Freigeben über


Voraussetzungen für Zertifikatprofile in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Zertifikatprofile in Configuration Manager verfügen über externe Abhängigkeiten und Abhängigkeiten im Produkt.

Wichtig

Ab Version 2203 wird dieses Feature für den Zugriff auf Unternehmensressourcen nicht mehr unterstützt. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung des Ressourcenzugriffs.

Externe Abhängigkeiten zu Configuration Manager

Abhängigkeit Weitere Informationen
Eine ausstellende Zertifizierungsstelle des Unternehmens, die Active Directory-Zertifikatdienste (AD CS) ausführt.

Zum Widerrufen von Zertifikaten erfordert das Computerkonto des Standortservers am anfang der Hierarchie die Berechtigungen Zertifikate ausstellen und verwalten für jede Zertifikatvorlage, die von einem Zertifikatprofil in Configuration Manager verwendet wird. Alternativ können Sie Zertifikat-Manager-Berechtigungen erteilen, um Berechtigungen für alle Zertifikatvorlagen zu erteilen, die von dieser Zertifizierungsstelle verwendet werden.

Die Vorgesetztengenehmigung für Zertifikatanforderungen wird unterstützt. Die Zertifikatvorlagen, die zum Ausstellen von Zertifikaten verwendet werden, müssen jedoch für Angeben in der Anforderung für den Zertifikatantragsteller konfiguriert werden, damit Configuration Manager diesen Wert automatisch angeben können.
Weitere Informationen zu Active Directory-Zertifikatdiensten finden Sie unter Übersicht über Active Directory-Zertifikatdienste.
Verwenden Sie das PowerShell-Skript, um die Erforderlichen für den NDES-Rollendienst (Network Device Enrollment Service) und den Configuration Manager Certificate Registration Point zu überprüfen und bei Bedarf zu installieren.

Die Anweisungsdatei readme_crp.txt befindet sich unter ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64.

Das PowerShell-Skript Test-NDES-CRP-Prereqs.ps1 befindet sich im selben Verzeichnis wie die Anweisungen.

Das PowerShell-Skript muss lokal auf dem NDES-Server ausgeführt werden.
Der NDES-Rollendienst (Network Device Enrollment Service) für Active Directory-Zertifikatdienste, der unter Windows Server 2012 R2 ausgeführt wird.

Weitere Schritte:

Andere Portnummern als TCP 443 (für HTTPS) oder TCP 80 (für HTTP) werden für die Kommunikation zwischen dem Client und dem Registrierungsdienst für Netzwerkgeräte nicht unterstützt.

Der Server, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird, muss sich auf einem anderen Server als die ausstellende Zertifizierungsstelle befinden.
Configuration Manager kommuniziert mit dem Registrierungsdienst für Netzwerkgeräte in Windows Server 2012 R2, um SCEP-Anforderungen (Simple Certificate Enrollment Protocol) zu generieren und zu überprüfen.

Wenn Sie Zertifikate für Benutzer oder Geräte ausstellen, die über das Internet eine Verbindung herstellen, z. B. mobile Geräte, die von Microsoft Intune verwaltet werden, müssen diese Geräte über das Internet auf den Server zugreifen können, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird. Installieren Sie beispielsweise den Server in einem Umkreisnetzwerk (auch als DMZ, demilitarisierte Zone und überprüftes Subnetz bezeichnet).

Wenn Sie über eine Firewall zwischen dem Server, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird, und der ausstellenden Zertifizierungsstelle verfügen, müssen Sie die Firewall so konfigurieren, dass der Kommunikationsdatenverkehr (DCOM) zwischen den beiden Servern zugelassen wird. Diese Firewallanforderung gilt auch für den Server, auf dem der Configuration Manager Standortserver und die ausstellende Zertifizierungsstelle ausgeführt wird, sodass Configuration Manager Zertifikate widerrufen können.

Wenn der Registrierungsdienst für Netzwerkgeräte so konfiguriert ist, dass SSL erforderlich ist, besteht eine bewährte Sicherheitsmethode darin, sicherzustellen, dass geräte, die eine Verbindung herstellen, auf die Zertifikatsperrliste (Certificate Revocation List, CRL) zugreifen können, um das Serverzertifikat zu überprüfen.

Weitere Informationen zum Registrierungsdienst für Netzwerkgeräte finden Sie unter Verwenden eines Richtlinienmoduls mit dem Registrierungsdienst für Netzwerkgeräte.
Ein PKI-Clientauthentifizierungszertifikat und exportiertes Zertifikat der Stammzertifizierungsstelle. Dieses Zertifikat authentifiziert den Server, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird, um Configuration Manager.

Weitere Informationen finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.
Unterstützte Gerätebetriebssysteme. Sie können Zertifikatprofile auf Geräten bereitstellen, auf denen Windows 8.1, Windows RT 8.1 und Windows 10 ausgeführt wird.

Configuration Manager Abhängigkeiten

Abhängigkeit Weitere Informationen
Standortsystemrolle des Zertifikatregistrierungspunkts Bevor Sie Zertifikatprofile verwenden können, müssen Sie die Standortsystemrolle des Zertifikatregistrierungspunkts installieren. Diese Rolle kommuniziert mit der Configuration Manager-Datenbank, dem Configuration Manager-Standortserver und dem Configuration Manager-Richtlinienmodul.

Weitere Informationen zu den Systemanforderungen für diese Standortsystemrolle und zum Installieren der Rolle in der Hierarchie finden Sie im Abschnitt Standortsystemanforderungen des Artikels Unterstützte Konfigurationen für Configuration Manager.

Der Zertifikatregistrierungspunkt darf nicht auf demselben Server installiert sein, auf dem auch der Registrierungsdienst für Netzwerkgeräte ausgeführt wird.
Configuration Manager Richtlinienmodul, das auf dem Server installiert ist, auf dem der Rollendienst für den Registrierungsdienst für Netzwerkgeräte für Active Directory-Zertifikatdienste ausgeführt wird Zum Bereitstellen von Zertifikatprofilen müssen Sie das Configuration Manager-Richtlinienmodul installieren. Sie finden dieses Richtlinienmodul auf dem Configuration Manager Installationsmedium.
Ermittlungsdaten Werte für den Zertifikatantragsteller und den alternativen Antragstellernamen werden von Configuration Manager bereitgestellt und aus informationen abgerufen, die bei der Ermittlung erfasst werden:

Für Benutzerzertifikate: Active Directory-Benutzerermittlung

Für Computerzertifikate: Active Directory-Systemermittlung und Netzwerkermittlung
Spezifische Sicherheitsberechtigungen zum Verwalten von Zertifikatprofilen Sie müssen über die folgenden Sicherheitsberechtigungen verfügen, um Einstellungen für den Zugriff auf Unternehmensressourcen zu verwalten, z. B. Zertifikatprofile, Wi-Fi-Profile und VPN-Profile:

So zeigen Sie Warnungen und Berichte für Zertifikatprofile an und verwalten sie: Erstellen, Löschen, Ändern, Bericht ändern, Lesen und Ausführen des Berichts für das Warnungsobjekt .

So erstellen und verwalten Sie Zertifikatprofile: Richtlinie erstellen, Bericht ändern, Lesen und Bericht ausführen für das Zertifikatprofilobjekt .

So verwalten Sie WLAN-, Zertifikat- und VPN-Profilbereitstellungen: Bereitstellen von Konfigurationsrichtlinien, Ändern der Clientstatuswarnung, Lesen und Lesen der Ressource für das Collection-Objekt .

So verwalten Sie alle Konfigurationsrichtlinien: Erstellen, Löschen, Ändern, Lesen und Festlegen des Sicherheitsbereichs für das Konfigurationsrichtlinienobjekt .

So führen Sie Abfragen im Zusammenhang mit Zertifikatprofilen aus: Leseberechtigung für das Query-Objekt .

So zeigen Sie Zertifikatprofilinformationen in der Configuration Manager-Konsole an: Leseberechtigung für das Site-Objekt.

So zeigen Sie Statusmeldungen für Zertifikatprofile an: Leseberechtigung für das Statusmeldungen-Objekt .

So erstellen und ändern Sie das Zertifikatprofil der vertrauenswürdigen Zertifizierungsstelle: Richtlinie erstellen, Bericht ändern, Lesen und Bericht ausführen für das Zertifikatprofilobjekt der vertrauenswürdigen Zertifizierungsstelle .

So erstellen und verwalten Sie VPN-Profile: Richtlinie erstellen, Bericht ändern, Lesen und Bericht ausführen für das VPN-Profilobjekt .

So erstellen und verwalten Sie Wi-Fi Profile: Richtlinie erstellen, Bericht ändern, Lesen und Bericht für das WLAN-Profilobjekt ausführen.

Die Sicherheitsrolle "Unternehmensressourcenzugriffs-Manager" umfasst diese Berechtigungen, die zum Verwalten von Zertifikatprofilen in Configuration Manager erforderlich sind. Weitere Informationen finden Sie im Abschnitt Konfigurieren der rollenbasierten Verwaltung im Artikel Konfigurieren der Sicherheit .