Installieren digitaler Zertifikate unter Windows 10 Mobile

  • Artikel

Mit digitalen Zertifikaten wird die Identität eines Benutzers oder Computers an ein Schlüsselpaar gebunden, das zum Verschlüsseln und Signieren von digitalen Informationen verwendet werden kann. Zertifikate werden von einer Zertifizierungsstelle (ZS) ausgestellt, von der die Identität des Zertifikatinhabers bestätigt wird. Außerdem ermöglichen sie die sichere Clientkommunikation mit Websites und Diensten.

Unter Windows 10 Mobile werden Zertifikate hauptsächlich für folgende Zwecke verwendet:

  • Erstellen eines sicheren Kanals per Secure Sockets Layer (SSL) zwischen einem Smartphone und einem Webserver oder -dienst
  • Authentifizieren eines Benutzers für einen Reverseproxy, der zum Aktivieren von Microsoft Exchange ActiveSync (EAS) für E-Mails verwendet wird
  • Installieren und Lizenzieren von Anwendungen (aus dem Windows Phone Store oder von einer benutzerdefinierten Distributionswebsite des Unternehmens)

Installieren von Zertifikaten mit Internet Explorer

Ein Zertifikat kann auf einer Website bereitgestellt und für Benutzer über eine per Gerät zugängliche URL verfügbar gemacht werden, die zum Herunterladen des Zertifikats verwendet werden kann. Wenn ein Benutzer auf die Seite zugreift und auf das Zertifikat tippt, wird es auf dem Gerät geöffnet. Der Benutzer kann das Zertifikat überprüfen, und wenn er sich für die Fortsetzung des Vorgangs entscheidet, wird das Zertifikat auf dem Windows 10 Mobile-Gerät installiert.

Installieren von Zertifikaten per E-Mail

Das Installationsprogramm für Windows 10 Mobile-Zertifikate unterstützt CER-, P7B-, PEM- und PFX-Dateien. Stellen Sie sicher, dass CER-Dateien von Ihren E-Mail-Filtern nicht blockiert werden, wenn Sie Zertifikate per E-Mail installieren möchten. Zertifikate, die per E-Mail gesendet werden, werden als Anlagen von Nachrichten angezeigt. Beim Empfang eines Zertifikats kann ein Benutzer den Inhalt per Tippen überprüfen und dann auf die Option zum Installieren des Zertifikats tippen. Beim Installieren eines Identitätszertifikats wird der Benutzer meist zum Eingeben eines Kennworts (oder einer Passphrase) aufgefordert, mit dem das Zertifikat geschützt ist.

Installieren von Zertifikaten mit der Verwaltung mobiler Geräte (MDM)

Windows 10 Mobile unterstützt die Konfiguration von Stamm-, ZS- und Clientzertifikaten per MDM. Mit der Verwaltung mobiler Geräte kann ein Administrator Stamm- und ZS-Zertifikate direkt hinzufügen, löschen oder abfragen und das Gerät so konfigurieren, dass ein Clientzertifikat bei einem Zertifikatregistrierungsserver registriert wird, der das Simple Certificate Enrollment Protocol (SCEP) unterstützt. Per SCEP registrierte Clientzertifikate werden in den Bereichen WLAN, VPN, E-Mail und Browser für die zertifikatbasierte Clientauthentifizierung verwendet. Ein MDM-Server kann per SCEP registrierte Clientzertifikate (einschließlich der von Benutzern installierten Zertifikate) auch abfragen und löschen oder eine neue Registrierungsanforderung auslösen, bevor das aktuelle Zertifikat abläuft.

Warnung  

Verwenden Sie SCEP nicht für Verschlüsselungszertifikate für S/MIME. Sie müssen ein PFX-Zertifikatprofil verwenden, um S/MIME unter Windows 10 Mobile zu unterstützen. Eine Anleitung zum Erstellen eines PFX-Zertifikatprofils in Microsoft Intune finden Sie unter Aktivieren des Zugriffs auf Unternehmensressourcen mithilfe von Zertifikatprofilen in Microsoft Intune.

 

Mt679135.wedge(de-de,VS.85).gifVerarbeiten installierter Zertifikate per MDM

  1. Der MDM-Server generiert die erste Anforderung der Zertifikatregistrierung, einschließlich Anfragekennwort, SCEP-Server-URL und anderer Parameter für die Registrierung.

  2. Die Richtlinie wird in eine OMA-DM-Anforderung konvertiert und an das Gerät gesendet.

  3. Das vertrauenswürdige ZS-Zertifikat wird während der MDM-Anforderung direkt installiert.

  4. Das Gerät akzeptiert die Zertifikatregistrierungsanforderung.

  5. Das Gerät generiert ein Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel.

  6. Das Gerät stellt eine Verbindung mit dem für die Internetverbindung bestimmten Punkt her, der vom MDM-Server verfügbar gemacht wird.

  7. Der MDM-Server erstellt ein Zertifikat, das mit einem richtigen ZS-Zertifikat signiert ist, und gibt es an das Gerät zurück.

    Hinweis  

    Das Gerät unterstützt die Wartefunktion („Ausstehend“), damit auf der Serverseite weitere Überprüfungsschritte ausgeführt werden können, bevor das Zertifikat ausgegeben wird. In diesem Fall wird der Status „Ausstehend“ zurück an das Gerät gesendet. Das Gerät nimmt regelmäßig Kontakt mit dem Server auf. Die Häufigkeit hängt von den vorkonfigurierten Parametern für die Wiederholungsanzahl und den Wiederholungszeitraum ab. Die Wiederholungsversuche enden, wenn eine der folgenden Bedingungen erfüllt ist:

    Der Empfang eines Zertifikats vom Server ist erfolgreich.

    Der Server gibt einen Fehler zurück.

    Die Anzahl der Wiederholungsversuche erreicht die vorkonfigurierte Obergrenze.

     

  8. Das Zertifikat wird auf dem Gerät installiert. Browser, WLAN, VPN, E-Mail und andere Erstanbieteranwendungen haben Zugriff auf dieses Zertifikat.

    Hinweis  

    Wenn per MDM angefordert wurde, dass der private Schlüssel im Trusted Platform Module (TPM) gespeichert wird (das während der Registrierungsanforderung konfiguriert wurde), wird der private Schlüssel im TPM gespeichert. Beachten Sie, dass per SCEP registrierte Zertifikate, die mit TPM geschützt sind, nicht über eine PIN verfügen. Wenn das Zertifikat in den Passport für den Schlüsselspeicheranbieter (Work Key Storage Provider, KSP) importiert wird, ist es aber mit der Passport-PIN geschützt.

     

Verwandte Themen

Konfigurieren von S/MIME