Erstellen von Zertifikaten in System Center Essentials 2010

  • Artikel

Letzte Aktualisierung: April 2010

Betrifft: System Center Essentials 2010

Das folgende Verfahren umfasst die Schritte zum Anfordern eines Zertifikats von einer eigenständigen Zertifizierungsstelle mithilfe der Zertifikatdienste, einer Komponente von Windows Server 2003 und Windows Server 2008. Die Schritte müssen in der folgenden Reihenfolge ausgeführt werden:

  1. Fordern Sie ein Zertifikat von der eigenständigen Zertifizierungsstelle an.

  2. Genehmigen Sie die ausstehende Zertifikatsanforderung. Wenn Ihre Zertifikatdienste so konfiguriert sind, dass Zertifikate automatisch genehmigt werden, fahren Sie mit dem Abrufen des Zertifikats fort. Andernfalls muss der Zertifizierungsstellenadministrator das Zertifikat ausstellen. Wenn Sie selbst der Zertifizierungsstellenadministrator sind, stellen Sie das Zertifikat gemäß dem in diesem Abschnitt beschriebenen Vorgang aus.

  3. Rufen Sie das Zertifikat ab.

  4. Importieren Sie das Zertifikat in Essentials 2010. Weitere Informationen finden Sie unter Importieren von Zertifikaten in System Center Essentials 2010.

  5. Importieren Sie das Zertifizierungsstellenzertifikat. Weitere Informationen finden Sie unter Importieren von Zertifikaten in System Center Essentials 2010.

So fordern Sie ein Zertifikat von einer eigenständigen Zertifizierungsstelle an

  1. Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installieren möchten (z. B. beim Gatewayserver oder beim Verwaltungsserver).

  2. Öffnen Sie Internet Explorer, und stellen Sie eine Verbindung mit dem Computer her, der die Zertifikatdienste hostet – z. B. http://<Servername>/certsrv.

  3. Klicken Sie auf der Seite Willkommen der Microsoft Zertifikatdienste auf Zertifikat anfordern.

  4. Klicken Sie auf der Seite Zertifikat anfordern auf Erweiterte Zertifikatanforderung.

  5. Klicken Sie auf der Seite Erweiterte Zertifikatanforderung auf Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen.

  6. Führen Sie auf der Seite Erweiterte Zertifikatanforderung folgende Aktionen aus:

    1. Geben Sie unter Identifikationsinformationen im Feld Name einen eindeutigen Namen ein, z. B. den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Computers, für den Sie das Zertifikat anfordern. Geben Sie in den restlichen Feldern die entsprechenden Informationen ein.

      Hinweis

      Wenn der in das Feld Name eingegebene FQDN nicht mit dem Computernamen übereinstimmt, wird ein Eingabefehler mit der Ereignis-ID 20052 angezeigt.

    2. Wählen Sie in der Dropdownliste Typ des erforderlichen Zertifikats die Option Andere aus. Geben Sie in das Feld OID Folgendes ein: 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2.

    3. Klicken Sie unter Schlüsseloptionen auf Neuen Schlüsselsatz erstellen. Wählen Sie im Feld Kryptografiedienstanbieter die Option Microsoft Enhanced Cryptographic Provider v1.0 aus. Wählen Sie unter Schlüsselverwendung die Option Beide aus. Wählen Sie unter Schlüsselgröße den Wert 1024 aus. Wählen Sie Automatischer Schlüsselcontainername aus. Wählen Sie Schlüssel als „Exportierbar“ markieren aus. Deaktivieren Sie die Kontrollkästchen Schlüssel in Datei exportieren und Verstärkte Sicherheit für den privaten Schlüssel aktivieren. Klicken Sie dann auf Zertifikat im lokalen Zertifikatspeicher aufbewahren.

    4. Wählen Sie unter Weitere Optionen unter Anforderungsformat die Option CMC aus. Wählen Sie in der Liste Hashalgorithmus die Option SHA-1 aus, und deaktivieren Sie die Option Anforderung in Datei speichern. Geben Sie dann im Feld Anzeigename den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Computers an, für den Sie das Zertifikat anfordern.

    5. Klicken Sie auf Absenden.

    6. Wenn ein Dialogfeld zu einermöglichen Sicherheitsverletzung erscheint, klicken Sie auf Ja.

    7. Wenn die Seite Zertifikat steht noch aus erscheint, können Sie den Browser schließen.

So genehmigen Sie die ausstehende Zertifikatanforderung

  1. Melden Sie sich bei dem Computer mit den Zertifikatdiensten als Zertifizierungsstellenadministrator an.

  2. Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.

  3. Erweitern Sie in Zertifizierungsstelle den Knoten für den Namen Ihrer Zertifizierungsstelle, und klicken Sie dann auf Ausstehende Anforderungen.

  4. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf die ausstehende Anforderung des vorherigen Schritts, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Ausstellen.

  5. Klicken Sie auf Ausgestellte Zertifikate, und stellen Sie sicher, dass das gerade ausgestellte Zertifikat aufgeführt wird.

  6. Schließen Sie Zertifizierungsstelle.

So rufen Sie das Zertifikat ab

  1. Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installieren möchten, z. B. beim Essentials-Verwaltungsserver oder bei einem Computer der Arbeitsgruppe.

  2. Öffnen Sie Internet Explorer, und stellen Sie dann eine Verbindung mit dem Computer her, der die Zertifikatdienste hostet – z. B. http://<Servername>/certsrv.

  3. Klicken Sie auf der Seite Willkommen der Microsoft Zertifikatdienste auf Status ausstehender Zertifikatanforderungen anzeigen.

  4. Klicken Sie auf der Seite Status ausstehender Zertifikatanforderungen anzeigen auf das angeforderte Zertifikat.

  5. Klicken Sie auf der Seite Zertifikat wurde ausgestellt auf Dieses Zertifikat installieren.

  6. Klicken Sie im Dialogfeld Mögliche Skriptingverletzung auf Ja.

  7. Wenn auf der Seite Zertifikat wurde installiert die Meldung Das neue Zertifikat wurde installiert angezeigt wird, können Sie den Browser schließen.

Erstellen eines Zertifikats in einer Unternehmenszertifizierungsstelle für Essentials 2010

Die folgenden Verfahren enthalten die Schritte zum Anfordern eines Zertifikats von einer Unternehmenszertifizierungsstelle mithilfe der Zertifikatdienste, einer Komponente von Windows Server 2003 und Windows Server 2008. Die Schritte müssen in der folgenden Reihenfolge ausgeführt werden:

  1. Erstellen Sie eine Zertifikatvorlage.

  2. Fordern Sie ein Zertifikat von der Unternehmenszertifizierungsstelle an.

  3. Importieren Sie das Zertifikat in Essentials 2010. Weitere Informationen finden Sie unter Importieren von Zertifikaten in System Center Essentials 2010.

  4. Importieren Sie das Zertifizierungsstellenzertifikat. Weitere Informationen finden Sie unter Importieren von Zertifikaten in System Center Essentials 2010.

So erstellen Sie eine Zertifikatvorlage

  1. Klicken Sie auf dem Computer mit der Unternehmenszertifizierungsstelle auf der Taskleiste auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.

  2. Erweitern Sie im Navigationsbereich den Namen der Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten.

  3. Klicken Sie in der Konsole Zertifikatvorlagen im Ergebnisbereich mit der rechten Maustaste auf IPSec (Offlineanforderung), und klicken Sie dann auf Doppelte Vorlage.

  4. Geben Sie auf der Registerkarte Allgemein im Dialogfeld Eigenschaften der neuen Vorlage in das Textfeld Vorlagenanzeigename einen neuen Namen für diese Vorlage ein, z. B. EssentialsCert.

  5. Wählen Sie auf der Registerkarte Anforderungsverarbeitung die Option Exportieren von privatem Schlüssel zulassen, und klicken Sie dann auf Kryptografiedienstanbieter.

  6. Wählen Sie im Dialogfeld Kryptografiedienstanbieter auswählen den Anbieter aus, der Ihre Geschäftsanforderungen am besten erfüllt, und klicken Sie dann auf OK.

    Hinweis

    Windows 2000 Server unterstützt Microsoft Enhanced Cryptographic Provider 1.0. Windows Server 2008, Windows Server 2003 und Windows XP unterstützen Microsoft RSA SChannel Cryptographic Provider.

  7. Klicken Sie auf die Registerkarte Erweiterungen. Klicken Sie dann unter Erweiterungen in dieser Vorlage auf Anwendungsrichtlinien, und klicken Sie dann auf Entfernen.

  8. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf IP-Sicherheits-IKE, dazwischenliegend, und klicken Sie dann auf Entfernen.

  9. Klicken Sie auf Hinzufügen, und halten Sie in der Liste Anwendungsrichtlinien die STRG-Taste gedrückt, um mehrere Elemente auszuwählen. Klicken Sie auf Clientauthentifizierung und auf Serverauthentifizierung, und klicken Sie dann auf OK.

  10. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf OK.

  11. Klicken Sie auf die Registerkarte Sicherheit, stellen Sie sicher, dass die Gruppe des Benutzers über die Berechtigungen Lesen und Registrieren verfügt, und klicken Sie dann auf OK.

So fordern Sie ein Zertifikat von einer Unternehmenszertifizierungsstelle an

  1. Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installieren möchten, z. B. beim Essentials-Verwaltungsserver oder bei einem Computer der Arbeitsgruppe.

  2. Öffnen Sie Internet Explorer, und stellen Sie eine Verbindung mit dem Computer her, der die Zertifikatdienste hostet – z. B. http://<Servername>/certsrv.

  3. Klicken Sie auf der Seite Willkommen der Microsoft Zertifikatdienste auf Zertifikat anfordern.

  4. Klicken Sie auf der Seite Zertifikat anfordern auf Erweiterte Zertifikatanforderung.

  5. Klicken Sie auf der Seite Erweiterte Zertifikatanforderung auf Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen.

  6. Führen Sie auf der Seite Erweiterte Zertifikatanforderung folgende Aktionen aus:

    1. Wählen Sie unter Zertifikatvorlage den Namen der von Ihnen erstellten Vorlage aus, z. B. EssentialsCert.

    2. Geben Sie unter Identifikationsinformationen für Offlinevorlage im Feld Name einen eindeutigen Namen ein, z. B. den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Computers, für den Sie das Zertifikat anfordern. Geben Sie in den restlichen Feldern die entsprechenden Informationen ein.

      Hinweis

      Wenn der in das Feld Name eingegebene FQDN nicht mit dem Computernamen übereinstimmt, wird ein Eingabefehler mit der Ereignis-ID 20052 angezeigt.

    3. Klicken Sie unter Schlüsseloptionen auf Neuen Schlüsselsatz erstellen, und wählen Sie im Feld Kryptografiedienstanbieter den Anbieter aus, der Ihre Geschäftsanforderungen am besten erfüllt. Wählen Sie unter Schlüsselanwendung die Option Beide aus und unter Schlüsselgröße die Größe, die am besten Ihre Geschäftsanforderungen erfüllt. Wählen Sie Automatischer Schlüsselcontainername aus. Stellen Sie sicher, dass die Option Schlüssel als „Exportierbar“ markieren ausgewählt ist, und deaktivieren Sie Schlüssel in Datei exportieren und Verstärkte Sicherheit für den privaten Schlüssel aktivieren. Klicken Sie dann auf Zertifikat im lokalen Zertifikatspeicher aufbewahren.

      Hinweis

      Windows 2000 Server unterstützt Microsoft Enhanced Cryptographic Provider 1.0. Windows Server 2008, Windows Server 2003 und Windows XP unterstützen Microsoft RSA SChannel Cryptographic Provider.

    4. Wählen Sie unter Weitere Optionen unter Anforderungsformat die Option CMC aus. Wählen Sie in der Liste Hashalgorithmus die Option SHA-1 aus, und deaktivieren Sie Anforderung in Datei speichern. Geben Sie dann im Feld Anzeigename den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Computers an, für den Sie das Zertifikat anfordern.

    5. Klicken Sie auf Absenden.

    6. Wenn ein Dialogfeld zu einermöglichen Skriptingverletzung erscheint, klicken Sie auf Ja.

    7. Klicken Sie auf der Seite Zertifikat wurde ausgestellt auf Dieses Zertifikat installieren.

    8. Wenn ein Dialogfeld zu einermöglichen Skriptingverletzung erscheint, klicken Sie auf Ja.

    9. Wenn auf der Seite Zertifikat wurde installiert die Meldung Das neue Zertifikat wurde installiert angezeigt wird, können Sie den Browser schließen.

Siehe auch

Tasks

Importieren von Zertifikaten in System Center Essentials 2010
Entfernen eines mit dem Tool „MOMCertImport“ importierten Zertifikats

Konzepte

Verwenden von Zertifikaten in Essentials