Zertifikate in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Configuration Manager verwendet eine Kombination aus selbstsignierten und digitalen PKI-Zertifikaten (Public Key Infrastructure).

Verwenden Sie nach Möglichkeit PKI-Zertifikate. Weitere Informationen finden Sie unter PKI-Zertifikatanforderungen. Wenn Configuration Manager während der Registrierung für mobile Geräte PKI-Zertifikate anfordert, verwenden Sie Active Directory Domain Services und eine Unternehmenszertifizierungsstelle. Stellen Sie für alle anderen PKI-Zertifikate unabhängig von Configuration Manager bereit und verwalten Sie sie.

PKI-Zertifikate sind erforderlich, wenn Clientcomputer eine Verbindung mit internetbasierten Standortsystemen herstellen. Das Cloudverwaltungsgateway erfordert auch Zertifikate. Weitere Informationen finden Sie unter Verwalten von Clients im Internet.

Wenn Sie eine PKI verwenden, können Sie auch IPsec verwenden, um die Server-zu-Server-Kommunikation zwischen Standortsystemen an einem Standort, zwischen Standorten und für andere Datenübertragungen zwischen Computern zu schützen. Die Implementierung von IPsec ist unabhängig von Configuration Manager.

Wenn PKI-Zertifikate nicht verfügbar sind, generiert Configuration Manager automatisch selbstsignierte Zertifikate. Einige Zertifikate in Configuration Manager sind immer selbstsigniert. In den meisten Fällen verwaltet Configuration Manager automatisch die selbstsignierten Zertifikate, und Sie müssen keine weitere Aktion ausführen. Ein Beispiel ist das Signaturzertifikat des Standortservers. Dieses Zertifikat ist immer selbstsigniert. Dadurch wird sichergestellt, dass die Richtlinien, die Clients vom Verwaltungspunkt herunterladen, vom Standortserver gesendet und nicht manipuliert wurden. Ein weiteres Beispiel: Wenn Sie den Standort für erweitertes HTTP aktivieren, stellt die Website selbstsignierte Zertifikate für Standortserverrollen aus.

Wichtig

Ab Configuration Manager Version 2103 sind Websites, die die HTTP-Clientkommunikation zulassen, veraltet. Konfigurieren Sie die Website für HTTPS oder erweitertes HTTP. Weitere Informationen finden Sie unter Aktivieren der Website für nur HTTPS oder erweitertes HTTP.

CNG v3-Zertifikate

Configuration Manager unterstützt CNG v3-Zertifikate (Cryptography: Next Generation). Configuration Manager Clients können ein PKI-Clientauthentifizierungszertifikat mit privatem Schlüssel in einem CNG-Schlüsselspeicheranbieter (KSP) verwenden. Mit KSP-Unterstützung unterstützen Configuration Manager Clients hardwarebasierte private Schlüssel, z. B. einen TPM-KSP für PKI-Clientauthentifizierungszertifikate.

Weitere Informationen finden Sie unter Übersicht über CNG v3-Zertifikate.

Erweitertes HTTP

Die Verwendung von HTTPS-Kommunikation wird für alle Configuration Manager Kommunikationspfade empfohlen, ist aber aufgrund des Mehraufwands für die Verwaltung von PKI-Zertifikaten für einige Kunden eine Herausforderung. Die Einführung Microsoft Entra Integration reduziert einige, aber nicht alle Zertifikatanforderungen. Sie können stattdessen für die Website die Verwendung von erweitertem HTTP aktivieren. Diese Konfiguration unterstützt HTTPS auf Standortsystemen, indem selbstsignierte Zertifikate zusammen mit Microsoft Entra-ID für einige Szenarien verwendet werden. Dafür ist keine PKI erforderlich.

Weitere Informationen finden Sie unter Erweitertes HTTP.

Zertifikate für CMG

Die Verwaltung von Clients im Internet über das Cloud Management Gateway (CMG) erfordert die Verwendung von Zertifikaten. Die Anzahl und der Typ der Zertifikate variieren je nach Ihren spezifischen Szenarien.

Weitere Informationen finden Sie unter Checkliste für cmg-Einrichtung.

Hinweis

Der cloudbasierte Verteilungspunkt (CDP) ist veraltet. Ab Version 2107 können Sie keine neuen CDP-Instanzen erstellen. Um Inhalte für internetbasierte Geräte bereitzustellen, aktivieren Sie das CMG zum Verteilen von Inhalten. Weitere Informationen finden Sie unter Veraltete Features.

Weitere Informationen zu Zertifikaten für ein CDP finden Sie unter Zertifikate für den Cloudverteilungspunkt.

Das Signaturzertifikat des Standortservers

Der Standortserver erstellt immer ein selbstsigniertes Zertifikat. Dieses Zertifikat wird für verschiedene Zwecke verwendet.

Clients können sicher eine Kopie des Signaturzertifikats des Standortservers aus Active Directory Domain Services und von der Clientpushinstallation abrufen. Wenn Clients mit einem dieser Mechanismen keine Kopie dieses Zertifikats abrufen können, installieren Sie es bei der Installation des Clients. Dieser Prozess ist besonders wichtig, wenn die erste Kommunikation des Clients mit dem Standort über einen internetbasierten Verwaltungspunkt erfolgt. Da dieser Server mit einem nicht vertrauenswürdigen Netzwerk verbunden ist, ist er anfälliger für Angriffe. Wenn Sie diesen anderen Schritt nicht ausführen, laden Clients automatisch eine Kopie des Signaturzertifikats des Standortservers vom Verwaltungspunkt herunter.

Clients können eine Kopie des Standortserverzertifikats in den folgenden Szenarien nicht sicher abrufen:

  • Sie installieren den Client nicht mithilfe von Clientpush und:

    • Sie haben das Active Directory-Schema nicht für Configuration Manager erweitert.

    • Sie haben die Website des Clients nicht auf Active Directory Domain Services veröffentlicht.

    • Der Client stammt aus einer nicht vertrauenswürdigen Gesamtstruktur oder einer Arbeitsgruppe.

  • Sie verwenden die internetbasierte Clientverwaltung und installieren den Client, wenn er sich im Internet befindet.

Weitere Informationen zum Installieren von Clients mit einer Kopie des Signaturzertifikats des Standortservers finden Sie in der Befehlszeileneigenschaft SMSSIGNCERT . Weitere Informationen finden Sie unter Informationen zu Clientinstallationsparametern und -eigenschaften.

Hardwaregebundener Schlüsselspeicheranbieter

Configuration Manager verwendet selbstsignierte Zertifikate für die Clientidentität und zum Schutz der Kommunikation zwischen den Client- und Standortsystemen. Wenn Sie den Standort und die Clients auf Version 2107 oder höher aktualisieren, speichert der Client sein Zertifikat vom Standort in einem hardwaregebundenen Schlüsselspeicheranbieter (KSP). Dieser KSP ist in der Regel das Trusted Platform Module (TPM) mindestens Version 2.0. Das Zertifikat ist auch als nicht exportierbar gekennzeichnet.

Wenn der Client auch über ein PKI-basiertes Zertifikat verfügt, verwendet er dieses Zertifikat weiterhin für die TLS-HTTPS-Kommunikation. Es verwendet sein selbstsigniertes Zertifikat zum Signieren von Nachrichten mit der Website. Weitere Informationen finden Sie unter PKI-Zertifikatanforderungen.

Hinweis

Für Clients, die auch über ein PKI-Zertifikat verfügen, zeigt die Configuration Manager-Konsole die Eigenschaft Clientzertifikat als Selbstsigniert an. Die Client-Systemsteuerung Clientzertifikateigenschaft zeigt PKI an.

Wenn Sie auf Version 2107 oder höher aktualisieren, erstellen Clients mit PKI-Zertifikaten selbstsignierte Zertifikate neu, registrieren sich jedoch nicht erneut am Standort. Clients ohne PKI-Zertifikat registrieren sich erneut beim Standort, was zu einer zusätzlichen Verarbeitung am Standort führen kann. Stellen Sie sicher, dass der Prozess zum Aktualisieren von Clients eine Zufällige Option zulässt. Wenn Sie gleichzeitig viele Clients aktualisieren, kann dies zu einem Rückstand auf dem Standortserver führen.

Configuration Manager verwendet keine TPMs, die bekanntermaßen anfällig sind. Beispielsweise ist die TPM-Version älter als 2.0. Wenn ein Gerät über ein anfälliges TPM verfügt, greift der Client auf die Verwendung eines softwarebasierten KSP zurück. Das Zertifikat kann immer noch nicht exportiert werden.

Das Betriebssystembereitstellungsmedium verwendet keine hardwaregebundenen Zertifikate, es verwendet weiterhin selbstsignierte Zertifikate vom Standort. Sie erstellen die Medien auf einem Gerät, das über die Konsole verfügt, aber dann kann sie auf einem beliebigen Client ausgeführt werden.

Verwenden Sie certificateMaintenance.log auf dem Client, um Probleme mit Zertifikatverhalten zu beheben.

Nächste Schritte