgendes an, und klicken Sie dann auf OK:

      • Um Entrust als Zertifizierungsstelle zu verwenden, geben Sie Folgendes an:

        • Die MDM-Webdienst-URL

        • Der Benutzername und das Kennwort für die URL.

          Wenn Sie die MDM-API zum Definieren der Entrust-Webdienst-URL verwenden, müssen Sie mindestens Version 9 der API verwenden, wie im folgenden Beispiel gezeigt:

          https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

          Frühere Versionen der API unterstützen Entrust nicht.

  9. Klicken Sie auf Weiter , und schließen Sie den Assistenten ab.

  10. Warten Sie einige Minuten, bis die Installation abgeschlossen ist, und überprüfen Sie dann mithilfe einer der folgenden Methoden, ob der Zertifikatregistrierungspunkt erfolgreich installiert wurde:

    • Erweitern Sie im Arbeitsbereich Überwachungden Bereich Systemstatus, klicken Sie auf Komponentenstatus, und suchen Sie nach Statusmeldungen aus der SMS_CERTIFICATE_REGISTRATION_POINT Komponente.

    • Verwenden Sie auf dem Standortsystemserver die <Datei ConfigMgr-Installationspfad>\Logs\crpsetup.log und <ConfigMgr-Installationspfad>\Logs\crpmsi.log. Bei einer erfolgreichen Installation wird der Exitcode 0 zurückgegeben.

    • Vergewissern Sie sich in einem Browser, dass Sie eine Verbindung mit der URL des Zertifikatregistrierungspunkts herstellen können. Beispiel: https://server1.contoso.com/CMCertificateRegistration. Es sollte eine Seite Serverfehler für den Anwendungsnamen mit einer HTTP 404-Beschreibung angezeigt werden.

  11. Suchen Sie die exportierte Zertifikatdatei für die Stammzertifizierungsstelle, die der Zertifikatregistrierungspunkt automatisch erstellt hat, im folgenden Ordner auf dem primären Standortservercomputer: <ConfigMgr-Installationspfad>\inboxes\certmgr.box. Speichern Sie diese Datei an einem sicheren Speicherort, auf den Sie sicher zugreifen können, wenn Sie später das Configuration Manager-Richtlinienmodul auf dem Server installieren, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird.

    Tipp

    Dieses Zertifikat ist in diesem Ordner nicht sofort verfügbar. Möglicherweise müssen Sie eine Weile (z. B. eine halbe Stunde) warten, bevor Configuration Manager die Datei an diesen Speicherort kopiert.

Schritt 3: Installieren Sie das Configuration Manager-Richtlinienmodul (nur für SCEP-Zertifikate).

Sie müssen das Configuration Manager-Richtlinienmodul auf jedem Server installieren und konfigurieren, den Sie in Schritt 2: Installieren und Konfigurieren des Zertifikatregistrierungspunkts als URL für den Registrierungsdienst für Netzwerkgeräte in den Eigenschaften für den Zertifikatregistrierungspunkt angegeben haben.

So installieren Sie das Richtlinienmodul
  1. Melden Sie sich auf dem Server, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird, als Domänenadministrator an, und kopieren Sie die folgenden Dateien aus dem <Ordner ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 auf dem Configuration Manager Installationsmedium in einen temporären Ordner:

    • PolicyModule.msi

    • PolicyModuleSetup.exe

    Wenn Auf dem Installationsmedium ein LanguagePack-Ordner vorhanden ist, kopieren Sie außerdem diesen Ordner und seinen Inhalt.

  2. Führen Sie im temporären Ordner PolicyModuleSetup.exe aus, um den Assistenten zum Einrichten des Configuration Manager-Richtlinienmoduls zu starten.

  3. Klicken Sie auf der Startseite des Assistenten auf Weiter, akzeptieren Sie die Lizenzbedingungen, und klicken Sie dann auf Weiter.

  4. Übernehmen Sie auf der Seite Installationsordner den Standardinstallationsordner für das Richtlinienmodul, oder geben Sie einen alternativen Ordner an, und klicken Sie dann auf Weiter.

  5. Geben Sie auf der Seite Zertifikatregistrierungspunkt die URL des Zertifikatregistrierungspunkts an, indem Sie den FQDN des Standortsystemservers und den namen der virtuellen Anwendung verwenden, der in den Eigenschaften für den Zertifikatregistrierungspunkt angegeben ist. Der Standardname der virtuellen Anwendung lautet CMCertificateRegistration. Wenn der Standortsystemserver beispielsweise über einen FQDN von server1.contoso.com verfügt und Sie den Standardnamen der virtuellen Anwendung verwendet haben, geben Sie an https://server1.contoso.com/CMCertificateRegistration.

  6. Übernehmen Sie den Standardport 443 , oder geben Sie die alternative Portnummer an, die der Zertifikatregistrierungspunkt verwendet, und klicken Sie dann auf Weiter.

  7. Navigieren Sie auf der Seite Clientzertifikat für das Richtlinienmodulzu dem Clientauthentifizierungszertifikat, das Sie in Schritt 1: Installieren und Konfigurieren des Registrierungsdiensts für Netzwerkgeräte und abhängigkeiten bereitgestellt haben, und klicken Sie dann auf Weiter.

  8. Klicken Sie auf der Seite Zertifikatregistrierungspunkt Zertifikat auf Durchsuchen , um die exportierte Zertifikatdatei für die Stammzertifizierungsstelle auszuwählen, die Sie am Ende von Schritt 2: Installieren und Konfigurieren des Zertifikatregistrierungspunkts gefunden und gespeichert haben.

    Hinweis

    Wenn Sie diese Zertifikatdatei zuvor nicht gespeichert haben, befindet sie sich im <ConfigMgr-Installationspfad>\inboxes\certmgr.box auf dem Standortservercomputer.

  9. Klicken Sie auf Weiter , und schließen Sie den Assistenten ab.

    Wenn Sie das Configuration Manager-Richtlinienmodul deinstallieren möchten, verwenden Sie Programme und Features in Systemsteuerung.

Nachdem Sie die Konfigurationsschritte abgeschlossen haben, können Sie Zertifikate für Benutzer und Geräte bereitstellen, indem Sie Zertifikatprofile erstellen und bereitstellen. Weitere Informationen zum Erstellen von Zertifikatprofilen finden Sie unter Erstellen von Zertifikatprofilen.