Informationen zu im einheitlichen Modus erforderlichen Zertifikaten und zur Betriebssystembereitstellung

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Wenn Sie Betriebssysteme mit Configuration Manager 2007 im einheitlichen Modus bereitstellen und Tasksequenzen im Rahmen der Betriebssystembereitstellung mit dem Verwaltungspunkt des Standorts im einheitlichen Modus kommunizieren, müssen Sie ein PKI-Zertifikat (Public Key Infrastructure) verwenden. Ohne dieses Zertifikat tritt bei der Authentifizierung gegenüber dem Verwaltungspunkt ein Fehler auf, und Betriebssystembereitstellungen können nicht erfolgreich ausgeführt werden.

Damit dieses Zertifikat vom Verwaltungspunkt als vertrauenswürdig eingestuft wird, muss der Standort darüber hinaus auch mit einer Stammzertifizierungsstelle für das Zertifikat konfiguriert werden. Weitere Informationen zur Konfiguration des Standorts mit der Stammzertifizierungsstelle finden Sie unter Angeben der Stammzertifizierungsstellen-Zertifikate für Betriebssystem-Bereitstellungsclients.

Das bei Betriebssystembereitstellungen verwendete Zertifikat erfordert Clientauthentifizierungsfunktionen und wird nicht im Rahmen der Betriebssystembereitstellung installiert. Es wird lediglich vorübergehend für die Ausführung der Tasksequenzen verwendet. Dem nach der Betriebssystembereitstellung am Standort im einheitlichen Modus verwalteten Client muss das Zertifikat für Clients im einheitlichen Modus gesondert bereitgestellt werden. Weitere Informationen zum Bereitstellen des Zertifikats für Clients im einheitlichen Modus finden Sie unter Bereitstellen der Clientcomputerzertifikate für Clients und den Verwaltungspunkt.

Weitere Informationen zu allen bei Configuration Manager 2007 im einheitlichen Modus verwendeten Zertifikaten finden Sie unter Zertifikatanforderungen für den einheitlichen Modus.

Geben Sie das Zertifikat für die Betriebssystembereitstellung als Teil der Startmedien an, wenn Sie von Medien initiierte Betriebssystembereitstellungen verwenden, und konfigurieren Sie den PXE-Dienstpunkt für die Verwendung dieses Zertifikats, wenn Sie PXE-initiierte Betriebssystembereitstellungen verwenden. Geben Sie das Zertifikat an, indem Sie eine „PKCS #12“-Datei (Public Key Certificate Standard) importieren und das beim Erstellen der Datei ausgewählte Kennwort angeben. PKCS #12-Dateien haben die Dateierweiterung „.PKX“.

Unterstützende Informationen zur Vorbereitung der „PKCS #12“-Zertifikatsdatei finden Sie unter Exportieren von Zertifikaten für die Verwendung mit der Betriebssystembereitstellung.

Schützen des Zertifikats für die Betriebssystembereitstellung vor nicht autorisierter Verwendung

Um den Configuration Manager-Standort vor nicht autorisiertem Zugriff mithilfe dieses Zertifikats zu schützen, weisen Sie von Medien initiierten Betriebssystembereitstellungen ein Kennwort zu. Sie können zudem ein Ablaufdatum konfigurieren, das den Medien zugewiesen wird. Nach Ablauf dieses Datums sind die Medien nicht mehr gültig.

Wenn bei der PKI-Bereitstellung eine Zertifikatsperrliste (Certificate Revocation List, CRL) verwendet wird, kann das Zertifikat auch durch einen Zertifizierungsstellenadministrator gesperrt werden. Dies kann eine weitere Möglichkeit zum Schutz vor kompromittierten Zertifikaten darstellen. Die CRL-Prüfung (Certificate Revocation List) ist am Verwaltungspunkt standardmäßig aktiviert.

Wenn Sie vermuten, dass die Zertifikate manipuliert wurden und sich der Standort im einheitlichen oder gemischten Modus befindet, können Sie auch Clientzertifikate blockieren, die für die Betriebssystembereitstellung importiert wurden. Weitere Informationen finden Sie unter Bestimmen, ob Configuration Manager-Clients blockiert werden müssen und Blockieren von Configuration Manager-Clients.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: