Bestimmen, ob Clientzertifikateinstellungen angegeben werden müssen (einheitlicher Modus)

Letzte Aktualisierung: November 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Wenn Configuration Manager 2007-Clients Verbindungen mit ihrem Verwaltungspunkt herstellen, authentifizieren sie sich mittels eines Clientzertifikats.

Das Zertifikat, das ein Configuration Manager 2007-Client dazu verwendet, befindet sich im Zertifikatspeicher seines Computers. Standardmäßig sucht der Client im privaten Speicher nach einem Zertifikat, dessen Feld für den beabsichtigten Zweck die Angabe „Clientauthentifizierung“ enthält, und verwendet dieses Zertifikat für die Kommunikation im einheitlichen Modus. Wenn ein Clientcomputer nur über ein einziges gültiges Zertifikat verfügt, das dieser Anforderung entspricht, sind in Configuration Manager 2007 keine Zertifikateinstellungen zu konfigurieren.

Es müssen jedoch Clientzertifikateinstellungen konfiguriert werden, wenn eine der folgenden Bedingungen erfüllt ist:

  • Das mit Configuration Manager 2007 zu verwendende Clientzertifikat befindet sich nicht im privaten Speicher, sondern an einem anderen Ort im Zertifikatspeicher des Computers.

  • Es sind mehrere gültige Zertifikate vorhanden, deren Feld für den beabsichtigten Zweck die Angabe „Clientauthentifizierung“ enthält. In diesem Fall kann der Configuration Manager nicht feststellen, welches Zertifikat verwendet werden soll.

Wenn Clients über mehrere Zertifikate verfügen, die zur Kommunikation im einheitlichen Modus verwendet werden können, gibt es zwei Auswahlmethoden, die bei mehreren Clients zur Bestimmung des zu verwendenden Zertifikats konfiguriert werden können:

  • Eine Suche nach einer teilweise übereinstimmenden Zeichenfolge im Feld „Antragstellername“. Bei dieser Suche wird die Groß-/Kleinschreibung nicht berücksichtigt. Sie bietet sich an, wenn Sie den vollständig qualifizierten Domänennamen (FQDN) eines Computers im Antragstellerfeld verwenden und die Zertifikatauswahl auf dem Domänensuffix (z. B. contoso.com) basieren soll. Sie können diese Auswahlmethode jedoch auch verwenden, um nach einer beliebigen Zeichenfolge zu suchen, durch die sich das gewünschte Zertifikat von den anderen Zertifikaten im Clientzertifikatspeicher unterscheidet.

  • Eine Suche nach Übereinstimmungen bei den Attributwerten der Felder „Antragstellername“ oder „Alternativer Antragstellername“. Bei dieser Suche wird die Groß-Kleinschreibung berücksichtigt. Sie bietet sich an, wenn Sie einen definierten X500-Namen oder entsprechende OIDs (Objekt-IDs) gemäß RFC 3280 im Antragstellerfeld verwenden und die Zertifikatauswahl auf den Attributwerten basieren soll. Sie können nur die Attribute und deren Werte angeben, die zur eindeutigen Identifizierung oder Überprüfung der Gültigkeit des Zertifikats erforderlich sind und das Zertifikat von den anderen Zertifikaten im Zertifikatspeicher unterscheiden.

In der folgenden Tabelle sind die von Configuration Manager 2007 zur Zertifikatauswahl unterstützten Attributwerte aufgeführt.

 

OID-Attribut DN-Attribut (definierter Name) Attributdefinition

0.9.2342.19200300.100.1.25

DC

Domänenkomponente

1.2.840.113549.1.9.1

E oder E-mail

E-Mail-Adresse

2.5.4.3

CN

Allgemeiner Name

2.5.4.4

SN

Antragstellername

2.5.4.5

SERIALNUMBER

Seriennummer

2.5.4.6

C

Ländercode

2.5.4.7

L

Ort

2.5.4.8

S oder ST

Name des Bundeslands bzw. des Kantons

2.5.4.9

STREET

Straße

2.5.4.10

O

Organisationsname

2.5.4.11

OU

Organisationseinheit

2.5.4.12

T oder Title

Anrede

2.5.4.42

G oder GN oder GivenName

Vorname

2.5.4.43

I oder Initials

Initialen

2.5.29.17

(kein Wert)

Alternativer Antragstellername

Wenn nach Anwendung der Auswahlkriterien weiterhin mehrere passende Zertifikate gefunden werden, können Sie das Verhalten des Clients in Bezug auf die Zertifikatauswahl angeben. Wenn die eindeutige Auswahl eines Zertifikats nicht möglich ist, sieht die Standarteinstellung vor, dass kein Zertifikat ausgewählt wird, was zu einem Fehler bei der Kommunikation mit dem Verwaltungspunkt führt. In diesem Fall sendet der Client eine Fehlermeldung an den ihm zugewiesenen Fallbackstatuspunkt, um Sie über den Fehler bei der Zertifikatauswahl zu informieren, sodass Sie die Zertifikatauswahlkriterien ändern oder optimieren können.

Alternativ können Sie die Clients so konfigurieren, dass ein beliebiges passendes und den Auswahlkriterien genügendes Zertifikat ausgewählt wird. Wenn auf dem Client Configuration Manager 2007 SP1 oder höher ausgeführt wird, wird das Zertifikat mit dem längsten Gültigkeitszeitraum ausgewählt. Dies ist möglicherweise erforderlich, wenn der Netzwerkzugriffsschutz verwendet und IPsec erzwungen wird. Diese Einstellung kann zu einer erfolgreichen Kommunikation im einheitlichen Modus führen, stellt aber eine weniger zuverlässige Konfiguration dar, da keine Kontrolle darüber besteht, welches Clientzertifikat verwendet wird.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: