Bereitstellen einer vertrauenswürdigen Stammzertifizierungsstelle für Configuration Manager-Computer

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Bei einer Stammzertifizierungsstelle handelt es sich um die vertrauenswürdigste Zertifizierungsstelle, die sich auf der höchsten Ebene einer PKI-Zertifizierungshierarchie (Public Key-Infrastruktur) befindet. Damit die Kommunikation im einheitlichen Modus an einem Configuration Manager 2007-Standort erfolgreich ist, müssen die PKI-Zertifikate, die für Authentifizierung, Verschlüsselung und Signatur verwendet werden, von einer Stammzertifizierungsstelle ausgegeben werden, die von anderen Computern und Geräten des Standorts als vertrauenswürdig angesehen wird.

Alle Computer und Geräte, die mithilfe von Zertifikaten kommunizieren, müssen ein gemeinsames Stammzertifikat haben. Wenn alle Computer Ihrer Configuration Manager 2007-Hierarchie Zertifikate derselben Zertifizierungsstelle verwenden, müssen Sie nur eine einzige vertrauenswürdige Stammzertifizierungsstelle bereitstellen. Es ist jedoch nicht zwingend erforderlich, dieselbe Zertifizierungsstelle zu verwenden. Deshalb müssen Sie u. U. mehrere Stammzertifizierungsstellen installieren.

Microsoft Windows-Computer und einige Geräte sind automatisch mit Stammzertifikaten bekannter Drittanbieter konfiguriert. Wenn Sie jedoch Ihre eigene PKI verwenden, müssen Sie das Stammzertifikat installieren. Dies ist auf verschiedene Weisen möglich, unter anderem folgendermaßen:

  • Wenn Sie eine Microsoft-Unternehmenszertifizierungsstelle verwenden, wird das Stammzertifikat mithilfe der Active Directory-Domänendienste automatisch auf Computern in der Struktur installiert.

  • Wenn Sie keine Microsoft-Unternehmenszertifizierungsstelle verwenden, alle Computer in der Struktur die Stammzertifizierungsstelle jedoch automatisch als vertrauenswürdig ansehen sollen, können Sie das Stammzertifikat mithilfe einer Gruppenrichtlinie oder dem Befehl „Certutil“ im Unternehmensvertrauensspeicher veröffentlichen.

  • Wenn Sie keine Microsoft-Unternehmenszertifizierungsstelle verwenden und nur Computergruppen in der Struktur die Stammzertifizierungsstelle automatisch als vertrauenswürdig ansehen sollen, können Sie das Stammzertifikat mithilfe einer Gruppenrichtlinie in Domänen oder Organisationseinheiten veröffentlichen. Nur Computern, auf denen die Gruppenrichtlinie angewendet wurde, sehen die Stammzertifizierungsstelle automatisch als vertrauenswürdig an. Fügen Sie das Stammzertifikat dem Gruppenrichtlinienobjekt „Vertrauenswürdige Stammzertifizierungsstellen“ hinzu, das sich im Ordner „Richtlinien öffentlicher Schlüssel“ des Containers „Computerkonfiguration“ befindet.

  • Wenn Sie Microsoft Zertifikatdienste mit Internetinformationsdiensten (ISS) verwenden, können Sie das Stammzertifikat mithilfe des Webeinschreibungsdiensts anfordern und installieren.

  • Sie können das Zertifikat mithilfe des Befehlszeilendienstprogramms Microsoft Certreq anfordern und abrufen.

  • Sie können das Zertifikat in eine Datei exportieren und sie importieren, wenn das Exportieren des öffentlichen Schlüssels im Zertifikat aktiviert ist.

Wenn Sie das Feature „Betriebssystembereitstellung“ verwenden, müssen Stammzertifizierungsstellen in Configuration Manager 2007 als Standorteigenschaft angegeben werden. Weitere Informationen finden Sie unter Angeben der Stammzertifizierungsstellen-Zertifikate für Betriebssystem-Bereitstellungsclients.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: