Freigeben über


Einführung in Zertifikatprofile in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteHinweis

Die Informationen in diesem Thema gelten für System Center 2012 R2 Configuration Manager und System Center 2012 R2 Configuration Manager SP1.

Zertifikatprofile in System Center 2012 Configuration Manager werden zusammen mit Active Directory-Zertifikatdiensten und der Rolle „Registrierungsdienst für Netzwerkgeräte“ verwendet, um für verwaltete Geräte Authentifizierungszertifikate bereitzustellen, sodass Benutzer nahtlosen Zugriff auf Unternehmensressourcen haben. Sie können z. B. Zertifikatprofile erstellen und bereitstellen, um Benutzern die erforderlichen Zertifikate zum Initiieren von VPN- und Drahtlosverbindungen bereitzustellen.

Zertifikatprofile in Configuration Manager bieten die folgenden Verwaltungsfunktionen:

  • Zertifikatregistrierung und -erneuerung von einer Unternehmenszertifizierungsstelle für Geräte unter iOS, Windows 8.1, Windows RT 8.1 und Android. Diese Zertifikate können dann für WLAN- und VPN-Verbindungen verwendet werden.

  • Bereitstellung von Stammzertifizierungsstellen- und Zwischenzertifizierungsstellen-Zertifikaten zur Konfiguration einer Vertrauenskette auf Geräten für VPN- und WLAN-Verbindungen, wenn die Serverauthentifizierung erforderlich ist.

  • Überwachen und Melden der installierten Zertifikate.

Mit Zertifikatprofilen können Benutzergeräte automatisch so konfiguriert werden, dass auf Unternehmensressourcen wie WLAN-Netzwerke und VPN-Server ohne manuelle Installation von Zertifikaten bzw. ohne Verwendung eines Out-of-Band-Prozesses zugegriffen werden kann. Mit Zertifikatprofilen können auch Unternehmensressourcen geschützt werden, da Sie sicherere Einstellungen verwenden können, die von der Public Key-Infrastruktur (PKI) Ihres Unternehmens unterstützt werden. Sie können z. B. eine Serverauthentifizierung für alle WLAN- und VPN-Verbindungen erforderlich machen, da Sie die erforderlichen Zertifikate auf den verwalteten Geräten bereitgestellt haben.

Beispiel: Alle Mitarbeiter müssen Verbindungen mit WLAN-Hotspots an verschiedenen Unternehmensstandorten herstellen können. Hierzu können Sie die zum Herstellen der WLAN-Verbindung erforderlichen Zertifikate sowie die WLAN-Profile in Configuration Manager bereitstellen, von denen auf das entsprechende zu verwendende Zertifikat verwiesen wird, sodass die WLAN-Verbindung von Benutzern nahtlos hergestellt werden kann.

Beispiel: Sie haben eine PKI eingerichtet und möchten Zertifikate auf eine flexiblere, sicherere Art und Weise bereitstellen, die Benutzern ohne Beeinträchtigung der Sicherheit den Zugriff auf Unternehmensressourcen über ihre persönlichen Geräten ermöglicht. Dazu können Sie Zertifikatprofile mit Einstellungen und Protokollen konfigurieren, die von der jeweiligen Geräteplattform unterstützt werden. Die Geräte können diese Zertifikate dann automatisch von einem mit dem Internet verbundenen Registrierungsserver anfordern. Anschließend konfigurieren Sie VPN-Profile, die diese Zertifikate verwenden, damit das Gerät auf Unternehmensressourcen zugreifen kann.

Arten von Zertifikatprofilen

In Configuration Manager können Sie zwei Arten von Zertifikatprofilen erstellen:

  • Vertrauenswürdiges Zertifikat der Zertifizierungsstelle: Ermöglicht die Bereitstellung eines Zertifikats einer vertrauenswürdigen Stammzertifizierungsstelle oder einer Zwischenzertifizierungsstelle, um eine Vertrauenskette zu bilden, wenn das Gerät einen Server authentifizieren muss.

  • Einstellungen für Simple Certificate Enrollment Protocol (SCEP) – Ermöglicht das Anfordern eines Zertifikats für ein Gerät oder einen Benutzer mithilfe des SCEP-Protokolls und des Registrierungsdiensts für Netzwerkgeräte auf einem Server mit Windows Server 2012 R2.

    System_CAPS_noteHinweis

    Sie müssen ein Zertifikatprofil vom Typ Vertrauenswürdiges Zertifizierungsstellenzertifikat erstellen, bevor Sie ein Zertifikatprofil vom Typ Einstellungen für Simple Certificate Enrollment-Protokoll (SCEP) erstellen können.

Anforderungen und unterstützte Plattformen

Zum Bereitstellen von Zertifikatprofilen, für die das Simple Certificate Enrollment-Protokoll verwendet wird, müssen Sie den Zertifikatregistrierungspunkt auf einem Standortsystemserver am Standort der zentralen Verwaltung oder an einem primären Standort registrieren. Zudem müssen Sie ein Richtlinienmodul für den Registrierungsdienst für Netzwerkgeräte – das Configuration Manager-Richtlinienmodul – auf einem Server unter Windows Server 2012 R2 mit der Rolle „Active Directory-Zertifikatdienste“ und einem funktionsfähigen Registrierungsdienst für Netzwerkgeräte installieren, der für die Geräte verfügbar ist, die die Zertifikate benötigen. Bei Geräten, die von Microsoft Intune angemeldet werden, muss der Registrierungsdienst für Netzwerkgeräte über das Internet verfügbar sein, z. B. in einem überwachten Subnetz (auch als Umkreisnetzwerk bezeichnet).

Weitere Informationen zur Unterstützung eines Richtlinienmoduls durch den Registrierungsdienst für Netzwerkgeräte, damit von Configuration Manager Zertifikate bereitgestellt werden können, finden Sie unter Using a Policy Module with the Network Device Enrollment Service (Verwenden eines Richtlinienmoduls mit dem Registrierungsdienst für Netzwerkgeräte).

Von Configuration Manager wird die Bereitstellung von Zertifikaten je nach Anforderungen, Gerätetyp und Betriebssystem für unterschiedliche Zertifikatspeicher unterstützt. Folgende Geräte und Betriebssysteme werden unterstützt:

System_CAPS_importantWichtig

Um Profile für Android-, iOS-, Windows Phone- und registrierte Windows 8.1-Geräte bereitzustellen, müssen diese Geräte bei Microsoft Intune registriert werden. Informationen zum Registrieren von Geräten finden Sie unter Verwalten mobiler Geräte mit Microsoft Intune.

Typisches Szenario für System Center 2012 Configuration Manager: Vertrauenswürdige Stammzertifizierungsstellenzertifikate werden zum Authentifizieren von WLAN- und VPN-Servern installiert, wenn für die Kommunikation die Authentifizierungsprotokolle EAP-TLS, EAP-TTLS und PEAP sowie die VPN-Tunnelprotokolle IKEv2, L2TP/IPsec und Cisco IPsec verwendet werden.

Sie müssen sicherstellen, dass auf dem Gerät ein Stammzertifizierungsstellen-Zertifikat des Unternehmens installiert ist. Nur dann können vom Gerät mithilfe eines SCEP-Zertifikatprofils Zertifikate angefordert werden.

Sie können eine Reihe von Einstellungen in einem SCEP-Zertifikatprofil angeben, um benutzerdefinierte Zertifikate für unterschiedliche Umgebungen oder Verbindungsanforderungen anzufordern. Der Assistent zum Erstellen von Zertifikatprofilen enthält zwei Seiten für Parameter für die Anmeldung. Die erste Seite SCEP-Anmeldung enthält Einstellungen für die Anmeldeanforderung sowie zum Installationsort des Zertifikats. Auf der zweiten Seite Zertifikateigenschaften wird das angeforderte Zertifikat beschrieben.

Bereitstellen von Zertifikatvorlagen

Beim Bereitstellen eines Zertifikatprofils werden die Zertifikatdateien im Profil auf Clientgeräten installiert. Zudem werden SCEP-Parameter bereitgestellt, und die SCEP-Anforderungen werden auf dem Clientgerät verarbeitet. Sie können Zertifikatprofile für Benutzer- oder Gerätesammlungen bereitstellen und den Zielspeicher für die einzelnen Zertifikate angeben. Mithilfe von Anwendbarkeitsregeln wird bestimmt, ob die Zertifikate auf dem Gerät installiert werden können. Wenn Zertifikatprofile für Benutzersammlungen bereitgestellt werden, legt die Affinität zwischen Benutzer und Gerät fest, welche der Geräte von Benutzern die Zertifikate installieren werden. Wenn Zertifikatprofile, die Benutzerzertifikate enthalten, für Gerätesammlungen bereitgestellt werden, werden die Zertifikate standardmäßig auf allen primären Geräten der Benutzer installiert. Das Verhalten, dass das Zertifikat auf allen Geräten der Benutzer bereitgestellt werden, können Sie auf der Seite SCEP-Anmeldung des Assistent zum Erstellen von Zertifikatprofilen ändern. Zudem werden Benutzerzertifikate auf Geräten, bei denen es sich um Arbeitsgruppencomputer handelt, nicht installiert.

Überwachen von Zertifikatprofilen

Sie können die Bereitstellungen von Zertifikatprofilen in der Configuration Manager-Konsole im Arbeitsbereich Überwachung über den Knoten Bereitstellungen überwachen.

Zudem können Sie Zertifikatprofile mit einem der folgenden Configuration Manager-Berichte überwachen:

  • Verlauf von Zertifikaten, die vom Zertifikatregistrierungspunkt ausgestellt wurden

  • Nach dem Ausstellungsstatus sortierte Liste von Beständen für Zertifikate, die vom Zertifikatregistrierungspunkt angemeldet wurden

  • Liste von Beständen mit Zertifikaten, die bald ablaufen

Automatisches Sperren von Zertifikaten

Benutzer- und Computerzertifikate, die mithilfe von Zertifikatprofilen bereitgestellt wurden, werden von Configuration Manager unter den folgenden Umständen automatisch gesperrt:

  • Das Gerät wird in der Configuration Manager-Verwaltung außer Kraft gesetzt.

  • Das Gerät wird selektiv zurückgesetzt.

  • Das Gerät wird in der Configuration Manager-Hierarchie gesperrt.

Zum Sperren der Zertifikate wird vom Standortserver ein Sperrbefehl an die ausstellende Zertifizierungsstelle gesendet. Der Grund für die Sperre ist Vorgangsende.

Neuheiten in System Center 2012 R2 Configuration Manager

System_CAPS_noteHinweis

Die Informationen in diesem Abschnitt erscheinen auch in dem Handbuch Erste Schritte mit System Center 2012 Configuration Manager.

Zertifikatprofile sind neu in System Center 2012 R2 Configuration Manager. Sie bieten die folgenden Funktionen und haben einige abhängige Konfigurationen:

  • Bereitstellung von Benutzer- und Gerätezertifikaten für verwaltete Geräte mithilfe des Simple Certificate Enrollment-Protokolls (SCEP). Diese Zertifikate können zur Unterstützung von WLAN- und VPN-Verbindungen verwendet werden.

  • Zu den unterstützten Geräten gehören Geräte unter iOS, Windows 8.1 und Windows RT 8.1 sowie Android.

  • Bereitstellung von Stammzertifizierungsstellen- und Zwischenzertifizierungsstellen-Zertifikaten, sodass auf Geräten eine Vertrauenskette erstellt werden kann, wenn die Serverauthentifizierung für Netzwerkverbindungen verwendet wird.

  • Ein Zertifikatregistrierungspunkt muss am Standort der zentralen Verwaltung oder einem primären Standort bereitgestellt werden. Zudem muss das Configuration Manager-Richtlinienmodul auf einem Server unter Windows Server 2012 R2 mit Active Directory-Zertifikatdiensten und der Rolle „Registrierungsdienst für Netzwerkgeräte“ installiert werden. Auf diesen Server muss Zugriff über das Internet möglich sein, und es muss eine Verbindung mit einer Unternehmenszertifizierungsstelle bestehen, um die Zertifikate auszustellen. Weitere Informationen zu Änderungen im Registrierungsdienst für Netzwerkgeräte zur Unterstützung dieses Szenarios finden Sie in What's New in Certificate Services in Windows Server 2012 R2 (Neuigkeiten bei den Zertifikatdiensten in Windows Server 2012).

Neuheiten in System Center 2012 Configuration Manager SP2

Configuration Manager 2012 SP2 ermöglicht Ihnen die Bereitstellung von PFX-Dateien (Personal Information Exchange) für Geräte des Benutzers. PFX-Dateien können zum Generieren benutzerspezifischer Zertifikate zur Unterstützung eines verschlüsselten Datenaustausches verwendet werden. PFX-Zertifikate können in Configuration Manager erstellt oder importiert werden. Mit Configuration Manager 2012 SP2 können importierte oder neue PFX-Zertifikate auf Geräten mit iOS, Android, Windows 8.1 und höher sowie auf Geräten mit Windows Phone 8.1 und höher bereitgestellt werden. Diese Dateien können dann auf mehreren Geräten zur Unterstützung der benutzerbasierten PKI-Kommunikation bereitgestellt werden. Weitere Informationen finden Sie unter Erstellen von PFX-Zertifikatprofilen in Configuration Manager.